CN107750362A - 自动预防和修复网络滥用 - Google Patents
自动预防和修复网络滥用 Download PDFInfo
- Publication number
- CN107750362A CN107750362A CN201680034958.XA CN201680034958A CN107750362A CN 107750362 A CN107750362 A CN 107750362A CN 201680034958 A CN201680034958 A CN 201680034958A CN 107750362 A CN107750362 A CN 107750362A
- Authority
- CN
- China
- Prior art keywords
- tenant
- vip
- confidence score
- infrastructure
- cloud computing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/316—User authentication by observing the pattern of computer usage, e.g. typical user behaviour
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Social Psychology (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本文中所描述的各种实施例是针对基于滥用预防和修复平台来优化云计算基础设施功能。租户简档可以具有用于租户的租户置信度得分,该租户置信度得分是租户使用云计算资源的信誉的指示符。基于租户的置信度得分,可以标识限制对云计算资源的访问的用于租户的一个或多个策略。如果租户的虚拟互联网协议地址(VIP)被确定为被污染,则VIP可以在被污染VIP池中被隔离,该隔离排除VIP以免被选择使用,直到VIP干净为止。清理例程可以被执行,清理例程传送被污染VIP的修复动作。在完成清理例程时,VIP可以被恢复到干净VIP池。
Description
背景技术
云计算平台可以向用户提供在分布式计算环境(即,云)中构建、部署和管理服务和应用的能力。当云计算平台由云服务提供商提供时,云计算平台的租户不需要提供或维护他们自己的基础设施,从而使得云计算平台的租户能够快速部署服务和应用。然而,这可能导致云计算平台的一些租户(诸如,托管恶意活动(例如,垃圾邮件、病毒等))的滥用。
发明内容
本发明内容被提供,以便以以简化形式介绍下文将在具体实施方式中进一步描述的概念的选择。本发明内容不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在孤立地用作确定所要求保护的主题的范围的辅助手段。
为了预防滥用云计算平台,诸如提供反垃圾邮件列表那些服务之类的服务可以阻止互联网协议(IP)地址或者为其他人提供阻止已知为托管恶意活动的IP地址的机构。然而,由于租户使用的IP地址可能属于云计算平台本身并且租户可以自由离开云计算平台,所以即使在恶意租户不再被托管在云计算平台上时,IP地址也可能继续被阻止。
本文中所描述的实施例针对基于滥用预防和修复平台来优化云计算基础设施功能。例如,可以跟踪多个租户简档属性,并且可以生成包括租户置信度得分的租户简档,其中租户简档与租户简档属性相关联。租户置信度得分可以是租户使用云计算资源的信誉的指示符,并且可以与租户的租户简档相对应。基于租户置信度得分,可以标识用于租户的一个或多个策略,其中该一个或多个策略限制对云计算资源的访问。如果确定网络资源被污染,则网络资源可以在被污染网络资源池中被隔离,并且可以执行清理例程,其中清理例程传送对被污染资源的修复动作。在清理例程完成时,可以在未污染网络资源池中恢复网络资源。
因此,云计算平台可以更可靠和安全(例如,被确定为被污染的网络资源被清理,从而预防进一步滥用),并且云计算平台可以更有效率(例如,具有低置信度得分的租户具有有限的资源使用,从而减轻资源上的负载)。进一步地,云计算平台可以快速擦除带有残留元数据(被指定为被污染)的IP地址,从而减少人工隔离资源的数量,并且以准确高效的方式增加可用资源池。
附图说明
下文参考附图对本发明的方面进行详细描述,其中:
图1是其中可以采用本文中所描述的实施例的示例性分布式存储系统的框图;
图2是根据本文中所描述的实施例的、适用于预防和修复网络滥用的示例性计算环境的框图;
图3是示出了根据本文中所描述的实施例的、用于基于滥用预防和修复平台来优化云计算基础设施功能的方法的流程图;
图4是示出了根据本文中所描述的实施例的、用于基于滥用预防和修复平台来优化云计算基础设施功能的另一方法的流程图;
图5是示出了根据本文中所描述的实施例的、用于基于滥用预防和修复平台来优化云计算基础设施功能的另一方法的流程图;以及
图6是适合于实现本发明的方面的示例性计算环境的框图。
具体实施方式
在本文中对本发明的方面的主题进行具体描述以符合法定要求。然而,说明书本身并不旨在限制本专利的范围。相反,发明人已经设想,所要求保护的主题还可以结合其他当前或未来的技术以其他方式来体现,以包括与本文中所描述的步骤类似的不同步骤或步骤组合。此外,尽管在本文中术语“步骤”和/或“框”可以被用于暗示所采用的方法的不同元素,但是除非当明确描述了各个步骤的次序时以及除了当明确描述了各个步骤的次序时之外,否则这些术语不应该被解释为意指本文中所公开的各步骤之中或各步骤之间的任何特定次序。
出于本公开的目的,单词“包括”具有与单词“包括”相同的广泛含义。此外,除非另有相反表示,否则诸如“一”和“一个”之类的单词包括复数以及单数。因此,例如,在存在一个或多个特征的情况下,满足“特征”的要求。此外,除非另有相反指示,否则术语“或”包括连词、反意连词和两者(因此a或b包括a或b以及a和b)。
云计算机平台向用户提供在云上托管虚拟机(VM)的能力。这向用户提供多种益处,诸如在不需要维护硬件和/或软件的情况下,快速部署和管理服务和应用的能力。因此,这种配置有利于许多人,他们不会在云上以其他方式创建虚拟机或主机服务和应用。然而,假设易于使用虚拟机来托管服务和应用,恶意用户则可能使用云计算平台来托管恶意服务和应用,诸如垃圾邮件、病毒、分布式拒绝服务(DDoS)攻击、或其他恶意服务和应用。
一些服务创建已知“脏”IP地址的黑名单以预防垃圾邮件和其他滥用内容。“脏”IP地址是已经被确定为托管这些恶意服务和应用的地址。这些黑名单被公司用来有效地预防业务进出脏IP地址,其中黑名单是已经被确定为托管恶意内容的IP地址列表。然而,给定云计算平台的性质,即使恶意用户不再被托管在云计算平台上,恶意用户使用的IP地址仍然会被列入黑名单,直到采取步骤以从这些黑名单中移除IP地址为止(例如,由于IP地址可能属于云服务提供商而非用户,所以云服务提供商必须采取步骤以从黑名单中移除IP地址)。
实施例涉及预防和修复在云计算基础设施上的滥用。例如,可以通过基于租户置信度得分来对租户应用策略来预防恶意服务和应用在云计算平台上操作。策略可以包括:阻止端口、限制带宽、排序业务的优先级等。例如,如果租户还没有建立他们的置信度得分(即,他们的置信度得分低),则可以应用策略来约束或以其他方式限制来自租户的虚拟机的业务。由于租户能够建立他们的置信度得分(即,提高他们的置信度得分),所以策略可能会被调整或移除。租户可以通过这样的动作来建立他们的置信度得分,例如订购更高级别的服务,具有符合云计算使用策略的记录,或者及时支付订购云计算平台。因此,云计算平台的租户最初可以按照租户置信度得分被给予有限资源。如果在租户的虚拟机上发现恶意服务或应用,则可以将该租户从云计算平台移除。由于虚拟机的虚拟IP地址可能不再与租户相关联,因此可以回收以重用。例如,被污染虚拟IP地址可能在被污染网络资源池中被隔离,直到确定其被清洁为止。一旦虚拟IP地址被清洁(例如,黑名单服务已经从黑名单中移除虚拟IP地址),虚拟IP地址可以在未污染网络资源池中被恢复。如本文中所使用的,虚拟互联网协议地址(VIP)是指IP地址,其被指派给虚拟机,该虚拟机与允许虚拟机发送和接收包的特定设备相对应。
因此,云计算平台可以是更可靠和安全的(例如,具有脏VIP的虚拟机被移除,从而预防进一步滥用),并且更有效率(例如,具有低置信度得分的租户的虚拟机在其资源使用上受限,从而减少资源上的负担,并且释放资源以供其他租户使用,云计算平台可以维护较小VIP集合,从而使得更好地管理和分配VIP)。进一步地,本发明能够快速擦除带有剩余元数据的IP地址(其被指定为被污染),从而减少人为隔离资源的数量,并且以准确和有效的方式增加可用资源池。
示例性分布式存储系统
现在参考图1,图1图示了其中可以采用本公开的实现方式的示例性分布式计算环境100。具体地,图1示出了用于基于包括云计算平台110的滥用预防和修复平台(“优化系统”)来优化云计算基础设施功能的系统的高级体系架构。应当理解,本文中所描述的这种布置和其他布置仅被阐述作为示例。除了所示的那些之外或者作为所示那些的替代,还可以使用其他布置和元件(例如,机器、接口、功能、次序和功能的分组等),并且一些元件可以被完全省略。进一步地,本文中所描述的元件中的许多元件是功能实体,元件可以被实现为离散或分布式部件,或元件可以结合其他部件来实现,以及元件可以以任何合适组合和位置来实现。本文中所描述为由一个或多个实体执行的各种功能可以由硬件、固件和/或软件来执行。比如,各种功能可以由执行被存储在存储器中的指令的处理器执行。
数据中心可以支持分布式计算环境100,其包括云计算平台110、机架120和机架120中的节点130(例如,计算设备、处理单元或刀片)。优化系统可以用云计算平台110实现,其跨越不同数据中心和地理区域运行云服务。云计算平台110可以实现架构控制器140部件,以用于提供和管理云服务的资源分配、部署、升级和管理。通常,云计算平台110用于以分布式方式存储数据或运行服务应用。数据中心中的云计算平台110可以被配置来托管和支持特定服务应用的端点的操作。云计算平台110可以是公共云、私有云、混合云或专用云。
节点130可以被提供有主机150(例如,操作系统或运行时间环境),其在节点130上运行定义的软件栈。节点130还可以被配置来在云计算平台110内执行专门功能(例如,计算节点或存储节点)。节点130被分配以运行租户的服务应用的一个或多个部分。租户可以是指利用云计算平台110的资源的客户。支持特定租户的云计算平台110的服务应用部件可以被称为租户基础设施或租赁。术语服务应用,应用或服务在本文中可互换地使用,并且广义地是指任何软件或软件的部分,其在数据中心的顶部上运行或者访问数据中心内的存储和计算设备位置。
当多于一个单独的服务应用正在被节点130支持时,节点可以被划分成虚拟机(例如,虚拟机152和虚拟机154)。物理机器还可以同时运行单独的服务应用。虚拟机或物理机器可以被配置为由云计算平台110中的资源160(例如,硬件资源和软件资源)支持的个性化计算环境。可以设想,资源可以被配置用于特定服务应用。进一步地,每个服务应用可以被划分成功能部分,以使得每个功能部分能够在单独的虚拟机上运行。在云计算平台110中,多个服务器可以被用来运行服务应用并且在群集中执行数据存储操作。特别地,服务器可以独立地执行数据操作,但是其被公开为被称为群集的单个设备。群集中的每个服务器都可以被实现为节点。
客户端设备180可以链接到云计算平台110中的服务应用。客户端设备180可以是任何类型的计算设备,其可以与参考图6所描述的计算设备600相对应,例如。客户端设备180可以被配置为向云计算平台110发出命令。在实施例中,客户端设备180可以通过虚拟IP和负载平衡器或将通信请求引导到云计算平台110中的指定端点的其他器件与服务应用进行通信。云计算平台110的部件可以通过网络(未示出)彼此通信,该网络可以包括但不限于,一个或多个局域网(LAN)和/或广域网(WAN)。
已经描述了分布式计算环境100和云计算平台110的各个方面,应当指出可以采用任何数目的部件来实现在本公开的范围内的期望的功能。尽管图1的各种部件为了清楚起见用线条示出,但是实际上,描绘各种部件并不那么清楚,并且比喻性地,线条可能更准确地是灰色的或模糊的。进一步地,尽管图1的一些部件被描绘为单个部件,但是描述在本质上和数量上是示例性的,并且不被解释为限制本公开的所有实现方式。
示例性网络管理器系统
图2图示了按照本发明的方面的示例性网络管理器系统。网络管理器系统200可以包括租户简档部件210、网络管理器部件220、网络资源清理部件230和主机节点240。网络管理器系统可以包括滥用预防和修复平台部件,其是指有助于预防并且修复网络滥用的集成部件。该集成部件是指支持本文中所描述的网络滥用防护和修复功能的硬件体系架构和软件框架。硬件体系架构是指物理部件及其相互关系,软件框架是指软件,其提供可以用在设备上操作的硬件来实现的功能。端到端的基于软件的滥用预防和修复平台可以在部件内操作,以操作计算机硬件来提供滥用预防和修复功能。因此,平台部件可以管理资源并且为滥用预防和修复功能提供服务。任何其他的变型及其组合可以用本发明的实施例而进行设想。
通过示例,平台可以包括API库,该API库包括用于例程、数据架构、对象类别和变量的规范,该API库可以支持设备的硬件体系架构和统一滥用预防和修复平台系统的软件框架的交互。如本文中所描述的,这些API包括平台的配置规范,使得平台部件可以彼此通信。租户简档部件210可以包括账单/客户服务门户211、订购置信度评级系统212和架构控制器213。租户简档部件210可以被配置用于跟踪多个租户简档属性,其中租户简档属性有助于量化租户置信度得分;生成包括租户置信度得分的租户简档,其中租户简档与定义租户置信度得分的租户简档属性相关联,并且租户置信度得分是租户使用云计算资源的信誉的指示符;以及传送一个或多个租户的租户置信度得分。例如,账单/客户服务门户211可以向订购置信度评级系统212提供订购账单历史。如果租户置信度得分部分地基于租户的账单历史来计算,则账单/客户服务门户211可以向订购可信度评级系统212提供租户的支付历史以作为租户简档属性。例如,对于具有长历史的及时支付租户,可以将其租户置信度得分评分高于具有短历史支付的租户或具有遗漏付款或拖欠付款的租户。账单/客户服务门户211还可以提供被用于计算租户的租户置信度得分的其他因素。例如,账单/客户服务门户211可以指示订购类型(例如,免费订购、企业协议等)、订购历史、过去行为等。
订购置信度评级系统212可以基于租户简档属性来计算租户置信度得分。例如,租户置信度得分可以使用来自帐单/客户服务门户211的租户的账单历史以作为输入。进一步地,可以从其他部件接收其他租户简档属性。例如,可以从例如网络管理器部件220接收租户的过去行为。如果租户的虚拟机被怀疑具有欺诈服务(例如,经由虚拟机发送的包具有欺诈活动的指示),则该信息可以被发送到订购置信度评级系统212,以计算租户置信度得分。
租户简档属性可以包括租户的账单历史、租户的跟踪的使用行为、租户的服务模型、租户基础设施的代码、租户和租户基础设施的提供商之间的协议类型、租户的认证或上述的组合。例如,账单历史可以包括所接收的支付数目、拖欠付款的数目、付款方法等。租户的跟踪的使用行为可以包括一段时间内的租户活动,云计算提供商可以从这些租户活动中间接或直接推断出租户的恶意活动。此外,租户的服务模型可能包括与先前观察到的恶意活动相一致的特定部件。租户基础设施的代码可能包括已知的欺诈模式或执行异常活动。应当理解,这些示例是说明性的而非限制性的,并且还可以设想其他属性。
架构控制器213可以向租户提供资源。架构控制器213支持提供和管理云服务的资源分配、部署、升级和管理。例如,架构控制器可以将VIP指派给租户。
网络管理器部件220可以访问与来自租户简档部件210的租户相关联的租户置信度得分,并且标识用于具有租户置信度得分的租户的一个或多个策略,这些策略限制对云计算资源的访问。可以设想,各个策略可以与定义租户得分的特定租户简档属性相对应,以使得当标识要应用于租户的策略时,租户得分和各个租户属性是因素。例如,可以定义租户得分,影响得分的特定租户简档属性是对云的网络带宽有潜在危害的观察到的使用行为。因此,所实现的特定策略可以是网络带宽节制策略。在这方面,租户得分和特定租户简档属性两者都可以确定要应用于租户的选择的策略。这些政策可能被传送来在租户基础设施上应用策略。网络管理器部件220还可以维护干净和肮脏VIP的单独列表。网络管理器部件220可以在更新租户简档时,访问租户置信度得分,基于租户置信度得分的改变来调整应用于租户基础设施的策略,并且传送在租户基础设施上应用调整后的策略的指示。策略的调整可以包括:基于租户置信度得分来选择一个或多个策略,该一个或多个策略节制网络活动或对租户基础设施的网络活动的解除节制。例如,租户可用的带宽或正在被发送的包的数目可能会受到节制。还可以设想网络活动的其他节制。在一些实施例中,网络管理器部件220可以调用一个或多个策略在租户基础设施上的应用。
网络资源清理部件230可以从网络管理器部件220接收脏VIP并且返回干净VIP。例如,如果IP地址已经被确定为脏,则网络管理器部件220可以向网络资源清理部件230指示IP地址。网络资源清理部件可以隔离被污染网络资源池中的网络资源,直到网络资源已被确定为未污染为止。网络资源清理部件230可以例如使用自动API执行清理例程,该清理例程传送对被污染资源的修复动作。例如,网络资源清理部件230可以向黑名单服务提供商传送租户不再使用的IP地址,并且可以采取步骤从黑名单中移除该IP地址。在一些实施例中,网络资源清除部件230可以确定什么了导致IP地址出现在黑名单上,解析出现在黑名单上的IP地址的原因,并且向黑名单服务提供商传送为解析IP地址出现在黑名单上的原因而采取的步骤。一旦确定IP地址是干净的,网络资源清理部件230就可以恢复未污染网络资源池中的VIP。
如果已经接收到VIP已经被放置在黑名单上的指示或已经接收到VIP已经被防火墙阻止的指示,则VIP可以被标记为脏的(即,被确定为被污染)。尽管用于租户的策略限制了对云计算资源的访问,但是租户仍然可能在云计算平台上执行恶意活动,从而导致VIP被确定为脏的。即使租户不再使用云计算平台,VIP也将继续脏,直到它被从黑名单中移除为止。因此,当VIP已经被标记为脏时,网络管理器部件220不会将其分配给未来租户,直到网络资源清理部件230已经执行清理例程并且VIP是干净的为止。
主机节点240可以包括虚拟交换机241、虚拟机242和网络管理器代理243。虚拟交换机241允许一个或多个虚拟机之间的通信。虚拟交换机可以被配置用于标识租户基础设施的虚拟机并且指令网络管理器代理243在虚拟机上实现一个或多个策略。虚拟机242是安装在用作用户的专用系统的云计算平台上的操作系统或应用程序环境。多个虚拟机可以被托管在单个服务器上,并且可以经由虚拟交换机241进行通信。网络管理器代理243可以从网络管理器部件220接收策略,并且基于租户的置信度评级将策略应用于属于租户的虚拟机的主机分组过滤器。这些策略可以设置关于用户数据报协议(UDP)/传输控制协议(TCP)或连接速率的节制和/或访问控制列表(ACL),或可能限制到某些端口和IP的连接。网络管理器代理243还可以测量虚拟机活动并且将该信息递送给网络管理器部件220,以使网络管理器部件220可以基于虚拟机的过去行为来调整其策略。
已经对网络管理器系统200的方面进行了描述,应当指出可以采用任何数目的部件在本公开的范围内实现期望的功能。尽管图2的各种部件为了清楚起见用线条示出,但是实际上,描绘各种部件不是那么清楚,并且比喻性地线条可能更准确地是灰色或模糊的。进一步地,尽管图2的一些部件被描绘为单个部件,但是描述在本质上和数量上是示例性的,并且不被解释为限制本公开的所有实现方式。
预防和修复网络滥用的示例性方法
现在转到图3,示出了根据本发明的方面的、用于预防和修复云中的租户的网络滥用的方法300。方法300可以在数据中心中或跨多个数据中心的一个或多个服务器上执行。
在步骤310处,可以跟踪多个租户简档属性,该租户简档属性有助于量化租户置信度得分。租户简档属性可以包括租户的账单历史、租户的跟踪的使用行为、租户的服务模型、租户基础设施的代码、租户和租户基础设施的提供商之间的协议类型、租户的认证或上述的组合。例如,账单历史可以包括收到的付款的数目、拖欠付款的数目、付款方式等。
在步骤320处,可以生成包括租户置信度得分的租户简档,该租户简档与定义租户置信度得分的多个租户简档属性相关联,并且该租户置信度得分是租户使用云计算资源的信誉的指示符。例如,所跟踪的使用行为、服务模型和租户的代码可以与已知的欺诈使用行为、服务模型和代码进行比较。如果所跟踪的租户的使用行为、服务模型和代码与已知的欺诈使用行为、服务模型和代码类似,则可以降低租户置信度得分。
在步骤330处,可以针对一个或多个租户传送租户置信度得分,并且在步骤340处,可以针对租户访问租户置信度得分,该租户置信度得分与租户的租户简档相对应。
在步骤350处,基于租户置信度得分,可以针对具有置信度得分的租户标识一个或多个策略,该一个或多个策略限制对云计算资源的访问。例如,一个或多个策略可能包括:阻止传出简单邮件传输协议(SMTP)端口、阻止远程桌面协议(RDP)端口、阻止UDP端口,限制TCP和UDP业务、限制带宽、排序业务优先级和限制SYN(同步)分组的速率。在一些实施例中,阈值被用来基于置信度得分,确定要采取的适当的动作。例如,如果租户置信度得分低于某个值,则可能会阻止所有SMTP端口。
在步骤360处,可以传送在租户基础设施上应用一个或多个策略的指示。例如,图2中的网络管理器部件220可以指令网络管理器代理243应用一个或多个策略。在租户置信度得分随时间改变时,一个或多个策略可能改变,从而允许在计算资源的使用上实现更多或更少的限制。
在步骤370处,网络资源可以被确定为被污染。例如,黑名单服务可以指示虚拟机的VIP在黑名单上。在一些实施例中,网络资源可以基于租户置信度得分来被确定为被污染。例如,如果租户置信度得分低于阈值,则网络资源可以被确定为被污染。
在步骤380处,网络资源可以在被污染网络资源池中被隔离,并且在步骤390处,可以执行清理例程,该清理例程传送对被污染资源的修复动作。例如,如果网络资源被确定为被污染,则网络资源可能与租户解除关联。在一些实施例中,网络资源已经被放置在黑名单上,并且如果是这样,则可能需要采取修复动作来从黑名单中移除网络资源。例如,清理例程可以使用黑名单服务执行认证,以证明网络资源不再被污染。
在步骤395处,在完成清理例程时,网络资源可以在未污染网络资源池中被恢复。这使得网络资源被另一租户(或者,如果租户被保留,则为同一租户)重用。
现在转到图4,示出了根据本发明的另一方面的、用于基于滥用预防和修复平台来优化云计算基础设施功能的另一方法400。方法400可以在数据中心中的一个或多个服务器上或跨多个数据中心执行。
在步骤410处,可以访问具有租户的租户置信度得分的租户简档。可以给予每个租户租户置信度得分,其中租户置信度得分是租户使用云计算资源的信誉的指示符。例如,如果租户最近订购了云计算平台(即,租户是新租户),则租户的历史可能很少。因此,可能期望措施来预防租户执行某些操作,直到租户已经得到认证或以其他方式给予较高租户置信度得分为止。可以基于多个租户简档属性,生成租户置信度得分,其中租户简档属性有助于量化租户置信度得分。可以生成包括租户置信度得分的租户简档,其中租户简档与定义租户置信度得分的多个租户简档属性相关联,并且租户置信度得分是租户使用云计算资源的信誉的指示符。例如,租户简档属性可以是对云计算平台的订购级别,并且订购级别可以被给予用于计算租户置信度得分的值。作为另一示例,租户在虚拟机上发送的包可以被跟踪。可以分析包的模式,以确定威胁评级(例如,包是恶意的似然性),并且威胁评级可以被用来计算租户置信度得分。因此,租户置信度得分可以用于量化租户使用云计算资源的信誉。
在步骤420处,基于租户的置信度得分,可以针对租户标识一个或多个策略。在一些实施例中,一个或多个策略可以限制对云计算资源的访问。例如,租户在其虚拟机上的操作可能被给予较低优先级。因此,可以在执行较低优先级的操作之前,执行较高优先级的操作。作为另一示例,某些端口可能被阻止。因此,租户只能使用那些未被阻止的端口,从而限制可以在虚拟机上执行的操作类型。
还可以设想其他策略。在一些实施例中,策略可以包括协议策略,其中协议策略可以包括阻止传出简单邮件传输协议(SMTP)端口、阻止远程桌面协议(RDP)端口、阻止用户数据报协议(UDP)端口或限制传输控制协议(TCP)和UDP业务。在一些实施例中,策略可以包括带宽策略,其中带宽策略可以包括:限制租户可用于租户基础设施的带宽量。在一些实施例中,策略可以包括租户优先级策略,其中租户优先级策略可以包括:对业务的优先级进行排序或限制SYN(同步)分组的速率。在一些实施例中,策略可以包括租户移除策略,其中租户优先级策略可以包括:禁用租户基础设施并且将VIP放置在被污染VIP池中,以供进一步调查。
在步骤430处,可以传送在租户基础设施上应用一个或多个策略的指示。例如,租户基础设施上的一个或多个策略可以被传送到网络管理器代理,从而指令网络管理器代理在租户基础设施上实施策略。在一些实施例中,具有租户基础设施的虚拟机的主机节点的虚拟交换机和在虚拟机上运行的网络管理器代理可以指令网络管理器代理在虚拟机上实现一个或多个策略。
在一些实施例中,可以周期性地访问租户简档,从而允许更新租户置信度得分。例如,如果租户没有可疑活动(例如,虚拟机上的活动不触发任何标记),则其置信度可能会增加。应用于租户基础架构的一个或多个策略可以基于租户置信度得分的改变而被更改,其中租户置信度得分的改变基于租户简档中的跟踪的属性。例如,跟踪的属性可能是所发送的包的数目。可以传送在租户基础设施上应用一个或多个策略的指示。例如,可以指令网络管理器代理在虚拟机上实现更改的一个或多个策略。因此,可以不断更新租户置信度得分,以反映租户的最新状态。
现在转到图5,示出了根据本发明的另一方面的、用于基于滥用预防和修复平台来优化云计算基础设施功能的另一方法500。方法500可以在数据中心中的一个或多个服务器上或跨多个数据中心执行。
在步骤510处,确定VIP被污染。在一些实施例中,通过将VIP放在被污染VIP的黑名单上,该VIP可以被确定为被污染。例如,被阻止的IP地址黑名单的提供商可以周期性地更新具有已经被标识为恶意的VIP的黑名单。诸如电子邮件服务之类的服务可以接收黑名单并且阻止来自在黑名单上发现的VIP的通信。在一些实施例中,VIP可以通过被防火墙阻止而被确定为被污染。因此,云服务提供商可以接收VIP被污染指示。尽管上文对确定VIP被污染进行了描述,但是应当理解,描述是说明性的并不旨在限制该确定。例如,可以通过分析经由VIP发送的包,确定VIP被污染。例如,可以标识已知恶意模式,并且如果正在经由VIP发送的包符合已知模式中的一个模式,则VIP可以被标记为被污染。
在步骤520处,VIP可能在被污染VIP池中被隔离。例如。被污染VIP池可能会被保持,其中预防被污染VIP池中的VIP在云计算平台上使用。因此,虽然VIP位于被污染VIP池中时,但是它可能被保持在循环之外(例如,被选择以供重用),直到VIP清洁为止。被污染VIP池可能包括信息,诸如VIP、租户姓名、发现日期和/或用于清理具有黑名单提供商的VIP的其他信息。在一些实施例中,被污染VIP池可能仅包含VIP以及例如通过租户信息可以取回清理VIP的信息。
在步骤530处,可以执行清理例程。该清理例程可以传送用于被污染VIP的修复动作。在一些实施例中,清理例程可以基于应用编程接口(API)来进行自动化,该应用编程接口便于向黑名单的提供商传送修复动作。在一些实施例中,传送修复动作可以包括:传送与VIP相关联的租户的一个或多个跟踪的属性。例如,可以传送关于正在经由VIP发送的包的信息。在一些实施例中,修复动作可以包括:暂停租户、删除租户的虚拟机、阻止或节制虚拟机的资源、向黑名单提供商报告VIP等。例如,如果VIP已经被确定为被污染,则清理例程可能阻止租户在云计算环境上执行操作。
在步骤540处,在完成清理例程时,VIP可以被恢复到干净VIP池。例如,干净VIP池可能包含VIP,其可能被分配给云计算平台的新租户。因此,当新租户订购云计算平台时,可以从清洁VIP池中为租户分配VIP。在一些实施例中,不在被污染VIP池中的所有VIP可以被保持在干净VIP池中,并且VIP可以被标识是否它们已经被分配(即,被租户使用)。
这些配置确保脏VIP被清洁和回收以供重用。通过保证VIP是干净的,只有那些干净VIP保留在云计算平台上,从而实现更有效的资源管理(例如,由于脏VIP不使用资源)以及VIP的有效管理。
示例性操作环境
下文对其中可以实现本发明的实施例的示例性操作环境进行描述,以便为本发明的各个方面提供一般上下文。具体地,首先参考图6,示出了用于实现本发明的实施例的示例性操作环境,并且一般将其指定为计算设备600。计算设备600仅仅是合适的计算环境的一个示例,并不旨在对于本发明的使用范围或功能提出任何限制。计算设备600也不应被解释为具有与所图示的部件的任一个或其组合有关的任何依赖性或要求。
本发明可以在计算机代码或机器可用指令的一般上下文中,进行描述,包括由计算机或其他机器(诸如,个人数据助理或其他手持式设备)执行的诸如程序部件的计算机可执行指令。通常,程序部件(包括例程、程序、对象、部件、数据架构等)是指执行特定任务或实现特定抽象数据类型的代码。本发明的方面可以在多种系统配置中实践,该系统配置包括手持式设备、消费电子装置、通用计算机、专业计算设备等。本发明的方面还可以在分布式计算环境中实践,其中任务由通过通信网络链接的远程处理设备执行。
参考图6,计算设备600包括总线610,其直接或间接耦合以下设备:存储器612、一个或多个处理器614、一个或多个呈现部件616、输入/输出(I/O)端口618、I/O部件620以及说明性电源622。总线610表示可以是一个或多个总线(诸如,地址总线、数据总线或其组合)。尽管图6的各个框图为了清楚起见用线条示出,但是实际上,描绘各种部件并不那么清楚,并且比喻性地线条可能更准确地是灰色和模糊的。例如,可以将诸如显示设备之类的呈现部件视为I/O部件620。此外,处理器具有存储器。发明人认识到这是本领域的性质,并且重申:图6的图仅仅说明了可以结合本发明的一个或多个方面使用的示例性计算设备。在诸如“工作站”、“服务器”、“膝上型计算机”、“手持式设备”等之类的类别之间没有进行区分,这是因为它们都在图6范围内并且是指“计算机”或“计算设备”。
通常,计算设备600包括多种计算机可读介质。计算机可读介质可以是可以由计算设备600访问的任何可用介质,并且包括易失性和非易失性介质、可移除和不可移除介质。通过示例而非限制,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括易失性和非易失性、可移除和不可移除介质,其可以以用于存储诸如计算机可读指令、数据架构、程序模块或其他数据之类的信息的任何方法或技术而实现。
计算机存储介质包括RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储装置、盒式磁带、磁带、磁盘存储装置或其他磁性存储设备。计算机存储介质不包含传播的数据信号。
通信介质通常以诸如载波或其他传输机构之类的经调制的数据信号,来实现计算机可读指令、数据架构、程序模块或其他数据,并且包括任何信息递送介质。术语“经调制的数据信号”意指使得其特征中的一个或多个以这样的方式被设置和改变以在信号中对信息进行编码的信号。作为示例而非限制,通信介质包括诸如有线网络或直接有线连接之类的有线介质以及诸如声学、RF、红外线和其他无线介质之类的无线介质。上述任何组合也应被包括在计算机可读介质的范围内。
存储器612包括易失性和/或非易失性存储器形式的计算机存储介质。存储器612可以是可移除的、不可移除的或其组合。示例性存储器包括固态存储器、硬盘驱动器、光盘驱动器等。计算设备600包括从各种实体(诸如总线610、存储器612或I/O部件620)读取数据的一个或多个处理器614。一个或多个呈现部件616向用户或其他设备呈现数据指示。示例性呈现部件616包括显示设备、扬声器、打印部件、振动部件等。I/O端口618允许计算设备600在逻辑上耦合到包括I/O部件620的其他设备,这些其他设备中的一些可以被内置。
示例性I/O部件包括麦克风、操纵杆、游戏垫、圆盘式卫星天线、扫描仪、打印机、显示设备、无线设备、控制器(诸如触控笔、键盘和鼠标)、自然用户接口(NUI)等。在实施例中,提供笔式数字化仪(未示出)和伴随的输入仪器(也未示出,但是作为示例可以包括笔或者触控笔),以便数字地捕获手写用户输入。笔式数字化仪和一个或多个处理器614之间的连接可以是直接的或者经由利用本领域中已知的串行端口、并行端口和/或其他接口和/或系统总线的耦合。进一步地,数字化仪输入部件可以是与诸如显示设备之类的输出部件分开的部件,或者在一些实施例中,数字化仪的可用输入区域可以与显示设备的显示区域共同扩展、与显示设备集成、或者可以作为覆盖或附加到显示设备的独立设备而存在。任何和所有这样的变化及其任何组合都可以被设想在本发明的实施例的范围之内。
NUI处理由用户生成的空中手势、话音或其他生理输入。适当的NUI输入可以被解释为墨水笔划,以供与计算设备600相关联地呈现。这些请求可以被传送到适当的网络元件以供进一步处理。NUI实现语音识别、触摸和触控笔识别、面部识别、生物识别、屏幕上和屏幕相邻的手势识别、空中手势、头部和眼睛跟踪以及与计算设备600上的显示相关联的触摸识别的任意组合。计算设备600可以配备有深度相机(诸如立体相机系统、红外相机系统、RGB相机系统)以及这些相机的组合,以用于手势检测和识别。附加地,计算设备600可以配备有使得能够检测运动的加速度计或陀螺仪。加速度计或陀螺仪的输出可以被提供给计算设备600的显示器,以再现沉浸式增强现实或虚拟现实。
计算设备可以包括无线电。无线电传送并且接收无线电通信。计算设备可以是无线终端,其适于通过各种无线网络接收通信和媒体。计算设备600可以经由诸如码分多址(“CDMA”)、全球移动系统(“GSM”)或时分多址(“TDMA”)之类的无线协议以及其他协议来与其他设备通信。无线电通信可以是短距离连接、远距离连接、或短距离和长距离无线电信连接的组合。当申请人提到“短”和“长”类型的连接时,我们不是意指两个设备之间的空间关系。相反,我们通常将短距离和长距离作为连接的不同类别或类型(即,主要连接和次要连接)。短距离连接可以包括到设备(例如,移动热点)的连接,其使用802.11协议提供对诸如WLAN连接之类的无线通信网络的接入。到另一计算设备的蓝牙连接是短距离连接的第二示例。远距离连接可以包括使用CDMA、GPRS、GSM、TDMA和802.16协议中的一个或多个协议的连接。
因而,本发明的实施例可以在由计算机执行的、诸如程序模块之类的计算机可执行指令的一般上下文中进行描述。通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、部件、数据架构等。实施例也可以在分布式计算环境或云环境中被实践,其中任务由通过通信网络链接的远程处理设备来执行。在分布式计算环境中,程序模块可以位于包括存储器存储设备在内的本地计算机存储介质和远程计算机存储介质中。
已经关于特定实施例对本发明的实施例进行了描述,这些特定实施例在所有方面都旨在说明性的而非限制性的。在不背离本发明范围的情况下,对于本发明所属领域的普通技术人员而言,备选的实施例将变得显而易见。
本发明的方面已经被描述为说明性的而非限制性的。应当理解,某些特征和子组合具有实用性,并且可以在不参考其他特征和子组合的情况下被采用。这是由权利要求的范围而设想到的并且也在权利要求的范围之内。
Claims (15)
1.一种用于基于滥用预防和修复平台来优化一个或多个云计算基础设施功能的系统,包括:
处理器和存储器,所述存储器被配置用于向所述处理器提供计算机程序指令;
租户简档部件,其被配置用于:
跟踪多个租户简档属性,所述租户简档属性便于量化租户置信度得分;
生成包括租户置信度得分的租户简档,所述租户简档与定义所述租户置信度得分的所述多个租户简档属性相关联,所述租户置信度得分是租户使用云计算资源的信誉的指示符;以及传送用于一个或多个租户的租户置信度得分;以及
网络资源清理部件,其被配置用于:
确定网络资源被污染;
隔离在被污染网络资源池中的所述网络资源;
执行清理例程,所述清理例程传送针对被污染资源的修复动作;以及
在所述清理例程完成时,在未污染网络资源池中恢复所述网络资源。
2.根据权利要求1所述的系统,还包括网络管理器部件,所述网络管理器部件被配置用于:
访问与租户相关联的所述租户置信度得分,所述租户置信度得分与所述租户的租户简档相对应;
部分地基于所述租户置信度得分,标识用于所述租户的一个或多个策略,所述一个或多个策略限制对云计算资源的访问;以及
调用所述一个或多个策略在所述租户基础设施上的应用。
3.根据权利要求2所述的系统,其中所述网络管理器还被配置用于:
在更新所述租户简档时,访问所述租户置信度得分;
基于所述租户置信度得分的改变,来调整应用于所述租户基础设施的所述一个或多个策略,其中所述租户置信度得分的所述改变是基于所述租户简档中的所跟踪的属性;以及
传送一个指示,以在所述租户基础设施上应用经调整的所述一个或多个策略。
4.根据权利要求3所述的系统,其中调整所述一个或多个策略包括:基于所述租户置信度得分来选择对所述租户基础设施的网络活动进行节制或对所述租户基础设施的网络活动解除节制的一个或多个策略。
5.根据权利要求1所述的系统,还包括:
主机节点,所述主机节点具有虚拟交换机,所述租户基础设施的虚拟机以及在所述虚拟机上运行的网络管理器代理,其中所述虚拟交换机被配置用于:
标识所述租户基础设施的所述虚拟机;以及
指令所述网络管理器代理在所述虚拟机上实现所述一个或多个策略。
6.根据权利要求1所述的系统,其中所述网络资源是互联网协议(IP)地址,其中所述IP地址是虚拟互联网协议地址(VIP),所述VIP是云计算基础设施中的多个VIP中的一个VIP,所述云计算基础设施支持未污染VIP的干净池和被污染VIP的隔离池。
7.根据权利要求6所述的系统,其中确定所述网络资源被污染是基于以下至少一项:
接收到所述VIP已经被置于黑名单上的指示;以及
接收到所述VIP已经被防火墙阻止的指示。
8.一种用于基于滥用预防和修复平台来优化云计算基础设施功能的计算机实现的方法,所述方法包括:
访问具有用于租户的租户置信度得分的租户简档,所述租户置信度得分是租户使用云计算资源的信誉的指示符;
基于所述租户的所述置信度得分,标识用于所述租户的一个或多个策略,所述一个或多个策略限制对云计算资源的访问;以及
传送在所述租户基础设施上应用所述一个或多个策略的指示。
9.根据权利要求8所述的方法,其中所述租户置信度得分基于以下而被生成:
跟踪多个租户简档属性,其中所述租户简档属性便于量化租户置信度得分;以及
生成包括租户置信度得分的租户简档,其中所述租户简档与定义所述租户置信度得分的所述多个租户简档属性相关联,其中所述租户置信度得分是租户使用云计算资源的信誉的指示符。
10.根据权利要求9所述的方法,其中所述租户简档属性包括以下至少一项:
所述租户的账单历史,
租户的被跟踪的使用行为,
所述租户的服务模型,
所述租户基础设施的代码,
所述租户和所述租户基础设施的提供商之间的协议类型,以及
所述租户的认证。
11.根据权利要求10所述的方法,其中被跟踪的所述使用行为、所述服务模型和所述租户的代码与已知欺诈使用行为、服务模型和代码进行比较。
12.根据权利要求9所述的方法,还包括:
周期性地访问所述租户简档;
基于所述租户置信度得分的改变来更改被应用于所述租户基础设施的所述一个或多个策略,其中所述租户置信度得分的所述改变是基于跟踪的所述多个租户简档属性;以及
传送在所述租户基础设施上应用所述一个或多个策略的指示。
13.根据权利要求8所述的方法,其中所述一个或多个策略包括协议策略,其中所述协议策略包括以下至少一项:
阻止传出简单邮件传输协议(SMTP)端口,
阻止远程桌面协议(RDP)端口,
阻止用户数据报协议(UDP)端口,以及
限制传输控制协议(TCP)和UDP业务。
14.根据权利要求8所述的方法,其中应用所述一个或多个策略的所述指示被传送,以使得具有所述租户基础设施的虚拟机的主机节点的虚拟交换机和在所述虚拟机上运行的网络管理器代理,来指令所述网络管理器代理在所述虚拟机上实现所述一个或多个策略。
15.一个或多个计算机存储介质,所述计算机存储介质具有在其上被包含的计算机可执行指令,所述计算机可执行指令当被一个或多个处理器执行时,使得所述一个或多个处理器执行用于基于滥用预防和修复平台来优化云计算基础设施功能的方法,所述方法包括:
确定虚拟互联网协议地址(VIP)被污染;
将所述VIP隔离在被污染VIP池中,所述隔离排除所述VIP以免被选择使用,直至VIP干净为止;
执行清理例程,所述清理例程传送用于被污染的所述VIP的修复动作;以及
在所述清理例程完成时,将所述VIP恢复到干净VIP池。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/788,271 US10187410B2 (en) | 2015-06-30 | 2015-06-30 | Automatically preventing and remediating network abuse |
US14/788,271 | 2015-06-30 | ||
PCT/US2016/039921 WO2017004097A1 (en) | 2015-06-30 | 2016-06-29 | Automatically preventing and remediating network abuse |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107750362A true CN107750362A (zh) | 2018-03-02 |
CN107750362B CN107750362B (zh) | 2021-01-15 |
Family
ID=56413874
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680034958.XA Active CN107750362B (zh) | 2015-06-30 | 2016-06-29 | 自动预防和修复网络滥用 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10187410B2 (zh) |
EP (1) | EP3317804B1 (zh) |
CN (1) | CN107750362B (zh) |
WO (1) | WO2017004097A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111010416A (zh) * | 2018-10-04 | 2020-04-14 | Sap欧洲公司 | 本地瘦云租户 |
Families Citing this family (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
SG11201710084SA (en) * | 2015-06-19 | 2018-01-30 | Huawei Tech Co Ltd | Network status information transfer method and network device |
US10333959B2 (en) | 2016-08-31 | 2019-06-25 | Nicira, Inc. | Use of public cloud inventory tags to configure data compute node for logical network |
US10367757B2 (en) | 2016-08-27 | 2019-07-30 | Nicira, Inc. | Extension of network control system into public cloud |
US11973758B2 (en) * | 2016-09-14 | 2024-04-30 | Microsoft Technology Licensing, Llc | Self-serve appliances for cloud services platform |
US10491516B2 (en) | 2017-08-24 | 2019-11-26 | Nicira, Inc. | Packet communication between logical networks and public cloud service providers native networks using a single network interface and a single routing table |
US10567482B2 (en) * | 2017-08-24 | 2020-02-18 | Nicira, Inc. | Accessing endpoints in logical networks and public cloud service providers native networks using a single network interface and a single routing table |
CN114584465A (zh) | 2017-08-27 | 2022-06-03 | Nicira股份有限公司 | 在公共云中执行在线服务 |
US10862753B2 (en) | 2017-12-04 | 2020-12-08 | Nicira, Inc. | High availability for stateful services in public cloud logical networks |
US10601705B2 (en) | 2017-12-04 | 2020-03-24 | Nicira, Inc. | Failover of centralized routers in public cloud logical networks |
US11200320B2 (en) | 2018-03-30 | 2021-12-14 | Microsoft Technology Licensing, Llc | Coordinating service ransomware detection with client-side ransomware detection |
US10917416B2 (en) | 2018-03-30 | 2021-02-09 | Microsoft Technology Licensing, Llc | Service identification of ransomware impacted files |
US10963564B2 (en) * | 2018-03-30 | 2021-03-30 | Microsoft Technology Licensing, Llc | Selection of restore point based on detection of malware attack |
US11308207B2 (en) | 2018-03-30 | 2022-04-19 | Microsoft Technology Licensing, Llc | User verification of malware impacted files |
CN110611723B (zh) * | 2018-06-15 | 2021-05-11 | 华为技术有限公司 | 一种服务资源的调度方法及装置 |
US11343229B2 (en) | 2018-06-28 | 2022-05-24 | Vmware, Inc. | Managed forwarding element detecting invalid packet addresses |
US11507653B2 (en) * | 2018-08-21 | 2022-11-22 | Vmware, Inc. | Computer whitelist update service |
US11196591B2 (en) | 2018-08-24 | 2021-12-07 | Vmware, Inc. | Centralized overlay gateway in public cloud |
US11374794B2 (en) | 2018-08-24 | 2022-06-28 | Vmware, Inc. | Transitive routing in public cloud |
US11363063B2 (en) * | 2018-12-28 | 2022-06-14 | Charter Communications Operating, Llc | Botnet detection and mitigation |
GB2581389B (en) * | 2019-02-15 | 2021-12-29 | F Secure Corp | Spam detection |
US11916758B2 (en) * | 2019-08-02 | 2024-02-27 | Cisco Technology, Inc. | Network-assisted application-layer request flow management in service meshes |
CN111538562B (zh) * | 2020-04-14 | 2024-02-23 | 上海仪电(集团)有限公司中央研究院 | 云计算平台上Linux云主机业务连续性测试方法及装置 |
US11824881B2 (en) | 2020-04-15 | 2023-11-21 | T-Mobile Usa, Inc. | On-demand security layer for a 5G wireless network |
US11799878B2 (en) | 2020-04-15 | 2023-10-24 | T-Mobile Usa, Inc. | On-demand software-defined security service orchestration for a 5G wireless network |
US11444980B2 (en) | 2020-04-15 | 2022-09-13 | T-Mobile Usa, Inc. | On-demand wireless device centric security for a 5G wireless network |
US11070982B1 (en) | 2020-04-15 | 2021-07-20 | T-Mobile Usa, Inc. | Self-cleaning function for a network access node of a network |
US20210334377A1 (en) * | 2020-04-23 | 2021-10-28 | Vmware, Inc. | Method for dynamically establishing a secure computing infrastructure |
US11206542B2 (en) | 2020-05-14 | 2021-12-21 | T-Mobile Usa, Inc. | 5G cybersecurity protection system using personalized signatures |
US11057774B1 (en) | 2020-05-14 | 2021-07-06 | T-Mobile Usa, Inc. | Intelligent GNODEB cybersecurity protection system |
US11115824B1 (en) | 2020-05-14 | 2021-09-07 | T-Mobile Usa, Inc. | 5G cybersecurity protection system |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1936910A (zh) * | 2005-11-16 | 2007-03-28 | 白杰 | 未知病毒程序的识别及清除方法 |
US20130091584A1 (en) * | 2011-10-05 | 2013-04-11 | Mcafee, Inc. | Distributed System and Method for Tracking and Blocking Malicious Internet Hosts |
US20150052520A1 (en) * | 2013-08-19 | 2015-02-19 | International Business Machines Corporation | Method and apparatus for virtual machine trust isolation in a cloud environment |
US20150081767A1 (en) * | 2013-09-17 | 2015-03-19 | Cisco Technology, Inc. | Redundancy network protocol system |
US20150143527A1 (en) * | 2010-12-29 | 2015-05-21 | Amazon Technologies, Inc. | Managing virtual computing testing |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100994076B1 (ko) * | 2010-04-12 | 2010-11-12 | 주식회사 나우콤 | 엔에이티 망용 웹서비스 정상사용자차단방지시스템 및 그의 제어방법 |
US8505097B1 (en) | 2011-06-30 | 2013-08-06 | Emc Corporation | Refresh-and-rotation process for minimizing resource vulnerability to persistent security threats |
US9460290B2 (en) | 2011-07-19 | 2016-10-04 | Elwha Llc | Conditional security response using taint vector monitoring |
US20130124644A1 (en) * | 2011-11-11 | 2013-05-16 | Mcafee, Inc. | Reputation services for a social media identity |
CN102779297A (zh) | 2012-06-28 | 2012-11-14 | 浪潮(山东)电子信息有限公司 | 基于云计算的信用评级模型配置管理系统及其应用方法 |
US20140351429A1 (en) | 2013-05-26 | 2014-11-27 | Connectloud, Inc. | Method and Apparatus to Elastically Modify Size of a Resource Pool |
-
2015
- 2015-06-30 US US14/788,271 patent/US10187410B2/en active Active
-
2016
- 2016-06-29 CN CN201680034958.XA patent/CN107750362B/zh active Active
- 2016-06-29 EP EP16739328.9A patent/EP3317804B1/en active Active
- 2016-06-29 WO PCT/US2016/039921 patent/WO2017004097A1/en active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1936910A (zh) * | 2005-11-16 | 2007-03-28 | 白杰 | 未知病毒程序的识别及清除方法 |
US20150143527A1 (en) * | 2010-12-29 | 2015-05-21 | Amazon Technologies, Inc. | Managing virtual computing testing |
US20130091584A1 (en) * | 2011-10-05 | 2013-04-11 | Mcafee, Inc. | Distributed System and Method for Tracking and Blocking Malicious Internet Hosts |
US20150052520A1 (en) * | 2013-08-19 | 2015-02-19 | International Business Machines Corporation | Method and apparatus for virtual machine trust isolation in a cloud environment |
US20150081767A1 (en) * | 2013-09-17 | 2015-03-19 | Cisco Technology, Inc. | Redundancy network protocol system |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111010416A (zh) * | 2018-10-04 | 2020-04-14 | Sap欧洲公司 | 本地瘦云租户 |
Also Published As
Publication number | Publication date |
---|---|
US20170006053A1 (en) | 2017-01-05 |
EP3317804A1 (en) | 2018-05-09 |
CN107750362B (zh) | 2021-01-15 |
WO2017004097A1 (en) | 2017-01-05 |
US10187410B2 (en) | 2019-01-22 |
EP3317804B1 (en) | 2019-07-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107750362A (zh) | 自动预防和修复网络滥用 | |
CN103718164B (zh) | 虚拟计算机和服务 | |
Bisong et al. | An overview of the security concerns in enterprise cloud computing | |
CN102947797B (zh) | 使用横向扩展目录特征的在线服务访问控制 | |
CN104580349B (zh) | 安全云管理代理 | |
CN103688505B (zh) | 虚拟化环境中的网络过滤 | |
TW201703485A (zh) | 編排實體與虛擬交換器以執行安全邊界之系統及方法 | |
Sharma et al. | Literature review: Cloud computing-security issues, solution and technologies | |
Shayan et al. | Identifying Benefits and risks associated with utilizing cloud computing | |
CN104040550A (zh) | 集成安全策略和事件管理 | |
CN108431778A (zh) | 对虚拟桌面实例池的管理 | |
CN107005584A (zh) | 内联服务交换机 | |
KR20170133479A (ko) | 네트워크 공격들에 대한 방어 방법 및 디바이스 | |
CN102333079A (zh) | 一种磁盘空间清理方法 | |
US11711241B2 (en) | Techniques for utilizing multiple network interfaces for a cloud shell | |
CN109472656B (zh) | 一种虚拟物品的展示方法、装置和存储介质 | |
CN104836696B (zh) | 一种ip地址的检测方法及装置 | |
Achar | An overview of environmental scalability and security in hybrid cloud infrastructure designs | |
CN110226155A (zh) | 在主机上收集和处理上下文属性 | |
US20120317039A1 (en) | On-demand purchase of virtual image licenses in a cloud computing environment | |
CN109361675A (zh) | 一种信息安全保护的方法、系统及相关组件 | |
JP2020095459A (ja) | 履歴監視方法、監視処理装置および監視処理プログラム | |
CN106664305A (zh) | 确定数据的信誉 | |
US11784996B2 (en) | Runtime credential requirement identification for incident response | |
JP2023538870A (ja) | クラウドシェルのインスタンスにわたってデータを永続化するための技法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |