CN108605264A - 网络管理 - Google Patents

网络管理 Download PDF

Info

Publication number
CN108605264A
CN108605264A CN201680079429.1A CN201680079429A CN108605264A CN 108605264 A CN108605264 A CN 108605264A CN 201680079429 A CN201680079429 A CN 201680079429A CN 108605264 A CN108605264 A CN 108605264A
Authority
CN
China
Prior art keywords
network node
behavior
node
network
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201680079429.1A
Other languages
English (en)
Other versions
CN108605264B (zh
Inventor
斯蒂芬·莱西
米科·亚尔瓦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Comptel Corp
Original Assignee
Comptel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Comptel Corp filed Critical Comptel Corp
Publication of CN108605264A publication Critical patent/CN108605264A/zh
Application granted granted Critical
Publication of CN108605264B publication Critical patent/CN108605264B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3604Software analysis for verifying properties of programs
    • G06F11/3612Software analysis for verifying properties of programs by runtime analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5011Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resources being hardware resources other than CPUs, Servers and Terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0823Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0896Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • H04L41/122Discovery or management of network topologies of virtualised topologies, e.g. software-defined networks [SDN] or network function virtualisation [NFV]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/40Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/20Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Social Psychology (AREA)
  • Power Engineering (AREA)
  • Quality & Reliability (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Materials For Photolithography (AREA)

Abstract

根据本发明的示例方面,提供了一种设备,该设备包括:存储器,该存储器被配置为储存表征至少一种运行时行为模式的信息;至少一个处理核,该至少一个处理核被配置为至少部分地基于所储存的信息执行关于网络节点的行为确定,并且作为对该行为确定的结果的响应,验证网络节点是否被包括在有效网络节点的列表上。

Description

网络管理
技术领域
本发明涉及管理网络诸如例如通信网络的领域。
背景技术
通信网络诸如例如蜂窝通信网络是由网络节点组成的。网络的网络节点可以被细分为不同的节点类型,例如,蜂窝通信网络可以包括基站、基站控制器、交换机、网关和应用功能件(function,功能)。互联网协议IP网络可以包括路由器和网关。
在设计网络时,规划者可以预估网络覆盖区域中的负载情况。例如,可以预估通信在城市的繁忙区段中比在边远区域中更频繁地并且以更高的强度发生。因此,在蜂窝网络的情形中,可以使较繁忙区域中的小区较小,并且被分配来控制这些较小型小区的基站可以配备充分的数据处理能力以处理高峰值负载。例如,基站可以配备有若干数据处理卡。同样地,负责传送去往和来自具有高期望峰值负载的基站的数据的网络节点的大小可以被设计成能够处理这些高负载。
可以采用网络功能件的虚拟化以简化网络维护。在功能件已经至少部分地被虚拟化的网络中,虚拟化网络功能件(virtualized network function,虚拟化网络功能)可以作为软件实体在服务器计算机上运行,所述服务器计算机可以位于例如数据中心中。取决于被虚拟化的网络功能件的类型,例如取决于功能件是简单的还是复杂的,虚拟化网络功能件VNF可以被分成多个VNF组件,VNFC。简单VNF的实例是防火墙,而归属位置寄存器则是复杂VNF的实例。
不法分子可以采用恶意软件攻击目标。攻击背后的动机可以包括,例如,间谍活动、盗窃、身份盗窃、报复、网络战和网络恐怖主义。恶意软件可以采取计算机病毒的形式,例如Trojans和rootkits。对抗恶意软件的应对措施包括防病毒程序、防火墙和数据安全程序。
发明内容
本发明由独立权利要求的特征限定。一些特定的实施方式在从属权利要求中进行限定。
根据本发明的第一方面,提供了一种设备,该设备包括:存储器,所述存储器被配置为储存表征至少一种运行时(run-time,运行时间)行为模式的信息;至少一个处理核,所述至少一个处理核被配置为至少部分地基于所储存的信息执行关于网络节点的行为确定,并且作为对所述行为确定的结果的响应,验证网络节点是否被包括在有效网络节点的列表上。
第一方面的各种实施方式可以包括来自以下项目符号列表的至少一个特征:
·网络节点是虚拟化网络功能件或者是虚拟化网络功能件的组件
·至少一个处理核被配置为验证网络节点具有有效证书
·至少一个处理核被配置为:作为对行为确定的结果的响应,自动地验证网络节点是否具有有效证书,而无需用户干预
·运行时行为模式包括下述四种模式中的至少一种:第一,与网络节点的能力的下降相结合的CPU负载的增加;第二,存储器使用增加,通信吞吐量没有并发增加;第三,来自网络节点的传出流量增加,进入网络节点的传入流量没有对应增加;以及第四,网络节点被实例化并且是活跃的(active,起作用的、积极的),但没有包括在第一列表中
·执行行为确定包括从运行网络节点的计算基体(substrate,底层、基层)请求运行时信息
·验证网络节点是否具有有效证书包括:获得网络节点的证书,并且从验证功能件询问证书是否有效
·验证功能件包括拥有有效证书的列表的节点或功能件
·证书包括下述中至少之一:网络节点的执行环境的至少一部分的散列;网络节点的公开密钥;网络节点的私有密钥;与网络节点有关的数据的静态特征;以及密码令牌
·验证网络节点是否具有有效证书包括:向网络节点发送签名请求;作为响应,从节点获得密码签名;以及引起验证密码签名是正确的
·签名请求包括令牌,以用于网络节点利用其私有密钥进行签名。
根据本发明的第二个方面,提供了一种方法,该方法包括:储存表征至少一种运行时行为模式的信息;至少部分地基于所储存的信息执行关于网络节点的行为确定;以及作为对行为确定的结果的响应,验证网络节点是否被包括在有效网络节点的列表上。
第二方面的各种实施方式可以包括至少一个特征,所述至少一个特征对应于来自与第一方面有关地布置的前述项目符号列表的特征。
根据本发明的第三方面,提供了一种装置,包括存储器、至少一个处理核,所述存储器被配置为储存表征至少一种运行时行为模式的信息,所述至少一个处理核被配置为至少部分地基于所储存的信息执行关于网络节点的行为确定,并且响应于行为确定的结果引起网络节点的终止。
第三方面的各种实施方式可以包括来自以下项目符号列表的至少一个特征:
·至少一个处理核被配置为验证网络节点被包括在有效网络节点的列表上
·至少一个处理核被配置为:验证网络节点具有有效证书,并且在网络节点具有有效证书并且被包括在有效网络节点的列表上的情况下,同样引起终止
·装置被配置为基于对网络节点的运行时观察确定运行时行为模式。
根据本发明的第四方面,提供了一种方法,该方法包括:储存表征至少一种运行时行为模式的信息;至少部分地基于所储存的信息执行关于网络节点的行为确定;以及响应于行为确定的结果引起网络节点的终止。
第四方面的各种实施方式可以包括至少一个特征,所述至少一个特征对应于来自与第三个方面有关地布置的前述项目符号列表的特征。
根据本发明的第五方面,提供了一种设备,所述设备包括:用于储存表征至少一种运行时行为模式的信息的装置;用于至少部分地基于所储存的信息执行关于网络节点的行为确定的装置;以及用于作为对行为确定的结果的响应验证网络节点是否被包括在有效网络节点的列表上的装置。
根据本发明的第六方面,提供了一种设备,所述设备包括:用于储存表征至少一种运行时行为模式的信息的装置;用于至少部分地基于所储存的信息执行关于网络节点的行为确定的装置;以及用于响应于行为确定的结果引起网络节点的终止的装置。
根据本发明的第七方面,提供了一种非暂时性计算机可读介质,其上储存有一组计算机可读指令,当被至少一个处理器执行时,所述一组计算机可读指令使设备至少:储存表征至少一种运行时行为模式的信息;至少部分地基于所储存的信息执行关于网络节点的行为确定;以及作为对行为确定的结果的响应验证网络节点是否被包括在有效网络节点的列表上。
根据本发明的第八方面,提供了一种非暂时性计算机可读介质,其上储存有一组计算机可读指令,当被至少一个处理器执行时,所述一组计算机可读指令使得设备至少:储存表征至少一种运行时行为模式的信息;至少部分地基于所储存的信息执行关于网络节点的行为确定;以及响应于行为确定的结果引起网络节点的终止。
根据本发明的第九方面,提供了一种计算机程序,所述计算机程序被配置为使根据第二方面和第四方面中至少之一所述的方法被执行。
附图说明
图1例示了能够支持本发明的至少一些实施方式的示例系统;
图2例示了根据本发明的至少一些实施方式的示例网络架构;
图3例示了能够支持本发明的至少一些实施方式的示例设备;
图4例示了根据本发明的至少一些实施方式的信令;
图5例示了根据本发明的至少一些实施方式的信令;
图6是根据本发明的至少一些实施方式的方法的流程图,以及
图7是根据本发明的至少一些实施方式的方法的流程图。
具体实施方式
可以将在网络上运行的VNF或其他网络节点进行列表,以使得能够理解网络中存在哪些节点。也可能存在不在列表上的节点,这些未列出的节点包括合法但隐藏的节点和/或虚假节点。一旦检测到未列出的节点,则可以验证其证书以使得能够区分虚假节点和合法的隐藏节点。这样的验证可以是自动的,使得尽可能少的人员知晓该合法的隐藏节点。可替代地或另外地,在列表上的节点被恶意软件破解(compromise,盗用、危害)的情况下,可以通过检测其改变的行为来检测其改变的行为,使得能够终止被破解的节点。
虽然就蜂窝网络进行了讨论,但是非蜂窝网络将同样用于例示示例系统。非蜂窝技术的实例包括无线区域网WLAN,也称为Wi-Fi,以及全球微波互联接入WiMAX。本发明的实施方式也可以在不发生无线连接的情况下以适当的形式应用于有线网络,诸如IP网络。
图1例示了能够支持本发明的至少一些实施方式的示例系统。在图1的系统中,移动电话110具有与无线电节点122的无线连接112。无线电节点122是包括无线电硬件但包括较少的信息处理功能、或不包括信息处理功能的基站的精简版本。无线电节点132同样地取代了图1的系统中的基站。无线电节点122和无线电节点132两者各自与包括计算机系统的服务器1V1连接,所述计算机系统配置有计算资源诸如处理核和存储器,所述计算资源布置成能够运行基站的信息处理能力,所述基站未在图1的无线电节点中示出。换言之,基站的信息处理功能的至少一部分已被置于图1的系统中的服务器1V1中。
在服务器1V1中进行的与无线电节点122有关的信息处理功能被表示为虚拟化基站120v。在服务器1V1中进行的与无线电节点132有关的信息处理功能被表示为虚拟化基站130v。
服务器1V2在图1的系统中被配置为运行核心网络节点的虚拟化版本。在图1的系统中,运行虚拟化核心网络节点140v的服务器1V2可以包括例如移动性管理实体MME或路由器。核心网络节点140v还与另一核心网络节点150v可操作地连接。另一核心网络节点150v可以包括例如被配置为提供到另外的网络诸如互联网的访问的网关,例如150v。在使用中,虚拟化基站120v可以从无线电节点122接收信息并且对接收到的信息执行处理操作。虚拟化基站120v可以被配置为例如将其已处理的信息转发(forward,发送、转送)到服务器1V2中的虚拟化核心网络节点140v。
服务器1V1和1V2可以基于通用计算技术,例如,诸如一组x86架构多核处理器或精简指令集计算RISC处理器。服务器1V1不需要基于与服务器1V2相同的计算技术。
一般地,虚拟化网络功能件可以包括通用计算硬件上的软件实体,所述软件实体被配置为至少部分地根据与对应的未被虚拟化的网络功能件——即,在专用的硬件上运行的网络功能件——相同的规格执行。通过通用计算硬件意味着该硬件未被设计成运行特定类型的虚拟化网络功能件。换言之,虚拟化网络功能件可以包括通信网络的逻辑网络节点的软件实施。这具有这样的效应:就其他网络元件而言,这些其他元件不需要知道该网络元件是否已被虚拟化。因此,例如,虚拟化呼叫会话控制功能件CSCF可以被发送与非虚拟化CSCF相同种类的信息。虚拟化网络功能件VNF可以包括多个虚拟化网络功能件组件VNFC。
图1的系统提供了优于缺少虚拟化网络功能件的系统的优点。具体地,虚拟化基站120v可以根据需要改变规模,而非虚拟化基站的大小必须被设计成始终用于最大期望负载。例如,当负载轻时,虚拟化基站120v可以用服务器1V1中的几个或仅一个处理核来运行,而服务器1V1的其他处理核可以用于其他处理任务,例如诸如网格计算。在动态网络管理活动中,作为对经由无线电节点122的增加的负载的响应,虚拟化基站120v可以被分配更多的处理核。
图1的系统可以执行网络管理活动,每个网络管理活动都涉及至少一个虚拟化网络功能件或虚拟化网络功能件组件。虚拟化网络功能件可以包括例如虚拟化基站和/或虚拟化核心网络节点。网络管理活动可以包括下述中至少之一:增加分配到虚拟化网络功能件或虚拟化网络功能件组件的资源;减少分配到虚拟化网络功能件或虚拟化网络功能件组件的资源;启动虚拟化网络功能件或虚拟化网络功能件组件实例;以及终止虚拟化网络功能件或虚拟化网络功能件组件实例。
启动虚拟化网络功能件或虚拟化网络功能件组件实例可以包括例如至少部分地基于模版或图像初始化新的虚拟化网络功能件或虚拟化网络功能件组件。就图1而言,这可以包括例如初始化服务器1V2中的另一虚拟化核心网络节点“155v”。可以依据至少一个处理器核和存储器对新的虚拟化网络功能件或节点分配资源。一旦关联的软件图像/模版已经被上传到虚拟化基础架构并且已经被添加到虚拟化网络功能件的列表,就可以认为新的虚拟网络功能件被机载(onboard),并且一旦其已经被分派了计算资源,就可以认为所述新的虚拟网络功能件被实例化。通常,虚拟化网络功能件既是机载的也是实例化的。
终止虚拟化网络功能件可以对应地包括使运行虚拟化网络功能件的处理器任务结束。终止本质上可以是平稳的,其中,例如,由待被终止的虚拟化网络功能件服务的任何用户都被移交给另一虚拟化网络功能件,以避免连接中断。终止也可以是突然的,例如在确定虚拟化网络功能件行为异常的情况下,运营者可以选择突然终止。行为异常可以例如通过将VNF的行为与行为模式进行比较来确定。
作为对两个服务器1V1和1V2的替代,可以根据实施方式和网络实现来采用其它数量的服务器。例如,可以使用一个、三个或七个服务器。一般地,服务器是被布置成运行虚拟化网络功能件和/或虚拟化网络功能件组件的计算装置的实例。这样的装置可以可替代地被称为计算基体。
图1的系统包括运行虚拟化控制节点160v的另一服务器1V3。在具有同等设施的情况下,该控制节点例如可以是非虚拟的,或者是虚拟化的且在服务器1V1或1V2上运行。在这里为了简洁起见参考控制节点的情况下,应当理解,虚拟化控制节点160v可以被配置为执行与不同控制节点类似的活动并且承担与不同控制节点类似的角色。
控制节点被配置为收集关于图1的网络中包括的网络节点的运行的信息。例如,控制节点可以被配置为执行看门狗功能以检测其他节点中的错误状态。控制节点可以被布置成获得使该控制节点或另一节点能够派生(derive,取得、导出)表征另一个或多个节点的行为的行为模式的运行时信息。例如,在虚拟化核心网络节点140v被病毒感染的情况下,可以修改虚拟化核心网络节点140v的行为模式。
如以上结合图1所描述的,控制节点可以获得使该控制节点或另一节点能够派生表征另一个或多个网络节点的行为的行为模式的运行时信息。例如,可以通过从运行该一个或多个网络节点的服务器请求来获得这一信息。运行时信息与当节点或虚拟化网络元件运作即运行时所生成的信息相关。同样地,运行时行为模式表征运作期间的行为。
在恶意程序诸如病毒、Trojan或rootkit设法获得对网络管理功能件诸如VIM的访问的情况下,这种恶意程序可以引起虚拟化网络功能件在适当的选定服务器上被实例化到网络中。恶意程序可以另外地或可替代地感染网络中已存在的VNF。被恶意程序实例化的虚拟化网络功能件将被称为虚假的虚拟化网络功能件。虚假的虚拟化网络功能件可以用于执行违背网络运营者的利益的活动,例如,包括侦察经由网络传送的通信、从网络发送垃圾邮件、或者促进对运营者或执法部门不可见的隐秘通信。被虚假地实例化的VNF可以是经由被破解的VIM实例化的,而无需VNFM或NFVO层中的可见性。
控制节点可以获得有关网络节点——物理节点、虚拟化网络功能件或服务器——的行为模式。行为模式可以包括下述中至少之一:
·与网络节点的能力的下降相结合的CPU负载的增加
·存储器使用增加,通信吞吐量没有并发增加
·来自网络节点的传出流量增加,进入网络节点的传入流量没有对应增加
·或者在已建立的模式中反映在多度量上的更复杂但不大可能的变化
与能力的下降相结合的——即,同时发生的——中央处理单元CPU负载的增加可能暗示CPU资源正被花费在虚假的虚拟化网络功能件或节点上。虚假节点可以包括如图1中的被恶意软件感染的节点。增加的存储器使用通常会与通过节点或虚拟化网络功能件的较高的流量相关联,然而,在存储器被接管的情况下不那样,不伴有通信吞吐量并发增加,这可能是虚假活动正在进行的信号。在可适用的情况下,传出流量的增加而不伴有传入流量的对应增加可能表示虚拟化网络功能件或节点已经变成流量的源,而不是流量的中继。这样的流量可能是虚假的,诸如垃圾邮件或拒绝服务流量。拒绝服务流量可以被包括在拒绝服务攻击中。除了这些行为模式之外,或者作为其替代,模式可以被接收在来自于例如警方或防恶意软件组织的控制节点中,这种所接收的模式表征由特定恶意软件项目生成的虚假的虚拟化网络功能件的行为。行为模式的另一实例是通过观察所讨论的VNF来建立的行为模式,换言之,在VNF开始以与先前所建立的表征其自身的行为模式不同的方式表现的情况下,控制节点可以被触发以执行如本文描述的活动。例如,该模式可以根据观察得以建立。
控制节点可以被配置为:响应于确定网络节点——即虚拟化网络功能件、服务器或节点——是潜在地虚假的,验证该网络节点的至少一个证书。如果行为模式如上虚假地表征在活动的网络节点,那么所述确定可以基于确定网络节点根据该模式进行活动,或者在该模式表征适当地表现的节点的行为的情况下,控制节点可以响应于网络节点偏离该模式来验证证书。换言之,验证证书可以由涉及行为模式的确定触发。该模式本身可以被表示为表征正常的或反常的行为。
该验证可以通过控制节点自动地执行,无需用户干预。换言之,控制节点可以被配置为监控网络节点、网络节点的行为和网络节点的证书作为自动化过程。控制节点可以被配置为响应于表示网络节点不具有有效证书的验证来采取活动。这样的活动也可以是自动的。
控制节点可以被配置为:如果证书验证失败,即网络节点不具有有效证书,则使得关于网络节点采取活动。例如,网络节点可以按比例缩小规模、被隔离放置或被终止。隔离可以包括致使网络节点不能通信。用户可以被告知关于网络节点所采取的活动。
验证证书可以包括例如通过请求从网络节点获得证书,并且响应性地接收证书。此外,控制节点可以检查证书是否被包括在列表中,该列表包括合法网络节点的证书的列表。如果证书不在列表上,那么可以认为该验证失败。如果证书被包括在列表上,那么可以认为该验证成功。检查列表可以包括询问验证功能件证书是否在列表上。从控制节点发送到验证功能件的询问可以包括例如证书或证书的散列。在一些实施方式中,在网络节点在被请求提供证书时无法提供证书的情况下,认为该验证失败。
证书可以包括网络节点的执行环境或者其一部分的散列。证书可以包括网络节点的公开加密密钥。公开密钥和对应的私有密钥形成公开密钥加密密钥对。可替代地或另外地,证书可以包括密码令牌或签名。
在一些实施方式中,验证证书包括将签名请求发送到网络节点。签名请求可以包括令牌,诸如随机数(nonce),用于网络节点利用其私有密钥进行签名。可替代地,可以假设网络节点知道要对哪个信息进行签名,例如,可以期望网络节点对被包括在签名请求的头字段中的时间戳进行签名,这样使得不必提供单独的要签名的令牌。可以利用网络节点的公开密钥对签名进行验证,所述网络节点的公开密钥可在例如控制节点或验证功能件中获得。
一些网络节点可能最初呈现为是虚假的,尽管不是虚假的。例如,电话或数据流量的合法拦截可以通过将拦截型VNF实例化进行布置,以由此隐藏合法拦截的存在,然而该拦截型VNF不是机载的或不包括在有效节点的列表中。在这种情况下,甚至是网络运营者的一些雇员也将不能确定哪个互联网协议IP地址或电话订阅是合法拦截的对象,这增强了安全性。否则,不法分子可以通过使人员潜入到网络运营者工作人员中来获得对合法拦截的信息的访问。合法拦截网络节点可以设置有效证书,如上所述,可以验证所述有效证书以将合法拦截节点与虚假节点区分开。在验证自动发生而无需用户干预的情况下,合法拦截以及实际上其他合法但隐藏的节点的存在可以被更有效地隐藏,同时使人员能够发现并解除虚假网络节点。
因此,启动合法拦截VNF或插入运行的VNFC可以包括实例化VNF或维护当前运行的VNFC并登记其证书,使得如果控制节点拾取合法拦截VNF或VNFC,则该VNF或VNFC将通过由控制节点利用行为模式执行的证书验证。登记证书可以包括在有效证书列表上输入证书,或者提供密码证书,即以向有效证书列表输入公开密钥同时给VNF本身配备对应的私有密钥的形式,使得利用私有密钥产生的密码签名可利用公开密钥验证。证书可以包括与VNF或VNFC有关的数据的静态特征。
在一些实施方式中,控制节点被配置为当检测到不在已知节点列表上的节点时告知人类用户。该告知可以包括对VIM可能被破解的指示,因为被破解的VIM可以用于将虚假VNF实例化。
一般地,VNF可以指特定的VNF实例,或包括在VNF实例中的VNFC或一组VNFC。VNF实例可以包括存在于不同计算基体上的VNFC。
图2例示了根据本发明的至少一些实施方式的示例网络架构。在图2中,VNF 210包括虚拟化网络功能件,诸如例如如以上结合图1所述的虚拟化网络功能件。VNF 210与VNF管理器230相连接,其中,VNF管理器230可以被配置为例如响应于虚拟化网络功能件的负载水平的变化或者响应于所确定的故障条件发起网络管理活动。VNF管理器230与虚拟化基础架构管理器VIM 220相连接。VIM 220可以实现监控功能以检测越过负载或其他预定义阈值的虚拟化网络功能件,以响应性地触发网络管理活动。例如,在负载水平超过第一阈值的情况下,可以将更多的资源分配给虚拟化网络功能件,并且/或者在负载水平减少到低于第二阈值的情况下,可以将资源从虚拟化网络功能件分配给其他用途。NFV协调器NFVO 270和/或另一节点可以被配置为响应于理由码,所述理由码与通过由机器学习过程限定的预测模型计算的分数耦合,其中与倾向分数耦合的理由码将网络管理活动与网络的至少一个操作条件相关联。该架构可以包括多个VNF 210、VIM 220和/或多个VNF管理器230。
VNF 210和VIM 220两者都具有到网络功能件虚拟化基础架构NFVI240的接口。NFVI 240可以提供一组硬件和软件组件,该组硬件和软件组件建立VNF被部署在其中的环境。VNF 210还与元件管理器EM 250相连接。EM 250可以提供用于管理一组相关类型的网络元件的终端用户功能,所述一组相关类型的网络元件可以包括具有虚拟化网络功能件或非虚拟化网络功能件或两者的网络元件。这些功能件可以被分成两个主要类别:元件管理功能件和子网络管理功能件。在一些实施方式中,例如,EM 250可以被配置为做出有关网络管理活动的决定,并且通过向VNF管理器230发出关于这些决定的信令使得这些决定被实施。例如,作为对所确定的故障状态的响应,EM 250可以做出有关网络管理功能的决定。EM 250与运营支持系统和/或业务支持系统OSS/BSS 260相连接。OSS/BSS 260可以被配置为支持终端到终端的远程通信服务。例如,OSS/BSS 260可以实现负载监控。OSS/BSS 260又与NFV协调器NFVO 270相连接。NFVO 270可以包括功能块,该功能块管理网络服务NS生命周期,并协调NS生命周期、VNF生命周期和NFVI 240资源的管理,以确保资源和连接性的最优化分配。NFVO 270与NS目录272、VNF目录274、网络功能件虚拟化NFV实例276和NFVI资源278中的每一个相连接。VIM 220还可以与NFVO 270相连接。VNF管理器230同样地可以与NFVO 270相连接。VNF目录274可以包括参照上文的已知VNF的列表。
在一些实施方式中,控制节点280被配置为基于行为模式执行关于NFV的确定,如上所述。控制节点280具有到VNF 210的接口以获得行为信息,并且具有到NFVO 270和/或VNFM 230的接口以检查VNF 210是否被包括在已知VNF的列表中。控制节点280还可以与VIM220相连接。控制节点280可以通过指示VIM 220终止VNF来终止它们。控制节点280可以具有预测功能,或者作为预测功能在同样的物理节点上运行。
在一些实施方式中,为了实现网络管理资源可变规模活动,NFVO 270指示VIM 220为至少一个VNF 210给予另外的资源。当VIM 220告知收到另外的资源时,NFVO 270可以告知虚拟化网络功能管理器VNFM 230改变资源规模。作为选择,NFVO 270可以首先对VNFM230发出下述请求:VNF是否被允许改变规模以及需要什么资源来改变规模。在按比例缩小或缩放规模的情况下,NFVO 270可以告知VNFM 230改变VNF的规模,VNFM 230可以改变资源规模并且将此告知NFVO 270,然后NFVO 270可以告知VIM 220这些资源不再被使用并且VIM220可以接着照做。其也可以告知NFVO 270这些资源不再可获得。
在各种实施方式中,图2中例示的至少两个实体包括被布置成在同样的硬件资源上运行的软件实体。例如,控制节点280可以包括在与图2中例示的至少一个其他元件相同的计算基体上运行的控制功能件。
虽然图2例示了一个示例架构,但是其他架构在本发明的不同的实施方式中是可能的。例如,在网络是互联网协议IP网络的情况下,架构可以比图2中例示的架构更简单。
图3例示了能够支持本发明的至少一些实施方式的示例设备。例示的是设备300,其可以包括例如图1的服务器。包括在设备300中的是处理器310,其可以包括例如单核处理器或多核处理器,其中单核处理器包括一个处理核,而多核处理器包括不止一个处理核。处理器310可以包括不止一个处理器。处理核可以包括例如由ARM Holdings制造的Cortex-A8处理核,或者由Advanced Micro Devices Corporation生产的Steamroller处理核。处理器310可以包括至少一个AMD Opteron和/或Intel Core处理器。处理器310可以包括至少一个专用集成电路ASIC。处理器310可以包括至少一个现场可编程门阵列FPGA。处理器310可以是用于在设备300中执行方法步骤的装置。处理器310可以被配置为至少部分地通过计算机指令执行活动。
设备300可以包括存储器320。存储器320可以包括随机存取存储器和/或永久性存储器。存储器320可以包括至少一个RAM芯片。存储器320可以包括例如固态的、磁性的、光学的和/或全息的存储器。存储器320可以至少部分地可由处理器310访问。存储器320可以至少部分地被包括在处理器310中。存储器320可以是用于存储信息的装置。存储器320可以包括处理器310被配置执行的计算机指令。当被配置为使处理器310执行一定的活动的计算机指令储存在存储器320中并且设备300总体地被配置为在处理器310的引导下利用来自存储器320的计算机指令运行时,处理器310和/或其至少一个处理核可以被考虑配置成执行所述一定的活动。存储器320可以至少部分地被包括在处理器310中。存储器320可以至少部分地在设备300之外但可由设备300访问。
设备300可以包括发射器330。设备300可以包括接收器340。发射器330和接收器340可以分别被配置为根据至少一个蜂窝或非蜂窝标准发射和接收信息。发射器330可以包括不止一个发射器。接收器340可以包括不止一个接收器。发射器330和/或接收器340可以被配置为例如根据以太网和/或全球微波互联接入WiMAX标准运作。
设备300可以包括用户接口UI 360。UI 360可以包括下述中至少之一:显示器、键盘、触摸屏、被配置为通过使设备300振动来向用户发信号的振动器、扬声器、以及麦克风。用户可以能够经由UI 360操作装备300,以例如管理关于被隔离的网络节点的活动。
处理器310可以配备有发射器,所述发射器被布置成经由设备300内部的电引线将来自处理器310的信息输出到被包括在设备300中的其他设备。这样的发射器可以包括串行总线发射器,所述串行总线发射器被布置成例如经由至少一根电引线将信息输出到存储器320以储存在其中。作为对串行总线的替代,发射器可以包括并行总线发射器。同样地,处理器310可以包括接收器,所述接收器被布置成经由设备300内部的电引线将来自被包括在设备300中的其他装备的信息接收在处理器310中。这样的接收器可以包括串行总线接收器,所述串行总线接收器被布置成例如经由至少一根电引线接收来自接收器340的信息,以用于在处理器310中进行处理。作为对串行总线的替代,接收器可以包括并行总线接收器。
设备300可以包括未在图3中例示的其他设备。在一些实施方式中,设备300缺少至少一个上述装备。
处理器310、存储器320、发射器330、接收器340、NFC收发器350、UI 360和/或用户识别模块370可以通过设备300内部的电引线以多种不同的方式相互连接。例如,前述设备中的每一个都可以单独地连接到设备300内部的主总线,以允许设备交换信息。然而,如本领域技术人员将理解的,这仅仅是一个实例,并且根据实施方式,在不脱离本发明的范围的情况下,可以选择使前述设备中的至少两个相互连接的各种方式。
图4例示了根据本发明的至少一些实施方式的信令。在纵轴上从左到右设置了NFVI 240、VIM 220、NFVO 270、控制节点280、以及最后验证功能件“Ver”。时间从顶部向底部推进。在一些实施方式中,验证功能件“Ver”被包括在控制节点280中。
在阶段410中,在实例化新的VNF或VNF组件VNFC时,VIM 220将向NFVI 240发信号通知这样的效果。该实例化可以是恰当的或者是虚假的,其中,例如,如果VIM 220已经被恶意程序访问,则所述实例化可能是虚假的。在阶段420中,VIM 220将实例化告知控制节点280。如所例示的,阶段420可以与阶段410有关地发生,例如同时地、稍微之前地或者稍微之后地。阶段420的告知本质上可以是自动的,或者,在可适用的情况下,它可以是暗示性的。如果是暗示性的,那么控制节点280可以例如通过监控NFVI 240推断实例化已经发生。
在阶段430中,控制节点280从已知节点的列表检查新实例化的VNF或VNFC是否在列表上,所述已知节点的列表通过NFVO 270维护或者可通过NFVO 270访问。被包括在列表上表示实例化被授权并且不是虚假的。如果新实例化的VNF或VNFC没有包括在列表上,则处理触发例如与阶段440(与图5中例示的阶段530对应)同时的阶段460。否则,处理仅推进到阶段440。
在阶段440中,控制节点280建立新实例化的VNF或VNFC的行为模式。行为模式可以可替代地或另外地通过观察相似类型的另一VNF或VNFC的行为得以建立,其中相似类型节点的行为被期望是相似的。由于行为模式是根据观察得以建立的,所以阶段440可以是数天或者甚至是数周之长。该模式可以包括例如与通信强度、存储器使用、CPU负载等等中的至少一个有关的模式。可替代地或另外地,例如,行为模式可以被预先配置或者从已知的可信任的防恶意软件公司接收得到。
在阶段450中确定了相对该行为模式的偏离,例如与CPU负载有关,如上所述。响应性地,在阶段460中,利用验证功能件“Ver”验证新实例化的VNF或VNFC的证书。以上已经描述了这种验证可以如何进行的实例。
如果证书没有通过验证,换言之,在验证失败的情况下,控制节点280可以在阶段470中做出决定,该决定与关于实例化的VNF或VNFC所采取的活动有关。在图4例示的实例中,该决定是终止VNF。控制节点280通过向VIM 220发信号以指示VIM 220终止VNF来引起VNF或VNFC的终止。
图5例示了根据本发明的至少一些实施方式的信令。纵轴对应图4的纵轴。和图4中一样,时间从顶部向底部推进。
在阶段510中,机载的且实例化的VNF正常地运行。这一VNF已被合法地实例化并且在网络中执行其角色。阶段520例示了在运行时期间VNF及其VNF组件的性能是如何由控制节点监控的。基于被监控的活动和/或其他资源,如上所述,至少一个行为模式在阶段530中得以建立。行为模式要么反映正常的行为,要么反应假设其发生的话则会被确定为反常的行为。
事件5xx表示对VNF或VNF组件VNFC的未经授权的访问,其中,恶意元件与VNF或VNFC有关地安装,以修改其行为。作为恶意元件的后果,VNF的性能改变,并且这样的被修改的性能在阶段540中由控制节点280监控。响应性地,在阶段550中,控制节点280至少部分地基于行为模式做出行为确定。可选地,利用验证功能件“Ver”检查VNF或VNFC的证书。这被例示为阶段560。
在阶段570中,在控制节点280中关于要对VNF做什么做出了决定。在例示的实例中,控制节点280使新的VNF或VNFC被实例化以取代被破解的那些,并且使被破解的VNF或VNFC关闭。流量可以从被破解的VNF或VNFC移交到新的VNF或VNFC,以确保对于用户的平稳的体验。通过在一条或两条消息中向NFVO 270发信号,控制装备280可以使这些决定在阶段580中被施行。可替代地,控制节点280可以例如向元件管理器EM、或VNF管理器VNFM发信号以实现这些决定。
图6是根据本发明的至少一些实施方式的方法的流程图。例示的方法的阶段可以例如在控制节点280、控制功能件、辅助设备或服务器计算机中被执行,或者当被配置为控制其功能的控制设备被嵌入时,可以在该控制设备中被执行。
阶段610包括储存表征至少一种运行时行为模式的信息。阶段620包括至少部分地基于所储存的信息执行关于网络节点的行为确定。最后,阶段630包括,作为对行为确定的结果的响应,验证网络节点是否被包括在有效网络节点的列表上。网络节点可以包括例如节点、虚拟化网络功能件、或服务器。阶段630可以包括验证网络节点的识别符是否被包括在列表中。
图7是根据本发明的至少一些实施方式的方法的流程图。例示的方法的阶段可以例如在控制节点280、控制功能件、辅助设备、或服务器计算机中被执行,或者当被配置为控制其功能的控制设备被嵌入时,可以在该控制装备中被执行。
阶段710包括储存表征至少一种运行时行为模式的信息。阶段720包括至少部分地基于所储存的信息执行关于网络节点的行为确定。最后,阶段730包括响应于行为确定的结果引起网络节点的终止。
要理解的是,所公开的本发明的实施方式不限于本文公开的具体结构、过程步骤或材料,而是延伸至其等同物,如相关领域的普通技术人员将认识到的。还应理解的是,本文采用的术语仅用于描述具体实施方式的目的并且不旨在是限制性的。
在整个说明书中,对一种实施方式的参照或对实施方式的参照意味着与实施方式有关地描述的具体特征、结构或特性包括在本发明的至少一种实施方式中。因此,在整个说明书中在各处出现的措辞“在一种实施方式中”或“在实施方式中”不一定都指的是同一实施方式。在使用术语诸如例如大约或基本上来参照数值时,也公开了该准确的数值。
如本文所使用的,为方便起见,可以在公共列表中呈现多个项目、结构元件、组成元件和/或材料。然而,这些列表应当被解读为好像列表中的每一个成员都被单独地识别为分离的且独特的成员。因此,在没有相反的指示的情况下,这样的列表中的各个成员都不应当仅基于它们存在于共同组中而被解读为同一列表的任何其他成员的实际上的等同物。另外,本文中可以参照本发明的各种实施方式和实施例以及用于其各种组件的替代物。要理解的是,这样的实施方式、实施例和替代物不应被解读为彼此的实际上的等同物,而应被解释为本发明的分离的且自主的表示。
此外,所描述的特征、结构或特性可以以任何适当的方式被结合在一个或多个实施方式中。在前述描述中,提供了很多具体细节诸如长度、宽度、形状等等的实例,以提供对本发明的实施方式的透彻理解。然而,相关领域中的技术人员将认识到,本发明可以无需该一个或多个具体细节、或者利用其他的方法、组件、材料等等得以实践。在其他实例中,未详细示出或描述公知的结构、材料或操作以避免模糊本发明的各方面。
在一个或多个具体的应用中,虽然前述实例是对本发明原理的例示,但是对于本领域中的那些普通技术人员将明显的是,无需运用创造性并且在不脱离本发明的原理和概念的情况下,可以对实现的形式、用途和细节进行诸多修改。因此,除非通过下面提出的权利要求,否则不旨在限制本发明。
动词“包括(to comprise)”和“包括(to include)”在本文件中作为开放式限制使用,既不排除也不要求还未被列举的特征的存在。除非另有明确说明,否则列举在从属权利要求中的特征相互自由地结合。此外,要理解的是,贯穿本文件的对“一(a)”或“一(an)”即单数形式的使用不排除复数。
工业实用性
本发明的至少一些实施方式在管理网络中找到工业应用,以在隐匿合法的隐藏节点的同时发现虚假节点。
缩略词列表
CPU 中央处理单元
EM 元件管理器
NFVI 网络功能件虚拟化基础架构
NFVO 网络功能件虚拟化协调器
OSS/BSS 运营支持系统和/或业务支持系统
VIM 虚拟化基础架构管理器
VNF 虚拟化网络功能件
VNFC 虚拟化网络功能件组件
VNFM 虚拟化网络功能件管理器
WCDMA 宽带码分多址
附图标记列表
110 移动电话
122,132 无线电节点
120v,130v 虚拟化基站
140v 虚拟化核心网络节点
150v 另一虚拟化核心网络节点
160v 虚拟化控制节点
210 VNF
220 VIM
230 VNFM
240 NFVI
250 EM
260 OSS/BSS
270 NFVO
280 控制节点(图2)
310-360 图3的结构
410-4100 图4的方法的阶段
510-530 图5的方法的阶段

Claims (35)

1.一种设备,包括:
存储器,所述存储器被配置为储存表征至少一种运行时行为模式的信息;
至少一个处理核,所述至少一个处理核被配置为:至少部分地基于所储存的信息执行关于网络节点的行为确定,并且作为对所述行为确定的结果的响应,验证所述网络节点是否被包括在有效网络节点的列表上。
2.根据权利要求1所述的设备,其中,所述网络节点是虚拟化网络功能件或者是虚拟化网络功能件的组件。
3.根据权利要求1至2中任一项所述的设备,其中,所述至少一个处理核被配置为验证所述网络节点具有有效证书。
4.根据权利要求1至3中任一项所述的设备,其中,所述至少一个处理核被配置为:作为对所述行为确定的结果的响应,自动地验证所述网络节点是否具有有效证书,而无需用户干预。
5.根据权利要求1至4中任一项所述的设备,其中,所述运行时行为模式包括下述四种模式中的至少一种:第一,与所述网络节点的能力的下降相结合的CPU负载的增加;第二,存储器使用增加,通信吞吐量没有并发增加;第三,来自所述网络节点的传出流量增加,进入所述网络节点的传入流量没有对应增加;以及第四,所述网络节点被实例化并且是活跃的,但没有包括在第一列表中。
6.根据权利要求1至5中任一项所述的设备,其中,执行所述行为确定包括从运行所述网络节点的计算基体请求运行时信息。
7.根据权利要求1至6中任一项所述的设备,其中,验证所述网络节点是否具有有效证书包括:获得所述网络节点的证书,并且从验证功能件询问所述证书是否有效。
8.根据权利要求7所述的设备,其中,所述验证功能件包括拥有有效证书的列表的节点或功能件。
9.根据权利要求1至8中任一项所述的设备,其中,所述证书包括下述中至少之一:所述网络节点的执行环境的至少一部分的散列;所述网络节点的公开密钥;所述网络节点的私有密钥;与所述网络节点有关的数据的静态特征;以及密码令牌。
10.根据权利要求1至9中任一项所述的设备,其中,验证所述网络节点是否具有有效证书包括:向所述网络节点发送签名请求;作为响应,从所述节点获得密码签名;以及引起验证所述密码签名是正确的。
11.根据权利要求10所述的设备,其中,所述签名请求包括令牌,以用于所述网络节点利用其私有密钥进行签名。
12.一种方法,包括:
储存表征至少一种运行时行为模式的信息;
至少部分地基于所储存的信息执行关于网络节点的行为确定,以及
作为对所述行为确定的结果的响应,验证所述网络节点是否被包括在有效网络节点的列表上。
13.根据权利要求12所述的方法,其中,所述网络节点是虚拟化网络功能件或者是虚拟化网络功能件组件。
14.根据权利要求12或13所述的方法,还包括验证所述网络节点具有有效证书。
15.根据权利要求12至14中任一项所述的方法,其中,作为对所述行为确定的结果的响应,自动地执行验证所述网络节点是否具有有效证书,而无需用户干预。
16.根据权利要求12至15中任一项所述的方法,其中,所述运行时行为模式包括下述四种模式中的至少一种:第一,与所述网络节点的能力的下降相结合的CPU负载的增加;第二,存储器使用增加,通信吞吐量没有并发增加的;第三,来自所述网络节点的传出流量增加,进入所述网络节点的传入流量没有对应增加;以及第四,所述网络节点被实例化并且是活跃的,但没有未包括在第一列表中。
17.根据权利要求12至16中任一项所述的方法,其中,执行所述行为确定包括从运行所述网络节点的计算基体请求运行时信息。
18.根据权利要求12至17中任一项所述的方法,其中,验证所述网络节点是否具有有效证书包括:获得所述网络节点的证书,并且从验证功能件询问所述证书是否有效。
19.根据权利要求18所述的方法,其中,所述验证功能件包括拥有有效证书的列表的节点或功能件。
20.根据权利要求12至19中任一项所述的方法,其中,所述证书包括下述中至少之一:所述网络节点的执行环境的至少一部分的散列;所述网络节点的公开密钥;所述网络节点的私有密钥;与所述网络节点有关的数据的静态特征;以及密码令牌。
21.根据权利要求12至20中任一项所述的方法,其中,验证所述网络节点是否具有有效证书包括:向所述网络节点发送签名请求;作为响应,从所述节点获得密码签名;以及引起验证所述密码签名是正确的。
22.根据权利要求21所述的方法,其中,所述签名请求包括令牌,以用于所述网络节点利用其私有密钥进行签名。
23.一种设备,包括:
存储器,所述存储器被配置为储存表征至少一种运行时行为模式的信息;
至少一个处理核,所述至少一个处理核被配置为:至少部分地基于所储存的信息执行关于网络节点的行为确定,并且响应于所述行为确定的结果引起所述网络节点的终止。
24.根据权利要求23所述的设备,其中,所述至少一个处理核被配置为验证所述网络节点被包括在有效网络节点的列表上。
25.根据权利要求24所述的设备,其中,所述至少一个处理核被配置为:验证所述网络节点具有有效证书,并且在所述网络节点具有有效证书并且被包括在有效网络节点的列表上的情况下,同样引起所述终止。
26.根据权利要求23至25中任一项所述的设备,其中,所述设备被配置为基于对所述网络节点的运行时观察确定所述运行时行为模式。
27.一种方法,包括:
储存表征至少一种运行时行为模式的信息;
至少部分地基于所储存的信息执行关于网络节点的行为确定,以及
响应于所述行为确定的结果,引起所述网络节点的终止。
28.根据权利要求27所述的方法,还包括验证所述网络节点被包括在有效网络节点的列表上。
29.根据权利要求28所述的方法,还包括:验证所述网络节点具有有效证书,其中,在所述网络节点具有有效证书并且被包括在有效网络节点的列表上的情况下,同样引起所述终止。
30.根据权利要求27至29中任一项所述的方法,还包括基于对所述网络节点的运行时观察确定所述运行时行为模式。
31.一种设备,包括:
用于储存表征至少一种运行时行为模式的信息的装置;
用于至少部分地基于所储存的信息执行关于网络节点的行为确定的装置,以及
用于作为对所述行为确定的结果的响应来验证所述网络节点是否被包括在有效网络节点的列表上的装置。
32.一种设备,包括:
用于储存表征至少一种运行时行为模式的信息的装置;
用于至少部分地基于所储存的信息执行关于网络节点的行为确定的装置,以及
用于响应于所述行为确定的结果来引起所述网络节点的终止的装置。
33.一种非暂时性计算机可读介质,在所述非暂时性计算机可读介质上储存有一组计算机可读指令,所述一组计算机可读指令在由至少一个处理器执行时使设备至少:
储存表征至少一种运行时行为模式的信息;
至少部分地基于所储存的信息执行关于网络节点的行为确定,以及
作为对所述行为确定的结果的响应,验证所述网络节点是否被包括在有效网络节点的列表上。
34.一种非暂时性计算机可读介质,在所述非暂时性计算机可读介质上储存有一组计算机可读指令,所述一组计算机可读指令在由至少一个处理器执行时使设备至少:
储存表征至少一种运行时行为模式的信息;
至少部分地基于所储存的信息执行关于网络节点的行为确定,以及
响应于所述行为确定的结果,引起所述网络节点的终止。
35.一种计算机程序,所述计算机程序被配置为使根据权利要求12至22或27至30中至少一项所述的方法被执行。
CN201680079429.1A 2015-12-23 2016-04-12 用于网络管理的方法和设备 Active CN108605264B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
MYPI2015704758 2015-12-23
MYPI2015704758 2015-12-23
PCT/FI2016/050236 WO2017109272A1 (en) 2015-12-23 2016-04-12 Network management

Publications (2)

Publication Number Publication Date
CN108605264A true CN108605264A (zh) 2018-09-28
CN108605264B CN108605264B (zh) 2022-10-18

Family

ID=59090338

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201680079429.1A Active CN108605264B (zh) 2015-12-23 2016-04-12 用于网络管理的方法和设备

Country Status (8)

Country Link
US (1) US11122039B2 (zh)
EP (1) EP3395102B1 (zh)
JP (1) JP2019506662A (zh)
KR (1) KR20180118610A (zh)
CN (1) CN108605264B (zh)
AU (1) AU2016375359A1 (zh)
SG (1) SG11201805330VA (zh)
WO (1) WO2017109272A1 (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11171905B1 (en) 2016-10-17 2021-11-09 Open Invention Network Llc Request and delivery of additional data
WO2019093932A1 (en) * 2017-11-07 2019-05-16 Telefonaktiebolaget Lm Ericsson (Publ) Lawful interception security
US11528328B2 (en) * 2017-12-15 2022-12-13 Nokia Technologies Oy Stateless network function support in the core network
US11240135B1 (en) 2018-05-23 2022-02-01 Open Invention Network Llc Monitoring VNFCs that are composed of independently manageable software modules
US11150963B2 (en) * 2019-02-28 2021-10-19 Cisco Technology, Inc. Remote smart NIC-based service acceleration
US11489853B2 (en) 2020-05-01 2022-11-01 Amazon Technologies, Inc. Distributed threat sensor data aggregation and data export
WO2024004029A1 (ja) * 2022-06-28 2024-01-04 楽天モバイル株式会社 サーバのログ取得操作の自動化

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2523338A (en) * 2014-02-20 2015-08-26 Ng4T Gmbh Testing a virtualised network function in a network
CN104901833A (zh) * 2015-05-19 2015-09-09 无锡天脉聚源传媒科技有限公司 一种发现异常设备的方法及装置
CN105122738A (zh) * 2014-03-26 2015-12-02 华为技术有限公司 基于网络功能虚拟化的证书配置方法、装置和系统
CN105141604A (zh) * 2015-08-19 2015-12-09 国家电网公司 一种基于可信业务流的网络安全威胁检测方法及系统

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7130289B2 (en) * 2002-03-14 2006-10-31 Airmagnet, Inc. Detecting a hidden node in a wireless local area network
JPWO2006035928A1 (ja) 2004-09-30 2008-05-15 株式会社タムラ製作所 Ip電話端末装置、呼制御サーバ、ワクチンサーバ、保守用装置、ip電話システム、これらの制御方法及びプログラム
KR101460766B1 (ko) * 2008-01-29 2014-11-11 삼성전자주식회사 무선 네트워크 시스템에서 클러스터 기능을 이용한 보안설정 시스템 및 그 제어방법
US20090262751A1 (en) * 2008-04-16 2009-10-22 Rockwood Troy D Controlling network communications using selective jamming
US8341740B2 (en) 2008-05-21 2012-12-25 Alcatel Lucent Method and system for identifying enterprise network hosts infected with slow and/or distributed scanning malware
JP5393594B2 (ja) 2010-05-31 2014-01-22 株式会社日立製作所 効率的相互認証方法,プログラム,及び装置
US8488446B1 (en) 2010-10-27 2013-07-16 Amazon Technologies, Inc. Managing failure behavior for computing nodes of provided computer networks
US8683478B2 (en) * 2010-12-21 2014-03-25 International Business Machines Corporation Best fit mapping of self-virtualizing input/output device virtual functions for mobile logical partitions
US8528088B2 (en) 2011-05-26 2013-09-03 At&T Intellectual Property I, L.P. Modeling and outlier detection in threat management system data
WO2014068632A1 (ja) 2012-10-29 2014-05-08 三菱電機株式会社 設備管理装置、設備管理システム及びプログラム
WO2014195890A1 (en) * 2013-06-06 2014-12-11 Topspin Security Ltd. Methods and devices for identifying the presence of malware in a network
JP6059610B2 (ja) 2013-07-02 2017-01-11 株式会社日立製作所 通信装置、アクセス制御方法およびプログラム
WO2015031512A1 (en) * 2013-08-27 2015-03-05 Huawei Technologies Co., Ltd. System and method for mobile network function virtualization
EP2849064B1 (en) 2013-09-13 2016-12-14 NTT DOCOMO, Inc. Method and apparatus for network virtualization
US9608874B2 (en) * 2013-12-05 2017-03-28 At&T Intellectual Property I, L.P. Methods and apparatus to identify network topologies
US9760428B1 (en) 2013-12-19 2017-09-12 Amdocs Software Systems Limited System, method, and computer program for performing preventative maintenance in a network function virtualization (NFV) based communication network
EP2955631B1 (en) * 2014-06-09 2019-05-01 Nokia Solutions and Networks Oy Controlling of virtualized network functions for usage in communication network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2523338A (en) * 2014-02-20 2015-08-26 Ng4T Gmbh Testing a virtualised network function in a network
CN105122738A (zh) * 2014-03-26 2015-12-02 华为技术有限公司 基于网络功能虚拟化的证书配置方法、装置和系统
CN104901833A (zh) * 2015-05-19 2015-09-09 无锡天脉聚源传媒科技有限公司 一种发现异常设备的方法及装置
CN105141604A (zh) * 2015-08-19 2015-12-09 国家电网公司 一种基于可信业务流的网络安全威胁检测方法及系统

Also Published As

Publication number Publication date
EP3395102A1 (en) 2018-10-31
US20190014112A1 (en) 2019-01-10
WO2017109272A1 (en) 2017-06-29
SG11201805330VA (en) 2018-07-30
EP3395102B1 (en) 2020-10-07
AU2016375359A1 (en) 2018-07-19
US11122039B2 (en) 2021-09-14
KR20180118610A (ko) 2018-10-31
JP2019506662A (ja) 2019-03-07
CN108605264B (zh) 2022-10-18
EP3395102A4 (en) 2019-07-10

Similar Documents

Publication Publication Date Title
US10091238B2 (en) Deception using distributed threat detection
CN108605264A (zh) 网络管理
CN109076063B (zh) 在云环境中保护动态和短期虚拟机实例
Somani et al. DDoS attacks in cloud computing: Collateral damage to non-targets
US20200028880A1 (en) Technologies for scalable security architecture of virtualized networks
Kene et al. A review on intrusion detection techniques for cloud computing and security challenges
US8335678B2 (en) Network stimulation engine
Cayirci Modeling and simulation as a cloud service: a survey
KR101460589B1 (ko) 사이버전 모의 훈련 관제 서버
Carlin et al. Intrusion detection and countermeasure of virtual cloud systems-state of the art and current challenges
CN104104679B (zh) 一种基于私有云的数据处理方法
TW201642618A (zh) 用於威脅驅動安全性政策控制之系統及方法
US20200366650A1 (en) Method and system for creating a secure public cloud-based cyber range
Guha Roy et al. A blockchain‐based cyber attack detection scheme for decentralized Internet of Things using software‐defined network
Jain et al. IMPLEMENTING SECURITY IN IOT ECOSYSTEM USING 5G NETWORK SLICING AND PATTERN MATCHED INTRUSION DETECTION SYSTEM: A SIMULATION STUDY.
Lv et al. Virtualisation security risk assessment for enterprise cloud services based on stochastic game nets model
Rehman et al. Proactive defense mechanism: Enhancing IoT security through diversity-based moving target defense and cyber deception
Al-Mousa et al. cl-CIDPS: A cloud computing based cooperative intrusion detection and prevention system framework
Benzidane et al. Secured architecture for inter-VM traffic in a Cloud environment
Oo et al. A framework of moving target defenses for the Internet of Things
Alnaim et al. A Misuse Pattern for Distributed Denial-of-Service Attack in Network Function Virtualization
Bousselham et al. Security of virtual networks in cloud computing for education
Huraj et al. Realtime attack environment for DDoS experimentation
You et al. A Light-weight Method to Send and Receive SMS messages in an Emulator
Monga et al. MASFMMS: Multi Agent Systems Framework for Malware Modeling and Simulation

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant