CN116114220A - 管理平面中的安全管理服务 - Google Patents
管理平面中的安全管理服务 Download PDFInfo
- Publication number
- CN116114220A CN116114220A CN202080105176.7A CN202080105176A CN116114220A CN 116114220 A CN116114220 A CN 116114220A CN 202080105176 A CN202080105176 A CN 202080105176A CN 116114220 A CN116114220 A CN 116114220A
- Authority
- CN
- China
- Prior art keywords
- security risk
- network
- security
- data
- network object
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 38
- 230000000116 mitigating effect Effects 0.000 claims abstract description 19
- 230000006870 function Effects 0.000 claims description 70
- 230000006854 communication Effects 0.000 claims description 22
- 238000004891 communication Methods 0.000 claims description 22
- 238000005259 measurement Methods 0.000 claims description 20
- 230000002159 abnormal effect Effects 0.000 claims description 18
- 238000004458 analytical method Methods 0.000 claims description 18
- 230000011664 signaling Effects 0.000 claims description 14
- 238000007405 data analysis Methods 0.000 claims description 12
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 9
- 230000006399 behavior Effects 0.000 claims description 8
- 238000012986 modification Methods 0.000 claims description 7
- 230000004048 modification Effects 0.000 claims description 7
- 238000007726 management method Methods 0.000 description 57
- 238000012502 risk assessment Methods 0.000 description 9
- 230000001960 triggered effect Effects 0.000 description 5
- 230000000875 corresponding effect Effects 0.000 description 4
- 230000001934 delay Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000013024 troubleshooting Methods 0.000 description 2
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000007175 bidirectional communication Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000005067 remediation Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开的示例实施例涉及一种用于安全管理的设备、方法和计算机可读存储介质。在示例实施例中,从多个设备收集用于安全管理的数据。基于所收集的数据标识安全风险。此外,发送安全风险的通知以促进安全风险的减轻。
Description
技术领域
本公开的示例实施例总体上涉及通信领域,并且具体地涉及用于安全管理的设备、方法和计算机可读存储介质。
背景技术
与网络功能(NF)的管理相关的安全风险评估问题可以基于管理平面中的数据分析服务来考虑。例如,管理数据分析服务(MDAS)可以在管理平面中提供根本原因分析和其他数据分析。然而,安全措施目前只能在网络中的控制平面中的终端侧提供。
发明内容
总体上,本公开的示例实施例提供了一种用于安全管理的设备、方法和计算机可读存储介质。
在第一方面,提供了一种设备,该设备包括至少一个处理器和包括计算机程序代码的至少一个存储器。该至少一个存储器和计算机程序代码被配置为与至少一个处理器一起,引起该设备从多个设备收集用于安全管理的数据。该设备还被引起基于所收集的数据标识安全风险,并且发送安全风险的通知以促进安全风险的减轻。
在第二方面,提供了一种方法。在该方法中,从多个设备收集用于安全管理的数据。基于所收集的数据标识安全风险。此外,发送安全风险的通知以促进安全风险的减轻。
在第三方面,提供了一种装置,该装置包括用于执行根据第二方面的方法的部件。
在第四方面,提供了一种包括存储在其上的程序指令的计算机可读存储介质。该指令在由设备的处理器执行时,引起该设备执行根据第二方面的方法。
应当理解,发明内容部分不旨在确定本公开的示例实施例的关键或基本特征,也不旨在用于限制本公开的范围。通过以下描述,本公开的其他特征将变得容易理解。
附图说明
现在将参考附图描述一些示例实施例,在附图中:
图1示出了跨域MDAS架构的示例;
图2示出了可以在其中实现本公开的示例实施例的示例环境;
图3示出了根据本公开的一些示例实施例的示例方法的流程图;以及
图4示出了适合于实现本公开的示例实施例的设备的简化框图。
在整个附图中,相同或相似的附图标记表示相同或相似的元素。
具体实施方式
现在将参考一些示例实施例来描述本公开的原理。应当理解,描述这些示例实施例仅是为了说明和帮助本领域技术人员理解和实现本公开,并不表示对本公开的范围的任何限制。本文中描述的公开内容可以以除了下面描述的方式之外的各种其他方式来实现。
在以下描述和权利要求中,除非另有定义,否则本文中使用的所有技术和科学术语具有与本公开所属领域的普通技术人员通常理解的相同的含义。
如本文中使用的,术语“网络功能”或“NF”是指部署在网络侧并且向客户端提供一个或多个服务的物理、虚拟或混合功能或实体。例如,NF可以被布置在接入网或核心网中的设备处。NF可以以硬件、软件、固件或其某种组合来实现。
如本文中使用的,术语“电路系统”可以指代以下中的一项或多项或全部:
(a)纯硬件电路实现(诸如仅使用模拟和/或数字电路系统的实现),以及
(b)硬件电路和软件的组合,诸如(如适用):
(i)(多个)模拟和/或数字硬件电路与软件/固件的组合,以及
(ii)具有软件的(多个)硬件处理器的任何部分(包括(多个)数字信号处理器),软件和(多个)存储器,其一起工作以引起装置(诸如移动电话或服务器)执行各种功能,以及
(c)(多个)硬件电路和/或(多个)处理器,诸如(多个)微处理器或(多个)微处理器的一部分,其需要软件(例如,固件)
进行操作,但在不需要操作时软件可以不存在。
该电路系统的定义适合于该术语在本申请中的所有使用,包括在任何权利要求中。作为另一示例,如在本申请中使用的,术语电路系统还涵盖仅硬件电路或处理器(或多个处理器)或硬件电路或处理器的一部分及其(或它们的)随附软件和/或固件的实现。例如,如果适用于特定权利要求元素,则术语电路系统还涵盖用于移动设备的基带集成电路或处理器集成电路、或者服务器、蜂窝基站或其他计算或基站中的类似集成电路。
如本文中使用的,单数形式“一个(a)”、“一个(an)”和“该(the)”也包括复数形式,除非上下文另有明确规定。术语“包括”及其变体应当理解为开放术语,表示“包括但不限于”。术语“基于”应当理解为“至少部分基于”。术语“一个实施例”和“实施例”应当理解为“至少一个实施例”。术语“另一实施例”应当理解为“至少一个其他实施例”。以下可以包括其他明确和隐含的定义。
如本文中使用的,术语“第一”、“第二”等可以用于描述各种元素,这些元素不应当受到这些术语的限制。这些术语仅用于区分一个元素和另一元素。例如,第一元素可以称为第二元素,并且类似地,第二元素可以称为第一元素,而不脱离示例实施例的范围。如本文中使用的,术语“和/或”包括所列术语中的一个或多个的任何和所有组合。
在3GPP基于服务的架构(SBA)中,在控制平面中,网络数据分析功能(NWDAF)可以提供与用户设备(UE)或仅移动发起连接(MICO)设备的异常行为相关的安全分析。在分析诸如UE和MICO设备等设备的异常行为以检测安全状况时,可以考虑以下因素或问题:
·意外的位置——设备移动到不应当处于的位置
·意外的通信模式——设备业务模式和流量超出预期
·意外的设备唤醒
·可疑的分布式拒绝服务(DDoS)攻击
·错误的目的地地址
凭借收集不同类型的数据的能力,NWDAF可以向其他NF提供针对异常事件的警报、以及关于异常事件的可能原因的附加信息,从而实现5G服务自动化,或进行一般故障排除。关于异常事件的信息目前被确定为一个关键问题。这表示,这样的信息可能会被提供给其他NF,使得NF能够采取适当动作。例如,这样的信息可以被提供给策略控制功能(PCF)以导出不同策略。
NWDAF还可以为网络攻击提供支持。例如,在NWDAF和机器学习算法的支持下,可以通过在UE处和在网络侧监测事件和数据分组来有效地检测网络攻击。UE和NWDAF彼此协作以检测可能发生在UE处或在RAN或核心网中的攻击。针对攻击检测的警报可以被提供给已经订阅警报的运营、管理和维护(OAM)和5G核心(5GC)NF,使得NF可以采取对应动作。
然而,尽管基于NWDAF的安全分析可以检测核心网中的一些安全问题,但该检测仍处于早期阶段,其中仅涉及关键问题和问题陈述,而没有解决方案。此外,这样的安全分析在解决可能需要从多个域收集的关于各个方面的相关数据的更高级的威胁方面具有局限性。
管理数据分析服务(MDAS)由管理系统提供。MDAS集中于无线电接入网(RAN)域和/或第五代(5G)核心域,并且可以在端到端(E2E)(或跨域)基础上或在每个域基础上被提供。
图1示出了跨域MDAS架构100的示例。如图所示,跨域MDAS消费者可以与RAN和5G核心域中的对应MDAS生产者交互。此外,CN MDAS生产者105可以经由Nnwdaf接口115或MDAS接口220与网络数据分析功能(NWDAF)110交互,以使用NWDAF 110的分析结果作为输入。因此,MDAS生产者可以基于与不同类型的NF相关的数据(诸如从新无线电(NR)NodeB(gNB)和其他核心网功能报告的数据)来提供用于管理目的的分析数据。
MDAS实现了管理平面中与网络和服务事件相关的原始数据的自动化分析,例如,如第三代合作伙伴计划(3GPP)规范(诸如3GPP TS 28.552、TS 28.553和TS 28.554)中规定的。网络和服务事件可以与以下方面相关:
·性能测量
·跟踪——最小化驾驶测试(MDT)/无线电链路故障(RLF)/资源控制执行功能(RCEF)
·服务体验——体验质量(QoE)
·故障测量——警报
MDAS还可以消费分析知识,诸如已处理数据和来自不同域的网络分析输入,诸如核心网(例如,来自NWDAF)和RAN。同时,MDAS可以由管理功能或管理服务(MnS)消费者、5G核心网(诸如NWDAF)、自组织网络(SON)功能、优化工具和人类操作者消费。
目前,MDAS仅提供与服务保障、故障排除和网络优化相关的服务,但尚未解决或涵盖安全威胁检测和分析。例如,MDAS没有考虑安全风险评估和分析,而是集中在侧重于异常行为的故障管理。故障管理可以基于关于无线电条件的测量,包括信道质量指示符(CQI)、无线电资源控制(RRC)、传输块(TB)以及RAN和5G核心的吞吐量、以及会话和移动性的性能(诸如协议数据单元(PDU)会话和服务质量(QoS)流)以及用户平面功能(UPF)和网络切片故障相关问题。
此外,MDAS无法检测网络内的物理、虚拟和/或混合NF的安全威胁。特别地,在管理平面中无法检测到NF是否、何时、何地易受到或可能易受到安全攻击。
通过考虑安全规划、安全监测和安全执行,定义了网络功能虚拟化(NFV)生命周期管理框架。安全监测涉及异常检测、日志记录、分析、报告和补救,但仅在高层讨论需要什么类型的需求和处理。
本公开的示例实施例提供了一种基于与故障、虚拟化和网络功能(NF)或UE上下文和其他方面相关的数据的安全风险评估和分析方案。该方案从多个不同设备收集数据,诸如性能测量、事件数据、配置数据和日志。这些设备可以包括网络元件(NE)、网络功能(NF)和/或网络功能虚拟化(NFV)协调器,并且可以充当管理服务消费者和/或管理服务生产者。基于所收集的数据,标识安全风险,然后发出安全风险的通知以促进安全风险。
该方案引入了与安全风险评估相关的新分析服务。利用该方案,可以基于从多个设备收集的数据来标识诸如高级持续威胁(APT)等安全风险。该方案还引入了特定接口以通知已标识的安全风险以促进安全风险的减轻。例如,通知可以被发送给NF、管理系统或设备或人类操作者,使得对应动作可以被采取以隔离安全风险或加强网络安全。
图2示出了可以在其中实现本公开的示例实施例的示例环境200。
环境200(其可以是通信网络的一部分)包括管理设备210以提供管理服务,特别是与安全风险评估相关的管理服务。作为示例,管理设备210可以由MDAS生产者在诸如RAN或核心网(例如,5GC)等任何合适的域中实现。能够提供管理服务的任何其他合适的设备也可以用作管理设备210。
在环境200中,管理设备210可以与多个设备220-1……220-N通信,其中N表示大于1的任何合适的正整数。为了讨论的目的,多个设备220-1……220-N将被统称或单独称为一个或多个设备220。
设备220可以包括位于不同域上的任何合适的设备,并且可以启用一个或多个NF和/或网络服务。设备220的示例可以包括NE、NF和/或NFV协调器,并且可以充当管理服务消费者和/或生产者。
管理设备210与多个设备220之间的通信可以以有线或无线方式执行,并且可以利用现有的或将来将要开发的任何合适的通信技术。本公开的范围不限于此。
在本公开的各个实施例中,管理设备210从多个设备220收集用于安全管理的数据,该数据可以包括与网络安全相关的性能测量、事件数据和/或日志。该数据可以在多个设备220处被生成,或者由多个设备220从生成该数据的其他设备获取。基于所收集的数据,管理设备210标识安全风险并且发出安全风险的通知,以促进安全风险的减轻。
图3示出了根据本公开的一些示例实施例的示例方法300的流程图。方法300可以在如图2所示的管理设备210(诸如MDAS生产者)或能够提供安全管理服务的任何其他合适的设备处实现。为了讨论的目的,将参考图2描述方法200。
在框305,从多个设备220收集用于安全管理的数据。所收集的数据可以包括与网络安全相关的任何合适的数据。例如,所收集的数据可以包括各种性能测量,这些性能测量可以在个体NF或NE、NF协调器或管理系统处在故障和中断、虚拟化资源和/或行为、NF或UE上下文信息等方面来收集。
在一些示例实施例中,一些性能测量可以专用于安全管理。例如,所收集的性能测量可以与NF重新定位、关于特定关键性能指标(KPI)(诸如时延)的NF性能、以及其他NF通信行为(例如,一个NF如何与另一NF交互)相关。
这样的性能测量可以包括接入NF(诸如接入和移动性功能(AMF)或会话管理功能(SMF))的延迟(尤其是过度延迟)。替代地或另外地,这些性能测量可以包括NF之间的通信,特别是异常和过度NF通信。例如,如果AMF使用不同SMF而不执行预期的选择过程,则异常NF通信可以被指示。如果AMF意外过载SMF,则过度NF通信可以被指示。替代地或另外地,专用性能测量可以包括NF和/或NF相对于数据网络的位置的重新定位的定时、持续时间、成功率和/或频率(或速率)。
在一些示例实施例中,所收集的数据可以包括事件数据,包括例如故障测量或其他事件测量。作为示例,故障测量可以包括警报数据,该警报数据包括任何合适的警报信息,诸如警报的类型。替代地或另外地,所收集的数据可以包括配置数据、日志、服务数据、网络拓扑等。
作为用于安全管理的输入的所收集的数据的示例如下所示。
基于所收集的数据,在框310处标识安全风险。安全风险可以包括与网络安全相关的任何风险。在一些示例实施例中,安全风险可以与与网络对象相关联的异常资源使用相关。网络对象可以是任何合适的对象,诸如网络中的设备、功能或服务,其可以包括NF、PDU会话、QoS流等。网络对象可以由多个设备220中的一个或多个设备或由其他设备启用。
在一些示例实施例中,安全管理可以将UE过程或其他事件与中央处理单元(CPU)、存储装置、磁盘、虚拟资源等的资源使用相关联。例如,预期的CPU、存储装置或磁盘资源使用应当反映相关UE和事件过程。在NF维护预定数量的UE、协议数据单元(PDU)会话、服务质量(QoS)流或其他UE相关上下文的情况下,该维护将需要不应当超过某些限值的固定或预期数量的虚拟资源和存储。如果消耗的资源量超过某个限值,则可能存在安全风险,特别是在没有其他故障警报指示安全风险以外的其他原因的情况下。
作为另一示例,过程注册和PDU会话建立将需要不应当超过某些限值的固定或预期数量的CPU资源。如果消耗的CPU资源量超过某个限值,则安全风险可以被标识。
替代地或另外地,安全风险可以涉及与网络对象相关联的异常性能。例如,控制平面信令(诸如注册、修改和更新信令)的量不应当超过某个阈值。此外,用户平面中的时延不应当超过阈值时延。如果超过对应阈值,则可能存在安全风险。
安全风险也可以涉及与网络对象相关联的异常行为。例如,无法执行期望任务的恶意NF可能会导致服务中断。作为另一示例,一个NF与另一NF通信,这不应当发生。另一示例是,不允许应当允许的NF之间的通信。如果发生这样的事件,安全风险可以被标识。
在一些示例实施例中,安全风险可以在一个或多个相关联的触发事件的发生时被标识。例如,如果相关联的触发事件发生,则安全风险的标识将被触发。触发事件可以包括可以触发或诱发安全风险的任何合适的事件。
在一些示例实施例中,触发事件可以是由网络对象消耗的计算资源量大于阈值资源量。例如,如果CPU和/或存储负载的增加是意外或突然的,也就是说,当前或预期负载无法证明增加的合理性,则可能会预测到可疑的分布式拒绝服务(DDoS)攻击。
与网络对象相关联的时延的意外增加也可以被视为触发事件。例如,时延大于阈值时延可以指示可疑的DDoS攻击。替代地或另外地,与网络对象相关联的控制平面信令的过量(例如,大于阈值量)可以被视为触发事件。来自其他NF和/或UE的NF的可接入性的意外缺乏也可以被视为触发事件。
一些触发事件可以与NF重新定位相关。这样的触发事件可以包括意外的NF位置(虚拟的或地理的)、重新定位NF时的意外的过度延迟、以及其他重新定位相关事件。例如,如果NF被重新定位到不被允许的位置,例如,NF被重新定位到移动网络运营商或第三方允许的潜在位置之外,则安全风险的标识可以被触发。如果重新定位NF时的延迟大于阈值延迟,安全风险的标识也可以被触发。
触发事件可以为安全风险评估提供指引。例如,在触发事件时,安全风险评估可以被执行,以基于所收集的数据来标识异常行为。在一些示例实施例中,数据收集可能也需要由触发事件触发。例如,在确定触发事件发生之后,从各种NF或NE收集用于安全管理的数据,以标识异常网络对象。
在安全风险被标识之后,在框315,发出安全风险的通知,以促进安全风险的减轻。该通知可以被发送给任何合适的接收方,包括例如NF和/或NE、管理设备或系统、管理服务消费者或人类操作者。
在一些示例实施例中,安全风险的一个或多个属性被标识,然后其通知被发送。用于安全风险的属性的特定接口可以进一步促进安全风险的减轻。安全风险的属性可以包括与所标识的安全风险相关的任何合适的信息。
在一些示例实施例中,安全风险的属性可以包括可以由标识符指示的安全风险的类型。例如,安全风险的类型可以包括针对用户平面或控制平面中的诸如gNB或NF等网络对象的DDoS攻击。安全风险的类型也可以是具有恶意行为的NF内部的基于软件的事件。例如,NF与其他NF或外部实体的通信异常,这会造成过载或信息泄漏。
替代地或另外地,安全风险可以是触发NF的重新定位的恶意事件。例如,频繁的异常NF重新定位被触发并且进一步中断服务。安全风险还可以是用于NF的重新定位的目标位置的修改。例如,在重新定位过程中,NF朝向与期望位置不同的位置被重新定位,后甚至被重新定位在操作者场所之外。作为另一示例,安全风险可以是中间节点对网络对象的窃听,这例如会导致过度延迟或甚至服务中断。
除了或代替安全风险的类型,安全风险的属性可以包括受安全风险影响的位置和/或网络对象,根本原因,和/或严重性等级。属性还可以包括安全风险的开始时间、停止时间和/或持续时间。例如,安全风险何时开始和停止以及持续多长时间。
在一些示例实施例中,可以通知减轻安全风险的建议动作,以进一步促进减轻平面。该动作可以包括隔离安全风险,包括例如隔离或终止NF、终止或删除PDU会话、限制来自NF或UE的信令、和/或阻止UE。该动作还可以包括加强网络安全,包括例如加强特定NF上的安全、防火墙更新、扩展资源、负载平衡和/或准入控制。
也可以在通知中指示或包含其他相关信息。例如,可以在通知中指示诸如安全风险的统计或预测等分析类型。安全管理的分析结果的示例如下。
图4是适合于实现本公开的示例实施例的设备400的简化框图。设备400可以在管理设备210处或作为管理设备210的一部分来实现,诸如MDAS生产者或能够提供安全管理的任何其他设备。
如图所示,设备400包括处理器410、耦合到处理器410的存储器420、耦合到处理器410的通信模块430、以及耦合到通信模块430的通信接口(未示出)。存储器420至少存储程序440。通信模块430用于例如经由多个天线或经由电缆进行双向通信。通信接口可以表示通信所需要的任何接口。
假定程序440包括程序指令,该程序指令在由相关处理器410执行时使得设备400能够根据本公开的示例实施例进行操作,如本文中参考图2和图3所讨论的。本文中的示例实施例可以通过可以由设备400的处理器410执行的计算机软件、或通过硬件、或通过软件和硬件的组合来实现。处理器410可以被配置为实现本公开的各种示例实施例。
存储器420可以是适合于本地技术网络的任何类型,并且可以使用任何合适的数据存储技术来实现,作为非限制性示例,诸如非暂态计算机可读存储介质、基于半导体的存储器设备、磁存储器设备和系统、光存储器设备和系统、固定存储器和可移动存储器。虽然在设备400中仅示出了一个存储器420,但是设备400中可以有若干物理上不同的存储器模块。处理器410可以是适合于本地技术网络的任何类型,并且作为非限制性示例,可以包括通用计算机、专用计算机、微处理器、数字信号处理器(DSP)和基于多核处理器架构的处理器中的一种或多种。设备400可以具有多个处理器,诸如专用集成电路芯片,其在时间上从属于与主处理器同步的时钟。
当设备400充当管理设备210时,处理器410可以实现如以上参考图2和图3所述的分析设备的操作或动作。以上参考图2和图3所述的所有操作和特征同样适用于设备400并且具有类似的效果。出于简化的目的,将省略细节。
通常,本公开的各种示例实施例可以使用硬件或专用电路、软件、逻辑或其任何组合来实现。一些方面可以使用硬件实现,而其他方面可以使用可以由控制器、微处理器或其他计算设备执行的固件或软件来实现。尽管本公开的示例实施例的各个方面被图示和描述为框图、流程图或使用一些其他图形表示,但是应当理解,作为非限制性示例,本文中描述的块、装置、系统、技术或方法可以使用硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其他计算设备、或其某种组合来实现。
本公开还提供有形地存储在非暂态计算机可读存储介质上的至少一种计算机程序产品。计算机程序产品包括计算机可执行指令,诸如程序模块中包括的指令,该指令在目标真实或虚拟处理器上的设备中执行,以执行上面参考图2和图3描述的操作和动作。通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、库、对象、类、组件、数据结构等。在各种示例实施例中,程序模块的功能可以根据需要在程序模块之间组合或拆分。程序模块的机器可执行指令可以在本地或分布式设备内执行。在分布式设备中,程序模块可以位于本地和远程存储介质两者中。
用于执行本公开的方法的程序代码可以以一种或多种编程语言的任何组合来编写。这些程序代码可以被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码在由处理器或控制器执行时引起在流程图和/或框图中指定的功能/操作被实现。程序代码可以完全在机器上、部分在机器上、作为独立软件包、部分在机器上和部分在远程机器上、或完全在远程机器或服务器上执行。
在本公开的上下文中,计算机程序代码或相关数据可以由任何合适的载体承载,以使得设备、装置或处理器能够执行如上所述的各种过程和操作。载体的示例包括信号、计算机可读介质。
计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读介质可以包括但不限于电子、磁性、光学、电磁、红外线或半导体系统、装置或设备、或前述各项的任何合适的组合。计算机可读存储介质的更具体示例将包括具有一根或多根电线的电连接、便携式计算机软盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、光纤、便携式光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)、光存储设备、磁存储设备、或前述各项的任何合适的组合。
此外,虽然以特定顺序描述操作,但这不应当被理解为需要以所示特定顺序或按顺序执行这样的操作或者执行所有所示操作以获取期望结果。在某些情况下,多任务和并行处理可能是有利的。同样,虽然在上述讨论中包含了若干具体实现细节,但这些不应当被解释为对本公开的范围的限制,而是对可能特定于特定示例实施例的特征的描述。在单独示例实施例的上下文中描述的某些特征也可以在单个实施例中组合实现。相反,在单个实施例的上下文中描述的各种特征也可以在多个示例实施例中单独或以任何合适的子组合来实现。
尽管本公开已经以特定于结构特征和/或方法动作的语言进行了描述,但是应当理解,在所附权利要求中定义的本公开不一定限于上述特定特征或动作。相反,上述具体特征和动作被公开作为实现权利要求的示例形式。
已经描述了这些技术的各种示例实施例。除了上述内容之外或作为上述内容的替代,描述以下示例。以下任何示例中描述的特征可以与本文中描述的任何其他示例一起使用。
在一些方面,一种设备包括:至少一个处理器;以及包括计算机程序代码的至少一个存储器;该至少一个存储器和该计算机程序代码被配置为与该至少一个处理器一起,引起该设备:从多个设备收集用于安全管理的数据;基于所收集的数据标识安全风险;并且发送安全风险的通知,以促进安全风险的减轻。
在一些示例实施例中,该设备被引起通过以下项来标识安全风险:确定与安全风险相关联的至少一个触发事件的发生;以及根据确定至少一个触发事件的发生,基于收集的数据标识安全风险。
在一些示例实施例中,至少一个触发事件包括以下中的至少一项:由网络对象消耗的计算资源量大于阈值资源量;与网络对象相关联的控制平面信令量大于阈值控制平面信令量;与网络对象相关联的时延大于阈值时延;网络功能被重新定位到不被允许的位置;重新定位网络功能时的延迟大于阈值延迟;或者网络功能的可接入性的缺乏。
在一些示例实施例中,安全风险与以下至少一项相关:与网络对象相关联的异常资源使用;与网络对象相关联的异常性能;或者与网络对象相关联的异常行为。
在一些示例实施例中,收集的数据包括用于安全分析的性能测量、事件数据、配置数据或日志中的至少一项。
在一些示例实施例中,性能测量包括以下中的至少一项:接入网络功能时的延迟;网络功能之间的通信;网络功能的重新定位的定时、持续时间、成功率或频率中的至少一项;或者网络功能相对于数据网络的位置。
在一些示例实施例中,所述设备还被引起:标识安全风险的一个或多个属性;以及发送网络安全风险的一个或多个属性的通知,以促进网络安全风险的减轻。
在一些示例实施例中,安全风险的一个或多个属性包括以下中的至少一项:安全风险的类型;受安全风险影响的位置或网络对象中的至少一项;安全风险的开始时间、停止时间或持续时间中的至少一项;安全风险的根本原因;或者安全风险的严重性等级。
在一些示例实施例中,安全风险的类型包括以下至少一项:针对网络对象的分布式拒绝服务攻击;具有恶意行为的网络功能内部的基于软件的事件;触发网络功能的重新定位的恶意事件;用于网络功能的重新定位的目标位置的修改;中间节点对网络对象的窃听。
在一些示例实施例中,所述设备还被引起发送建议动作的通知以减轻安全风险。
在一些示例实施例中,所述设备包括管理数据分析服务生产者。
在一些方面,一种方法包括:从多个设备收集用于安全管理的数据;基于所收集的数据标识安全风险;以及发送安全风险的通知以促进安全风险的减轻。
在一些示例实施例中,标识安全风险包括:确定与安全风险相关联的至少一个触发事件的发生;以及根据确定至少一个触发事件的发生,基于收集的数据标识安全风险。
在一些示例实施例中,至少一个触发事件包括以下至少一项:由网络对象消耗的计算资源量大于阈值资源量;与网络对象相关联的控制平面信令量大于阈值控制平面信令量;与网络对象相关联的时延大于阈值时延;网络功能被重新定位到不被允许的位置;重新定位网络功能的延迟大于阈值延迟;或者网络功能的可接入性的缺乏。
在一些示例实施例中,安全风险与以下中的至少一项相关:与网络对象相关联的异常资源使用;与网络对象相关联的异常性能;或者与网络对象相关联的异常行为。
在一些示例实施例中,收集的数据包括用于安全分析的性能测量、事件数据、配置数据或日志中的至少一项。
在一些示例实施例中,性能测量包括以下中的至少一项:接入网络功能时的延迟;网络功能之间的通信;网络功能的重新定位的定时、持续时间、成功率或频率中的至少一项;或者网络功能相对于数据网络的位置。
在一些示例实施例中,所述方法还包括:标识安全风险的一个或多个属性;以及发送网络安全风险的一个或多个属性的通知,以促进网络安全风险的减轻。
在一些示例实施例中,安全风险的一个或多个属性包括以下中的至少一项:安全风险的类型;受安全风险影响的位置或网络对象中的至少一项;安全风险的开始时间、停止时间或持续时间中的至少一项;安全风险的根本原因;或者安全风险的严重性等级。
在一些示例实施例中,安全风险的类型包括以下中的至少一项:针对网络对象的分布式拒绝服务攻击;具有恶意行为的网络功能内部的基于软件的事件;触发网络功能的重新定位的恶意事件;用于网络功能的重新定位的目标位置的修改;中间节点对网络对象的窃听。
在一些示例实施例中,所述方法还包括:发送建议动作的通知以减轻安全风险。
在一些示例实施例中,所述方法在管理数据分析服务生产者处实现。
在一些方面,一种装置包括:用于从多个设备收集用于安全管理的数据的部件;用于基于所收集的数据标识安全风险的部件;以及用于发送安全风险的通知,以促进安全风险的减轻的部件。
在一些示例实施例中,用于标识安全风险的部件包括:用于确定与安全风险相关联的至少一个触发事件的发生的部件;以及用于根据确定至少一个触发事件的发生而基于收集的数据来标识安全风险的部件。
在一些示例实施例中,至少一个触发事件包括以下中的至少一项:由网络对象消耗的计算资源量大于阈值资源量;与网络对象相关联的控制平面信令量大于阈值控制平面信令量;与网络对象相关联的时延大于阈值时延;网络功能被重新定位到不被允许的位置;重新定位网络功能时的延迟大于阈值延迟;或者网络功能的可接入性的缺乏。
在一些示例实施例中,安全风险与以下中的至少一项相关:与网络对象相关联的异常资源使用;与网络对象相关联的异常性能;或者与网络对象相关联的异常行为。
在一些示例实施例中,收集的数据包括用于安全分析的性能测量、事件数据、配置数据或日志中的至少一项。
在一些示例实施例中,性能测量包括以下中的至少一项:接入网络功能时的延迟;网络功能之间的通信;网络功能的重新定位的定时、持续时间、成功率或频率中的至少一项;或者网络功能相对于数据网络的位置。
在一些示例实施例中,所述装置还包括:用于标识安全风险的一个或多个属性的部件;以及用于发送网络安全风险的一个或多个属性的通知,以促进网络安全风险的减轻的部件。
在一些示例实施例中,安全风险的一个或多个属性包括以下中的至少一项:安全风险的类型;受安全风险影响的位置或网络对象中的至少一项;安全风险的开始时间、停止时间或持续时间中的至少一项;安全风险的根本原因;或者安全风险的严重性等级。
在一些示例实施例中,安全风险的类型包括以下中的至少一项:针对网络对象的分布式拒绝服务攻击;具有恶意行为的网络功能内部的基于软件的事件;触发网络功能的重新定位的恶意事件;用于网络功能的重新定位的目标位置的修改;中间节点对网络对象的窃听。
在一些示例实施例中,所述装置还包括:用于发送建议动作的通知以减轻安全风险的部件。
在一些示例实施例中,所述装置在管理数据分析服务生产者处实现。
在一些方面,一种计算机可读存储介质包括存储在其上的程序指令,该指令在由设备的处理器执行时,引起该设备执行根据本公开的一些示例实施例的方法。
Claims (24)
1.一种设备,包括:
至少一个处理器;以及
包括计算机程序代码的至少一个存储器;
所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起,使所述设备:
从多个设备收集用于安全管理的数据;
基于所收集的所述数据标识安全风险;以及
发送所述安全风险的通知以促进所述安全风险的减轻。
2.根据权利要求1所述的设备,其中所述设备被使得通过以下项来标识所述安全风险:
确定与所述安全风险相关联的至少一个触发事件的发生;以及
根据确定所述至少一个触发事件的所述发生,基于所收集的所述数据标识所述安全风险。
3.根据权利要求2所述的设备,其中所述至少一个触发事件包括以下至少一项:
由网络对象消耗的计算资源量大于阈值资源量;
与网络对象相关联的控制平面信令量大于阈值控制平面信令量;
与网络对象相关联的时延大于阈值时延;
网络功能被重新定位到不被允许的位置;
重新定位网络功能时的延迟大于阈值延迟;或者
网络功能的可接入性的缺乏。
4.根据权利要求1至3中任一项所述的设备,其中所述安全风险与以下至少一项相关:
与网络对象相关联的异常资源使用;
与网络对象相关联的异常性能;或者
与网络对象相关联的异常行为。
5.根据权利要求1所述的设备,其中所收集的所述数据包括用于安全分析的性能测量、事件数据、配置数据或日志中的至少一项。
6.根据权利要求5所述的设备,其中所述性能测量包括以下至少一项:
接入网络功能时的延迟;
网络功能之间的通信;
网络功能的重新定位的定时、持续时间、成功率或频率中的至少一项;或者
网络功能相对于数据网络的位置。
7.根据权利要求1所述的设备,其中所述设备还被使得:
标识所述安全风险的一个或多个属性;以及
发送所述网络安全风险的所述一个或多个属性的通知,以促进所述网络安全风险的所述减轻。
8.根据权利要求7所述的设备,其中所述安全风险的所述一个或多个属性包括以下至少一项:
所述安全风险的类型;
受所述安全风险影响的位置或网络对象中的至少一项;
所述安全风险的开始时间、停止时间或持续时间中的至少一项;
所述安全风险的根本原因;或者
所述安全风险的严重性等级。
9.根据权利要求8所述的设备,其中所述安全风险的所述类型包括以下至少一项:
针对网络对象的分布式拒绝服务攻击;
具有恶意行为的网络功能内部的基于软件的事件;
触发网络功能的重新定位的恶意事件;
用于网络功能的重新定位的目标位置的修改;
中间节点对网络对象的窃听。
10.根据权利要求1所述的设备,其中所述设备还被使得:
发送建议动作的通知以减轻所述安全风险。
11.根据权利要求1所述的设备,其中所述设备包括管理数据分析服务生产者。
12.一种方法,包括:
从多个设备收集用于安全管理的数据;
基于所收集的所述数据标识安全风险;以及
发送所述安全风险的通知以促进所述安全风险的减轻。
13.根据权利要求12所述的方法,其中标识所述安全风险包括:
确定与所述安全风险相关联的至少一个触发事件的发生;以及
根据确定所述至少一个触发事件的所述发生,基于所收集的所述数据标识所述安全风险。
14.根据权利要求13所述的方法,其中所述至少一个触发事件包括以下至少一项:
由网络对象消耗的计算资源量大于阈值资源量;
与网络对象相关联的控制平面信令量大于阈值控制平面信令量;
与网络对象相关联的时延大于阈值时延;
网络功能被重新定位到不被允许的位置;
重新定位网络功能时的延迟大于阈值延迟;或者
网络功能的可接入性的缺乏。
15.根据权利要求12至14中任一项所述的方法,其中所述安全风险与以下至少一项相关:
与网络对象相关联的异常资源使用;
与网络对象相关联的异常性能;或者
与网络对象相关联的异常行为。
16.根据权利要求13所述的方法,其中所收集的所述数据包括用于安全分析的性能测量、事件数据、配置数据或日志中的至少一项。
17.根据权利要求16所述的方法,其中所述性能测量包括以下至少一项:
接入网络功能时的延迟;
网络功能之间的通信;
网络功能的重新定位的定时、持续时间、成功率或频率中的至少一项;或者
网络功能相对于数据网络的位置。
18.根据权利要求12所述的方法,还包括:
标识所述安全风险的一个或多个属性;以及
发送所述网络安全风险的所述一个或多个属性的通知,以促进所述网络安全风险的所述减轻。
19.根据权利要求18所述的方法,其中所述安全风险的所述一个或多个属性包括以下至少一项:
所述安全风险的类型;
受所述安全风险影响的位置或网络对象中的至少一项;
所述安全风险的开始时间、停止时间或持续时间中的至少一项;
所述安全风险的根本原因;或者
所述安全风险的严重性等级。
20.根据权利要求19所述的方法,其中所述安全风险的所述类型包括以下至少一项:
针对网络对象的分布式拒绝服务攻击;
具有恶意行为的网络功能内部的基于软件的事件;
触发网络功能的重新定位的恶意事件;
用于网络功能的重新定位的目标位置的修改;
中间节点对网络对象的窃听。
21.根据权利要求12所述的方法,还包括:
发送建议动作的通知以减轻所述安全风险。
22.根据权利要求12所述的方法,其中所述方法在管理数据分析服务生产者处实现。
23.一种装置,包括:
用于从多个设备收集用于安全管理的数据的部件;
用于基于所收集的所述数据标识安全风险的部件;以及
用于发送所述安全风险的通知以促进所述安全风险的减轻的部件。
24.一种计算机可读存储介质,包括存储在其上的程序指令,所述指令在由设备的处理器执行时,使所述设备执行根据权利要求12至22中任一项所述的方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2020/107763 WO2022027572A1 (en) | 2020-08-07 | 2020-08-07 | Security management service in management plane |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116114220A true CN116114220A (zh) | 2023-05-12 |
Family
ID=80118587
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202080105176.7A Pending CN116114220A (zh) | 2020-08-07 | 2020-08-07 | 管理平面中的安全管理服务 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN116114220A (zh) |
WO (1) | WO2022027572A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117675504A (zh) * | 2022-09-01 | 2024-03-08 | 华为技术有限公司 | 一种数据分析方法及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101605065A (zh) * | 2009-04-22 | 2009-12-16 | 网经科技(苏州)有限公司 | 安全中心系统中安全事件监控的实现方法 |
CN203204423U (zh) * | 2013-04-22 | 2013-09-18 | 湖南智卓创新金融电子有限公司 | 一种网络数据分析用综合服务系统 |
CN107277039A (zh) * | 2017-07-18 | 2017-10-20 | 河北省科学院应用数学研究所 | 一种网络攻击数据分析及智能处理方法 |
CN110351229A (zh) * | 2018-04-04 | 2019-10-18 | 电信科学技术研究院有限公司 | 一种终端ue管控方法及装置 |
CN110769455A (zh) * | 2018-07-26 | 2020-02-07 | 华为技术有限公司 | 一种数据收集方法、设备及系统 |
US20200244557A1 (en) * | 2017-10-23 | 2020-07-30 | Huawei Technologies Co., Ltd. | Traffic processing method, user plane apparatus, and terminal device |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9501647B2 (en) * | 2014-12-13 | 2016-11-22 | Security Scorecard, Inc. | Calculating and benchmarking an entity's cybersecurity risk score |
US9965628B2 (en) * | 2015-03-02 | 2018-05-08 | Dell Products Lp | Device reporting and protection systems and methods using a secure distributed transactional ledger |
CA2968710A1 (en) * | 2016-05-31 | 2017-11-30 | Valarie Ann Findlay | Security threat information gathering and incident reporting systems and methods |
US20180255076A1 (en) * | 2017-03-02 | 2018-09-06 | ResponSight Pty Ltd | System and Method for Cyber Security Threat Detection |
-
2020
- 2020-08-07 WO PCT/CN2020/107763 patent/WO2022027572A1/en active Application Filing
- 2020-08-07 CN CN202080105176.7A patent/CN116114220A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101605065A (zh) * | 2009-04-22 | 2009-12-16 | 网经科技(苏州)有限公司 | 安全中心系统中安全事件监控的实现方法 |
CN203204423U (zh) * | 2013-04-22 | 2013-09-18 | 湖南智卓创新金融电子有限公司 | 一种网络数据分析用综合服务系统 |
CN107277039A (zh) * | 2017-07-18 | 2017-10-20 | 河北省科学院应用数学研究所 | 一种网络攻击数据分析及智能处理方法 |
US20200244557A1 (en) * | 2017-10-23 | 2020-07-30 | Huawei Technologies Co., Ltd. | Traffic processing method, user plane apparatus, and terminal device |
CN110351229A (zh) * | 2018-04-04 | 2019-10-18 | 电信科学技术研究院有限公司 | 一种终端ue管控方法及装置 |
CN110769455A (zh) * | 2018-07-26 | 2020-02-07 | 华为技术有限公司 | 一种数据收集方法、设备及系统 |
Non-Patent Citations (2)
Title |
---|
3RD GENERATION PARTNERSHIP PROJECT (3GPP): "《5G System; Network data analytics services; Stage3》", 《TECHNICAL SPECIFICATION(TS 29.520)》, 30 September 2019 (2019-09-30), pages 8 - 21 * |
SALIH SEVGICAN ETAL: "《Intelligent network data analytics function in 5G cellular networks using machine learning》", 《JOURNAL OF COMMUNICATIONS AND NETWORKS》, 30 June 2020 (2020-06-30), pages 269 - 278 * |
Also Published As
Publication number | Publication date |
---|---|
WO2022027572A1 (en) | 2022-02-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107683617B (zh) | 用于伪基站检测的系统及方法 | |
EP3954099B1 (en) | Network anomaly detection | |
JP5877429B2 (ja) | ネットワーク解析のための方法および装置 | |
US10986067B2 (en) | Anomaly detection in software defined networking | |
JP7268240B2 (ja) | シグナリングストームブロッキング方法、装置、およびデバイス、ならびに記憶媒体 | |
EP3863317A1 (en) | Method and device for determining category information | |
Iyer et al. | Automating diagnosis of cellular radio access network problems | |
US11711395B2 (en) | User-determined network traffic filtering | |
CN113206814B (zh) | 一种网络事件处理方法、装置及可读存储介质 | |
KR20170062301A (ko) | 무선 침입 방지 시스템에서의 접속 차단 방법 및 장치 | |
US10805809B2 (en) | Femtocell provisioning and service issue optimization | |
Sou et al. | Random packet inspection scheme for network intrusion prevention in LTE core networks | |
WO2017140710A1 (en) | Detection of malware in communications | |
WO2022027572A1 (en) | Security management service in management plane | |
Gelenbe et al. | Detection and mitigation of signaling storms in mobile networks | |
Theera-Ampornpunt et al. | Using big data for more dependability: a cellular network tale | |
KR101564228B1 (ko) | 이동통신망에서 시그널링 DoS 트래픽을 탐지하기 위한 시스템 및 그 방법 | |
US10200396B2 (en) | Monitoring packet routes | |
Suomalainen et al. | Security-driven prioritization for tactical mobile networks | |
WO2016150516A1 (en) | Optimizing data detection in communications | |
Gelenbe et al. | Time-outs and counters against storms | |
WO2022067835A1 (en) | Method, apparatus and computer program | |
EP3257285B1 (en) | Mitigating the impact from internet attacks in a ran using internet transport | |
EP3203796B1 (en) | Data transmission method and device | |
US9265067B2 (en) | Controlling connection to an access network by machine-to-machine devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |