KR101992547B1 - 보안 이상의 분산형 검출을 위한 기술 - Google Patents

보안 이상의 분산형 검출을 위한 기술 Download PDF

Info

Publication number
KR101992547B1
KR101992547B1 KR1020177005493A KR20177005493A KR101992547B1 KR 101992547 B1 KR101992547 B1 KR 101992547B1 KR 1020177005493 A KR1020177005493 A KR 1020177005493A KR 20177005493 A KR20177005493 A KR 20177005493A KR 101992547 B1 KR101992547 B1 KR 101992547B1
Authority
KR
South Korea
Prior art keywords
virtual network
computing device
server
security
packets
Prior art date
Application number
KR1020177005493A
Other languages
English (en)
Other versions
KR20170038190A (ko
Inventor
카필 수드
메수트 에이 에르긴
존 알 패스타벤드
시나에 우
제프리 비 쇼
쥬니어 브라이언 제이 스케리
Original Assignee
인텔 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코포레이션 filed Critical 인텔 코포레이션
Publication of KR20170038190A publication Critical patent/KR20170038190A/ko
Application granted granted Critical
Publication of KR101992547B1 publication Critical patent/KR101992547B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Debugging And Monitoring (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)

Abstract

보안 이상의 분산형 검출을 위한 기술은 보안 서버와 신뢰된 관계를 수립하기 위한 컴퓨팅 디바이스를 포함한다. 컴퓨팅 디바이스는 신뢰된 관계의 수립에 응답하여 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷을 판독하고, 하나 이상의 패킷의 보안 위협 평가를 수행한다. 컴퓨팅 디바이스는 보안 위협 평가를 보안 서버에 전송한다.

Description

보안 이상의 분산형 검출을 위한 기술{TECHNOLOGIES FOR DISTRIBUTED DETECTION OF SECURITY ANOMALIES}
관련 미국 특허 출원의 상호 참조
본 출원은 2014년 10월 13일 출원된 발명의 명칭이 "보안 이상의 분산형 검출을 위한 기술(TECHNOLOGIES FOR DISTRIBUTED DETECTION OF SECURITY ANOMOLIES)"인 미국 특허 출원 제 14/513,140호를 우선권 주장하고, 2014년 9월 30일 출원된 발명의 명칭이 "보안 이상의 분산형 검출을 위한 기술(TECHNOLOGIES FOR DISTRIBUTED DETECTION OF SECURITY ANOMOLIES)"인 미국 가출원 제 62/058,096호를 35 U.S.C.§119(e) 하에서 우선권 주장한다.
다양한 기술 사양이 전세계에서 네트워크 기능 및 서비스가 네트워크 사업자 및 서비스 공급자에 의해 전개되고 관리되는 방식을 정의한다. 예를 들어, 사양은 서비스를 전달하기 위해 가상화된 플랫폼의 사용을 정의하고, 종종 서비스 내의 구성요소가 함께 "체인될" 수도 있다. 이러한 기술 사양은 예를 들어, 네트워크 기능 가상화를 위한 유럽 전기 통신 표준 협회의 표준(European Telecommunication Standards Institute's standard for Network Functions Virtualization: ETSI NFV)을 포함한다. 네트워크 사업자가 ETSI NFV에 의해 현재 정의된 바와 같은 가상 네트워크 기능 모델 상에 네트워크 기능 및 서비스를 실행할 때, 물리적 네트워킹 시스템에 전통적으로 이용가능한 양호하게 정의된 인터페이스는 더 이상 인터플로우 패킷 분석을 위해 이용가능하지 않다. 따라서, 위협을 검출하고 대처할 수 있게 하는 시스템의 능력(예를 들어, 더 높은 특권 레벨을 갖는 가입자를 위해 확보된 네트워크 기능 서비스에 가입자가 액세스하는 것을 방지함)이 상당히 억제될 수 있다.
본 명세서에 설명된 개념은 첨부 도면에 한정으로서가 아니라 예로서 도시되어 있다. 도시의 간단화 및 명료화를 위해, 도면에 도시된 요소는 반드시 실제 축적대로 도시되어 있지는 않다. 적절한 것으로 고려되면, 도면 부호는 대응 또는 유사 요소를 지시하기 위해 도면 사이에서 반복되어 있다.
도 1은 보안 이상의 분산형 검출을 위한 시스템의 적어도 하나의 실시예의 개략화된 블록도이고;
도 2는 도 1의 시스템의 백본(backbone) 네트워크 시스템의 적어도 하나의 실시예의 개략 블록도이고;
도 3은 도 2의 백본 네트워크 시스템의 서버의 적어도 하나의 실시예의 개략 블록도이고;
도 4는 도 3의 서버의 환경의 적어도 하나의 실시예의 개략 블록도이고;
도 5 및 도 6은 도 2의 서버에 의해 실행될 수 있는 보안 이상의 분산형 검출을 위한 방법의 적어도 하나의 실시예의 개략 흐름도이고;
도 7은 도 2의 보안 서버에 의해 실행될 수 있는 보안 이상의 분산형 검출을 위한 방법의 적어도 하나의 실시예의 개략 흐름도이다.
본 발명의 개념은 다양한 수정 및 대안 형태에 민감하지만, 그 특정 실시예는 도면에 예로서 도시되어 있고 본 명세서에 상세히 설명될 것이다. 그러나, 본 발명의 개념을 개시된 특정 형태에 한정하려는 의도는 없고, 반대로, 의도는 본 명세서 및 첨부된 청구범위에 따른 모든 수정, 등가물, 및 대안을 커버하는 것이라는 것이 이해되어야 한다.
명세서에서 "일 실시예", "실시예", "예시적인 실시예" 등의 참조는 설명된 실시예가 특정 특징, 구조, 또는 특성을 포함할 수 있지만, 모든 실시예가 특정 특징, 구조, 또는 특성을 반드시 포함할 수도 있거나 또는 포함하지 않을 수도 있다는 것을 지시한다. 더욱이, 이러한 구문은 반드시 동일한 실시예를 칭하는 것은 아니다. 또한, 특정 특징, 구조, 또는 특성이 실시예와 관련하여 설명될 때, 명시적으로 설명되건 설명되지 않건간에 다른 실시예와 관련하여 이러한 특징, 구조, 또는 특성을 실행하는 것이 당 기술 분야의 숙련자의 지식 내에 있다는 것이 제기된다. 부가적으로, "적어도 A, B 및 C"의 형태의 리스트 내에 포함된 아이템은 (A); (B); (C): (A 및 B); (B 및 C); (A 및 C); 또는 (A, B, 및 C)를 의미할 수 있다는 것이 이해되어야 한다. 유사하게, "적어도 A, B 또는 C"의 형태의 리스트 내의 아이템은 (A); (B); (C): (A 및 B); (B 및 C); (A 및 C); 또는 (A, B, 및 C)를 의미할 수 있다.
개시된 실시예는 몇몇 경우에 하드웨어, 펌웨어, 소프트웨어, 또는 이들의 임의의 조합으로 구현될 수 있다. 개시된 실시예는 또한 하나 이상의 프로세서에 의해 판독되고 실행될 수 있는 하나 이상의 일시적 또는 비일시적 기계 판독가능(예를 들어, 컴퓨터 판독가능) 저장 매체에 의해 전달되거나 또는 그 위에 저장된 인스트럭션으로서 구현될 수 있다. 기계 판독가능 저장 매체는 기계에 의해 판독가능한 형태의 정보를 저장하거나 전송하기 위한 임의의 저장 디바이스, 메커니즘, 또는 다른 물리적 구조체(예를 들어, 휘발성 또는 비휘발성 메모리, 매체 디스크, 또는 다른 매체 디바이스)로서 구체화될 수도 있다.
도면에서, 몇몇 구조적 또는 방법 특징이 특정 배열 및/또는 순서로 도시되어 있을 수도 있다. 그러나, 이러한 특정 배열 및/또는 순서는 요구되지 않을 수도 있다는 것이 이해되어야 한다. 오히려, 몇몇 실시예에서, 이러한 특징은 예시적인 도면에 도시된 것과는 상이한 방식 및/또는 순서로 배열될 수 있다. 부가적으로, 특정 도면에서 구조적 또는 방법 특징의 포함은 이러한 특징이 모든 실시예에서 요구되고, 몇몇 실시예에서 포함되지 않을 수도 있거나 다른 특징과 조합될 수 있다는 것을 암시하도록 의도된 것은 아니다.
이제 도 1을 참조하면, 보안 이상의 분산형 검출을 위한 시스템(100)은 백본 네트워크 시스템(102), 백홀(backhaul) 네트워크 시스템(104), 하나 이상의 타워 시스템(106), 및 하나 이상의 가입자 디바이스(108)를 예시적으로 포함한다. 예시적인 실시예에서, 가입자 디바이스(108)는 타워 시스템(106)에 의해 백홀 네트워크 시스템(104)과 통신하고, 백홀 네트워크 시스템(104)은 적절한 데이터 패킷이 프로세싱 및/또는 추가의 라우팅을 위해 백본 네트워크 시스템(102)에 라우팅되는 것을 보장한다. 백본 네트워크 시스템(102), 백홀 네트워크 시스템(104), 타워 시스템(106), 및 가입자 디바이스(108)의 각각은 본 명세서에 설명된 기능을 수행하기 위해 임의의 적합한 디바이스 또는 디바이스의 집합으로서 구체화될 수 있다는 것이 이해되어야 한다. 예시적인 실시예에서, 백본 네트워크 시스템(102), 백홀 네트워크 시스템(104), 및 타워 시스템(106)의 각각은 가입자 디바이스(108) 및/또는 다른 디바이스 사이의 원격통신을 가능하게 한다(예를 들어, 인터넷을 통해). 또한, 백본 네트워크 시스템(102), 백홀 네트워크 시스템(104), 및 타워 시스템(106)은 특정 구현예에 따라 이들의 대응 기능을 용이하게 하기 위한 임의의 수의 디바이스, 네트워크, 라우터, 스위치, 컴퓨터, 및/또는 다른 개입 디바이스를 포함할 수도 있다.
몇몇 실시예에서, 백본 네트워크 시스템(102)은 가상 진화된 패킷 코어(Virtual Evolved Packet Core: vEPC) 아키텍처를 갖는 네트워크 기능 가상화(Network Function Virtualization: NFV) 기반 장기 진화(Long-Term Evolution: LTE) 백본 네트워크로서 구체화될 수 있다. 백본 네트워크 시스템(102)은 집중형 네트워크로서 기능할 수도 있고, 몇몇 실시예에서 다른 네트워크(예를 들어, 인터넷)에 통신적으로 결합될 수 있다는 것이 이해되어야 한다. 예시적인 실시예에서, 백홀 네트워크 시스템(104)은 백본 네트워크 시스템(102)을 타워 시스템(106), 서브네트워크, 및/또는 에지 네트워크에 통신적으로 결합하는(예를 들어, 중간 링크를 거쳐) 하나 이상의 디바이스를 포함한다. 몇몇 실시예에서, 백홀 네트워크 시스템(104)은 LTE 백홀 네트워크 시스템으로서 구체화될 수 있고, 예를 들어, T1, IP, 광학, ATM, 리스된, 및/또는 다른 네트워크를 포함하는 다양한 네트워크를 포함할 수 있다.
타워 시스템(106)은 통신 디바이스, 예를 들어 모바일 컴퓨팅 디바이스(예를 들어, 이동 전화) 및/또는 다른 가입자 디바이스(108)가 서로 그리고/또는 다른 원격 디바이스와 통신하는 것을 허용하도록 구성된 하드웨어를 포함한다. 이와 같이 함으로써, 타워 시스템(106)은 가입자 디바이스(108)가 백홀 네트워크 시스템(104)과 통신하는 것을 가능하게 한다. 몇몇 실시예에서, 타워 시스템(106)의 하나 이상은 가입자 디바이스(108)(예를 들어, 모바일 컴퓨팅 디바이스 핸드셋) 중 하나 이상과 직접 또는 간접 통신하도록 구성된 진화된 노드(eNodeB)를 포함하거나 또는 다르게는 진화 노드로서 구체화될 수 있다. 또한, 타워 시스템(106)은 예를 들어 특정 실시예에 따라, 기지국 송수신기(base transceiver station: BTS) 또는 다른 스테이션/시스템을 포함하거나 또는 이들로서 기능할 수 있다. 가입자 디바이스(108)는 본 명세서에 설명된 기능을 수행하는 것이 가능한 임의의 유형의 컴퓨팅 디바이스로서 구체화될 수 있다. 예를 들어, LTE 백홀 및 백본 시스템이 이용되는 실시예에서, 가입자 디바이스(108)는 모바일 컴퓨팅 디바이스(예를 들어, 스마트폰)로서 구체화될 수 있고, 셀룰러 네트워크를 이용하도록 구성될 수 있다.
이하에 상세히 설명되는 바와 같이, 시스템(100)은 위협이 검출되고 작용되는 것을 보장하면서(예를 들어, 인터플로우 패킷 분석을 거쳐) 다양한 가상 네트워크 기능을 이용할 수 있다. 부가적으로, 시스템(100)은 신뢰된 실행 환경(Trusted Execution Environment: TEE)을 사용하여 가상 플랫폼 상에 향상된 세부적(fine-grain) 보안 검사 기능을 제공할 수 있다. 후술되는 바와 같이, 예시적인 실시예에서, TEE는 Intel® Software Guard Extensions(SGX)과 같은 보안 구역(secure enclave)으로서 설정된다. 그러나, 다른 실시예에서, TEE는 예를 들어, 관리용이성 엔진(Manageability Engine: ME), 신뢰된 플랫폼 모듈(trusted platform module: TPM), 혁신 엔진(Innovation Engine: IE), 보안 파티션(secure partition), 개별 프로세서 코어로서 다른 방식으로 설정되거나 구체화될 수 있고 그리고/또는 다른 방식으로 설정될 수 있다.
네트워크 기능 가상화(NVF) 환경에서, 비가상화된 환경의 전통적인 양호하게 정의된 인터페이스는 일반적으로 이용불가능하고, NFV 시스템은 그 각각이 하나 이상의 가상 네트워크 기능 구성요소(Virtual Network Function Components: VNFC)를 포함할 수 있는 다수의 가상 네트워크 기능(VNF)을 포함할 수 있다는 것이 이해되어야 한다. VNF 및/또는 VNFC는 예를 들어 공유 메모리, 폐쇄되어 있는 OS- 또는 하이퍼바이저-특정 응용 프로그래밍 인터페이스(Application Programming Interfaces: APIs), 네트워크 가상 스위치 테스트 액세스 포인트(test access point: TAP), 및/또는 다른 메커니즘을 포함하는 다양한 상이한 메커니즘을 사용하여 서로 통신할 수 있다. 또한, 몇몇 실시예에서, 인트라-VNF 및/또는 인트라-VNF 트래픽은 예를 들어, 인터넷 프로토콜 보안(Internet Protocol security: IPsec) 또는 보안 소켓 계층(Secure Sockets Layer: SSL)을 사용하여 암호화될 수 있다. 이와 같이, 전통적인 메커니즘은 가상화된 환경에서 모든 트래픽에 대해 명백한 가시성을 갖고 효율적으로 동작하도록 전통적인 네트워크 검사 시스템을 위한 일관적인 방식을 제공하지 않을 수도 있다는 것이 이해되어야 한다.
그러나, 예시적인 실시예에서, 시스템(100)은 TEE의 능력을 사용하여(예를 들어, 마이크로코드(유코드), 하드웨어 인스트럭션, 및/또는 다른 메커니즘과 함께) 가상화된 시스템을 가로질러 패킷 및/또는 흐름을 검사하도록 구성된다. 예를 들어, 후술되는 바와 같이, 시스템(100)의 각각의 서버 또는 플랫폼은 플랫폼 보안 정책 검사기의 역할을 취하는 플랫폼-특정 TEE를 포함할 수 있다. 특히, 플랫폼-특정 TEE는 네트워크 MAC/이더넷 및/또는 다른 네트워크/통신 인터페이스로부터(예를 들어, 인터-IP측-채널 메커니즘을 통해) 오는(즉, 유입 및/또는 유출) 모든 패킷을 검사할 수 있다. 부가적으로, 플랫폼-특정 TEE는 하이퍼바이저(예를 들어, 가상 기계 모니터) 특권 및 정의된 API(예를 들어, HECI 인터페이스)를 사용하여 TEE와의 통신에 기초하여 공유 메모리 및/또는 독점 API를 검사할 수 있다. 플랫폼-특정 TEE는 부가적으로 또는 대안적으로 서명된 그리고 안티-롤백(anti-rollback) 보호된 마이크로코드(유코드) 패치에 호출된 더 높은 특권에 기초하여 로컬 및 공유 프로세서(예를 들어, CPU) 및 SoC 캐시 메모리를 검사할 수 있다. 몇몇 실시예에서, 플랫폼-특정 TEE는 보호된 인터-VNFC 및 인터-VNF 트래픽을 모니터링하기 위해 TEE-기반 인터-VNFC 터널키를 사용한다. 부가적으로 또는 대안적으로, 플랫폼-특정 TEE는 트래픽 데이터에 액세스하기 위해 다양한 가상 스위치 인터페이스 내로 그리고 TAP 내로 하이퍼바이저 액세스를 사용할 수 있다.
몇몇 실시예에서, TEE는 플랫폼 상의 다수의 소스로부터 정보를 수집할 수 있고 전통적인 시스템 내에서 행해진 것보다 훨씬 더 상세한 방식으로 이와 같이 행할 수 있다는 것이 이해되어야 한다. 예를 들어, TEE는 모든 또는 선택된 패킷, 네트워크 흐름을 모니터링하고, 패킷 수정을 트래킹하고, 그리고/또는 다른 모니터링 특징을 수행하도록 정책에 의해 구성가능할 수 있다. TEE는 수집된 데이터에 진보된 휴리스틱(heuristics)을 실행할 수 있고, 특정 정책에 따라, 위협 정보를 보유할 수 있다. 또한, TEE는 정책 및/또는 수신된 리미디에이션 인스트럭션(예를 들어, 특정 흐름 차단, 패킷 복사 등)에 기초하여 하나 이상의 리미디에이션 작용을 취할 수 있다. 몇몇 실시예에서, TEE는 시스템 차원 보안 위협 휴리스틱/분석을 실행할 수 있는 지명된 TEE(예를 들어, NFV 분산형 위협 검출 보안 시스템 상의)에 예외 및/또는 위협 휴리스틱을 전달할 수 있다. 몇몇 실시예에서, TEE는 분산형 위협 검출 시스템이 다른 TEE가 추가의(예를 들어, 더 넓은 스케일) 분석을 위해 지명된 TEE에 보안 정보를 전송하도록 설계되는 점에서 "지명된다"는 것이 이해되어야 한다. 후술되는 바와 같이, 몇몇 실시예에서, 지명된 TEE는 보안 서버 및/또는 분산형 위협 검출 보안 시스템 내에 포함될 수도 있다. 또한, 몇몇 실시예에서, 다수의 TEE는 시스템 차원 또는 서브시스템 차원 보안 위협 분석을 수행하도록 지명될 수 있고, TEE는 계층적으로 배열될 수 있다. 예를 들어, 실시예에서, 제 1 지명된 TEE는 제 1 서브시스템 내의 서버의 대응 TEE로부터 수신된 정보에 기초하여 제 1 서브시스템의 보안 위협 분석을 수행할 수 있고, 제 2 지명된 TEE는 제 2 서브시스템 내의 서버의 대응 TEE로부터 수신된 정보에 기초하여 제 2 서브시스템의 보안 위협 분석을 수행할 수도 있는 등이다. 각각의 이들 서브시스템 TEE(예를 들어, 제 1 및 제 2 지명된 TEE)는 더 하위 레벨 지명된 TEE로부터 수신된 정보에 기초하여 풀 시스템 차원(또는 더 큰 서브시스템 차원) 보안 위협 분석을 수행하기 위해 "더 상위" 계층 레벨에서 다른 지명된 TEE에 이들의 분석 및/또는 부가의 정보를 제공할 수 있다. 물론, 지명된 TEE의 수 및/또는 계층 레벨은 특정 실시예에 따라 다양할 수 있다.
TEE의 계층 능력은 로컬 리미디에이션 동작이 정의되게 하고 동시에 다수의 플랫폼을 가로질러 VNF 및 VNFC를 스팬하는(span) 흐름을 위한 시스템 차원 위협 검출 및 리미디에이션을 가능하게 한다는 것이 이해되어야 한다. 몇몇 실시예에서, TEE는 모든 코드 및 데이터를 포함하여, 보호될 수도 있고, 단지 서명 검증 및 측정시에만 로딩될 수 있다(예를 들어, TPM 또는 가상 TPM을 사용하여). 또한, TEE는 TPV 및/또는 다른 벤더(vendor)를 인에이블링하기 위해 루트키(root key)에 의해 허가된 서명 검증된 제 3 파티 검증(third party verification: TPV) 코드를 실행하는 능력을 가질 수 있다. 본 명세서에 설명된 통신을 위한 인터페이스는 예를 들어, SoC 또는 프로세서 내의 인터-IP 통신(inter-IP communication: IPC), 디바이스-드라이버 모델(예를 들어, HECI 인터페이스), 가상 LAN 어태치먼트, 구성요소간 상호작용을 위한 기존의 프로토콜(예를 들어, PECI, SMBUS 등)을 포함할 수 있다는 것이 이해되어야 한다. 다른 실시예에서, 구성요소는 예를 들어, TLS-보호된 HTTPS 웹기반 REST API를 거쳐 통신할 수 있다. 몇몇 실시예에서, 시스템(100)은 플랫폼-, 하이퍼바이저-, 및 클라우드 OS-중립 방식으로 구현될 수 있다는 것이 또한 이해되어야 한다.
이제, 도 2를 참조하면, 예시적인 실시예에서, 백본 네트워크 시스템(102)은 하나 이상의 VNF(202), 하나 이상의 서버(204), 및 보안 서버(206)를 포함한다. 부가적으로, 몇몇 실시예에서, 백본 네트워크 시스템(102)은 리미디에이션 서버(208) 및/또는 오케스트레이터(orchestrator)(210)를 포함한다. 단지 하나의 보안 서버(206), 하나의 리미디에이션 서버(208), 및 하나의 오케스트레이터(210)만이 도 2에 예시적으로 도시되어 있지만, 백본 네트워크 시스템(102)은 다른 실시예에서 임의의 수의 보안 서버(206), 리미디에이션 서버(208), 및/또는 오케스트레이터(210)를 포함할 수 있다. 예를 들어, 다수의 보안 서버(206)가 포함될 수 있고, 그 각각은 계층 및 분산형 위협 검출을 위해 본 명세서에 설명된 바와 같이 지명된 TEE를 포함할 수 있다. 몇몇 실시예에서, 각각의 서버(204) 및 보안 서버(206)는 유사한 하드웨어, 소프트웨어, 및/또는 펌웨어 구성요소를 포함할 수 있다는 것이 이해되어야 한다. 또한, 몇몇 실시예에서, 보안 서버(206)는 보안 서버(206)가 본 명세서에 설명된 바와 같이 지명된 TEE를 포함하는 것을 제외하고는 서버(204) 중 하나로서 구체화될 수 있다.
이제, 도 3을 참조하면, 시스템(102)의 서버(204, 206)의 예시적인 실시예가 도시되어 있다. 도시된 바와 같이, 예시적인 서버(204, 206)는 프로세서(310), 입출력("I/O" 서브시스템)(312), 메모리(314), 데이터 저장 장치(316), 통신 회로(318), 및 하나 이상의 주변 디바이스(320)를 포함한다. 부가적으로, 몇몇 실시예에서, 서버(204, 206)는 보안 코프로세서(322)를 포함할 수 있다. 물론, 서버(204, 206)는 다른 실시예에서, 통상의 컴퓨팅 디바이스 내에서 통상적으로 발견되는 것들(예를 들어, 다양한 입출력 디바이스 및/또는 다른 구성요소)과 같은 다른 또는 부가의 구성요소를 포함할 수 있다. 부가적으로, 몇몇 실시예에서, 예시적인 구성요소의 하나 이상은 다른 구성요소 내에 합체되거나 또는 다르게는 다른 구성요소의 부분을 형성할 수도 있다. 예를 들어, 메모리(314), 또는 그 부분은 몇몇 실시예에서 프로세서(310) 내에 합체될 수 있다.
프로세서(310)는 본 명세서에 설명된 기능을 수행하는 것이 가능한 임의의 유형의 프로세서로서 구체화될 수 있다. 예를 들어, 프로세서(310)는 단일 또는 멀티-코어 프로세서(들), 디지털 신호 프로세서, 마이크로콘트롤러, 또는 다른 프로세서 또는 프로세싱/제어 회로로서 구체화될 수 있다. 도시된 바와 같이, 프로세서(310)는 하나 이상의 캐시 메모리(324)를 포함할 수 있다. 메모리(314)는 본 명세서에 설명된 기능을 수행하는 것이 가능한 임의의 유형의 휘발성 또는 비휘발성 메모리 또는 데이터 저장 장치로서 구체화될 수 있다는 것이 이해되어야 한다. 동작시에, 메모리(314)는 운영 체제, 애플리케이션, 프로그램, 라이브러리, 및 드라이버와 같은 서버(204, 206)의 동작 중에 사용된 다양한 데이터 및 소프트웨어를 저장할 수 있다. 메모리(314)는 프로세서(310), 메모리(314), 및 서버(204, 206)의 다른 구성요소와 입출력 동작을 용이하게 하기 위해 회로 및/또는 구성요소로서 구체화될 수 있는 I/O 서브시스템(312)을 거쳐 프로세서(310)에 통신적으로 결합된다. 예를 들어, I/O 서브시스템(312)은 메모리 콘트롤러 허브, 입출력 제어 허브, 펌웨어 디바이스, 통신 링크(즉, 점대점 링크, 버스 링크, 와이어, 케이블, 라이트 가이드, 인쇄 회로 기판 트레이스 등) 및/또는 입출력 동작을 용이하게 하기 위한 다른 구성요소 및 서브시스템으로서 구체화되거나, 또는 다르게는 이들을 포함할 수도 있다. 몇몇 실시예에서, I/O 서브시스템(312)은 시스템 온 칩(system-on-a-chip: SoC)의 부분을 형성하고, 프로세서(310), 메모리(314), 및 서버(204, 206)의 다른 구성요소와 함께, 단일의 집적 회로 칩 상에 합체될 수 있다.
데이터 저장 장치(316)는 예를 들어, 메모리 디바이스 및 회로, 메모리 카드, 하드 디스크 드라이브, 고체 상태 드라이브, 또는 다른 데이터 저장 디바이스와 같은 데이터의 단기 또는 장기 저장을 위해 구성된 임의의 유형의 디바이스 또는 디바이스들로서 구체화될 수 있다. 데이터 저장 장치(316) 및/또는 메모리(314)는 본 명세서에 설명된 기능을 수행하기 위해 유용한 서버(204, 206)의 동작 중에 다양한 데이터를 저장할 수 있다.
통신 회로(318)는 네트워크를 통해 서버(204, 206)와 다른 원격 디바이스 사이의 통신을 인에이블링하는 것이 가능한 임의의 통신 회로, 디바이스 또는 이들의 집합으로서 구체화될 수 있다. 통신 회로(318)는 이러한 통신을 실행하기 위해 임의의 하나 이상의 통신 기술(예를 들어, 무선 또는 유선 통신) 및 연계된 프로토콜(예를 들어, 이더넷, Bluetooth®, Wi-Fi®, WiMAX 등)을 사용하도록 구성될 수 있다. 몇몇 실시예에서, 통신 회로(318)는 셀룰러 통신 회로 및/또는 다른 장거리 무선 통신 회로를 포함한다.
주변 디바이스(320)는 스피커, 마이크로폰, 부가의 저장 디바이스 등과 같은 임의의 수의 부가의 주변 또는 인터페이스 디바이스를 포함할 수 있다. 주변 디바이스(320) 내에 포함된 특정 디바이스는 예를 들어 서버(204, 206)의 유형 및/또는 의도된 사용에 의존할 수 있다.
보안 코프로세서(322)는 포함되면, 보안 기능, 암호화 기능을 수행하고 그리고/또는 신뢰된 실행 환경을 설정하는 것이 가능한 임의의 하드웨어 구성요소(들) 또는 회로로서 구체화될 수 있다. 예를 들어, 몇몇 실시예에서, 보안 코프로세서(322)는 신뢰된 플랫폼 모듈(TPM) 또는 대역외 프로세서로서 구체화될 수 있다. 부가적으로, 몇몇 실시예에서, 보안 코프로세서(322)는 원격 디바이스(예를 들어, 다른 서버(204, 206)의 대응 보안 코프로세서(322))와 대역외 통신 링크를 설정할 수 있다.
도 2를 재차 참조하면, 도시된 바와 같이, 백본 네트워크 시스템(102)은 그 각각이 하나 이상의 가상 네트워크 기능 구성요소(VNFC)(212)를 포함할 수 있는 하나 이상의 가상 네트워크 기능(VNF)(202)을 포함한다. VNF(202)는 임의의 적합한 가상 네트워크 기능으로서 구체화될 수 있고; 유사하게, VNFC(212)는 임의의 적합한 VNF 구성요소로서 구체화될 수 있다는 것이 이해되어야 한다. 예를 들어, 몇몇 실시예에서, VNF(202)는 보안 게이트웨이(SGW), 패킷 데이터 네트워크 게이트웨이(PNG), 빌링 기능, 및/또는 다른 가상 네트워크 기능을 포함할 수 있다. 몇몇 실시예에서, 특정 VNF(202)는 동일한 서버(204, 206) 또는 상이한 서버(204, 206) 상에서 실행될 수 있는 다수의 서브-인스턴스를 가질 수 있다. 달리 말하면, 가상화될 때, 특정 서버(204, 206)와 코로케이팅된 물리적 하드웨어에 의해 전통적으로 핸들링되는 네트워크 기능은 서버(204, 206) 중 하나 이상을 가로질러 VNF(202)로서 분산될 수 있다. 예시적인 실시예에서, VNFC(212)는 하나 이상의 VNF(202)의 기능성을 전달하도록 협동하는 프로세스 및/또는 인스턴스이다. 예를 들어, 몇몇 실시예에서, VNFC(212)는 VNF(202)의 서브모듈이다. VNF(202)에 유사하게, VNFC(212)는 하나 이상의 서버(204, 206)를 가로질러 분산될 수 있다는 것이 이해되어야 한다. 또한, 특정 VNFC(212)는 다수의 서버(204, 206)를 가로질러 분산될 수 있고, 단일 서버(204, 206) 상에 설정된 VNF(202)의 부분을 여전히 형성할 수 있다는 것이 이해되어야 한다.
본 명세서에 설명된 바와 같이, 예시적인 실시예에서, 하나 이상의 서버(204, 206)의 VNF(202)는 예를 들어, 하나 이상의 인터-VNF 통신 메커니즘을 거쳐 인터-VNF 통신 네트워크(240)를 통해 서로 통신할 수 있다. 유사하게, 하나 이상의 서버(204, 206)의 VNFC(212)는 예를 들어 하나 이상의 인터-VNFC 통신 메커니즘을 거쳐 인터-VNFC 통신 네트워크(242)를 통해 서로 통신할 수 있다. 인터-VNF 및 인터-VNFC 통신 메커니즘은 인터-VNF 및/또는 인터-VNFC 통신을 인에이블링하도록 구성된 임의의 적합한 메커니즘으로서 구체화될 수 있다는 것이 이해되어야 한다. 예를 들어, 몇몇 실시예에서, VNF(202) 및/또는 VNFC(212)는 표준 포맷, 공유 메모리(예를 들어, 하이퍼바이저에 의해 확보된 물리적/가상 메모리), 및/또는 다른 적합한 메커니즘에 기초하여 하이퍼바이저 및 패킷 파싱(parsing), 포맷된 패킷을 갖는 개방 스위치를 사용하여 서로 통신할 수 있다. 예시적인 실시예에서, 특정 VNF(202) 또는 VNFC(212)가 그 위에서 실행하는 서버(204, 206)의 TEE는 특정 VNF(202) 또는 VNFC(212)와 연계된 인터-VNF 및 인터-VNFC 통신을 판독하도록(직접 또는 간접) 구성된다.
VNF(202)는 서비스 체인 내로 패킷을 프로세싱할 수 있다는 것이 이해되어야 한다. 그러나, 동작 중에, 하나 이상의 실행시간 위협이 시스템 내로 인젝트될 수도 있는데, 이는 특정 정책에 의해 요구되는 바와 같은 전체 서비스 체인에 의해 프로세싱되는 패킷 또는 흐름의 세트를 우회할 수 있다. 이와 같이, 서버(204, 206)의 TEE는 예를 들어, 악의적 TCP 싱크 플러드, 패킷 드롭, 흐름 단절, 애플리케이션-레벨 정책의 위반, 및 다른 잠재적인 보안 위협을 포함하는 이러한 이상 및 비정상 VNF 실행시간 거동을 식별하는데 이용될 수 있다. 이와 같이, TEE는 서버의 보안 정책 감시자로서 역할을 취할 수 있다.
도 2의 예시적인 실시예에서, 각각의 서버(204)는 하이퍼바이저(214), 메모리(314), 캐시(324), 하나 이상의 엔진(220), 하나 이상의 네트워크 인터페이스(222), 및 신뢰된 실행 환경(224)을 포함한다. 부가적으로, 하이퍼바이저(214)는 하나 이상의 API(226), 가상 스위칭(vS 스위치)(228), 하나 이상의 암호화 터널(230), 및 공유 메모리(232)를 포함한다. 물론, 서버(204)는 몇몇 실시예에서 설명의 명료화를 위해 생략되어 있는 부가의 구성요소를 포함할 수 있다.
하이퍼바이저(214) 또는 가상 기계 모니터는 대응 서버(204) 상에 하나 이상의 가상 기계(VM)를 실행한다. 이와 같이, 하이퍼바이저(214)는 다양한 가상화된 하드웨어 리소스(예를 들어, 가상 메모리, 가상 운영 체제, 가상 네트워킹 구성요소 등)를 설정하고 그리고/또는 이용할 수 있다. 하이퍼바이저(214) 및/또는 서버(204) 내에 포함된 특정 API(226)는 일반적으로 특정 서버(204)에 따라 다양할 수 있다. 몇몇 실시예에서, API(226)는 하나 이상의 독점 API를 포함한다. 몇몇 실시예에서, API(226)는 이들 패킷이 TEE(224)에 의해 분석될 수 있도록 패킷(예를 들어, 특정 VNF(202)와 연계된)에 액세스를 제공할 수 있다. 가상 스위치(228)는 네트워크 정책을 시행하고 그리고/또는 동작(예를 들어, 패킷 드롭, 흐름 모니터링, 심도 검사 수행, 리미디에이션 동작 수행 등)을 시행하도록 이용될 수 있다. 예를 들어, 가상 스위치(216)는 시스템(102) 내의 가상 기계(VM)의 네트워킹을 허용할 수 있다. 후술되는 바와 같이, 몇몇 실시예에서, 서버(204)는 보안 통신을 위해(예를 들어, 보안 서버(206)와, VNF(202) 사이의 그리고/또는 VNFC(212) 사이의 통신을 위해) 암호화 터널(218)을 설정할 수 있다. 몇몇 실시예에서, 암호화 터널(218)은 서버(204)의 TEE(224)에 의해 판독될 수 있다(예를 들어, 대응 암호화키로의 액세스에 의해 암호화된 형태 또는 비암호화된 형태로). 부가적으로, 몇몇 실시예에서, 하나 이상의 VM, VNF(202), 및/또는 VNFC(212)는 공유 메모리(232)를 이용할 수 있다. 예를 들어, 몇몇 실시예에서, VNF(202) 및 VNFC(212)는 서로 통신하도록 공유 메모리(232)를 이용할 수 있다. 공유 메모리(232)는 특정 실시예에 따라 물리적 메모리 및/또는 가상 메모리를 포함할 수 있다는 것이 이해되어야 한다. 예시적인 실시예에서, 특정 서버(204)의 TEE(224)는 하나 이상 패킷/흐름의 보안 위협 분석을 위해 데이터를 검색하도록 그 서버(204)의 API(226), 가상 스위치(228), 암호화 터널(230), 및 공유 메모리(232)의 각각에 액세스할 수 있다. 부가적으로, TEE(224)는 이러한 분석을 위해 인터-VNF 및 인터-VNFC 통신에 액세스할 수 있다.
전술된 바와 같이, 서버(204)는 메모리(314), 캐시(324), 엔진(220), 네트워크 인터페이스(222), 및 TEE(224)를 포함한다. 메모리(314)는 본 명세서에 설명된 기능을 수행하는 것이 가능한 임의의 유형의 휘발성 또는 비휘발성 메모리 또는 데이터 저장 장치로서 구체화될 수 있다는 것이 이해되어야 한다. 또한, 몇몇 실시예에서, 메모리(314)는 소프트웨어 정의된 저장 장치를 포함할 수 있다. 하나 이상의 엔진(220)은 보안 평가를 준비할 때 TEE(224) 및/또는 보안 서버(206)에 유용한 데이터를 발생하는 임의의 하드웨어, 펌웨어, 및/또는 소프트웨어 구성요소로서 구체화될 수 있다. 예를 들어, 엔진(220)은 SoC, 그래픽 엔진, 보안 엔진, 오디오 엔진, 암호화 모듈, TPM, 코프로세서, 통신 링크 또는 채널, 스위치, 및/또는 데이터를 프로세싱하거나 다른 방식으로 핸들링하도록 구성된 다른 엔진을 포함할 수 있다. 네트워크 인터페이스(222)는 데이터 패킷의 네트워킹 프로세스와 연계된 임의의 인터페이스로서 구체화될 수 있다. 예를 들어, 몇몇 실시예에서, 네트워크 인터페이스(222)는 네트워크 MAC/이더넷 인터페이스, 소프트웨어 정의된 네트워킹 모듈, 및/또는 다른 네트워크 인터페이스를 포함한다.
상기에 지시된 바와 같이, 예시적인 실시예에서, TEE(224)는 Intel® Software Guard Extensions(SGX)과 같은 보안 구역으로서 설정된다. 그러나, 다른 실시예에서, TEE(224)는 예를 들어, 관리용이성 엔진(ME), 신뢰된 플랫폼 모듈(TPM), 혁신 엔진(IE), 보안 파티션, 개별 프로세서 코어로서 다른 방식으로 설정될 수 있고 그리고/또는 다른 방식으로 설정될 수 있다. 예를 들어, 몇몇 실시예에서, TEE(224)는 보안 코프로세서(322)로서 구체화되거나 또는 설정될 수 있다. 본 명세서에 설명되는 바와 같이, TEE(224)는 보안 분석을 수행하는데 사용될 수 있는 서버(204)의 다양한 구성요소로부터 데이터를 검색하도록 구성될 수 있다. 몇몇 실시예에서, TEE(224)는 검색된 데이터에 기초하여 로컬 보안 분석을 수행할 수 있다. 또한, 예시된 실시예에서, TEE(224)는 보안 서버(206)의 대응 TEE(224)에(즉, 지명된 TEE(224)에) 보안 위협 평가된 데이터(즉, 수집된 데이터 및/또는 분석 결과)를 전송한다. 예시적인 실시예에서, TEE(224)는 대역외 통신 네트워크를 통해 서로 통신할 수 있다는 것이 이해되어야 한다.
본 명세서에 설명되는 바와 같이, 보안 서버(206)의 지명된 TEE(224)는 시스템 차원(또는 더 큰 서브시스템 차원) 보안 평가를 수행한다. 몇몇 실시예에서, 보안 서버(206)는 보안 평가와 연계된 리미디에이션 인스트럭션(즉, 서버(204)에 의해 수행될 적합한 동작)을 요청하기 위해 리미디에이션 서버(208)와 통신할 수 있다. 도 2에 도시된 바와 같이, 리미디에이션 서버(208)는 클라우드 컴퓨팅 환경(234) 내에 포함될 수 있고, 이 경우에 리미디에이션 서버(208)는 적절한 리미디에이션 동작/인스트럭션을 결정하기 위해 오케스트레이터(210)를 참고할 수 있다. 리미디에이션 서버(208) 및 오케스트레이터(210)는 본 명세서에 설명된 기능을 수행하는 것이 가능한 임의의 서버 또는 컴퓨팅 디바이스로서 구체화될 수 있다. 또한, 리미디에이션 서버(208) 및 오케스트레이터(210)는 전술된 서버(204, 206)의 구성요소와 유사한 구성요소 및/또는 설명의 명료화를 위해 도 2에는 도시되어 있지 않은 프로세서, 메모리, I/O 서브시스템, 데이터 저장 장치, 주변 디바이스 등과 같은 서버 내에서 통상적으로 발견되는 구성요소를 포함할 수 있다.
이제, 도 4를 참조하면, 서버(204, 206) 중 하나 이상은 보안 이상의 분산형 검출을 위한 환경(400)을 설정한다. 서버(204, 206)의 예시적인 실시예(400)는 보안 모듈(402), 신뢰된 실행 환경 모듈(404), 통신 모듈(406), 보안 위협 데이터베이스(408), 하나 이상의 정책(410)(예를 들어, 보안 및/또는 구성 정책), 및 휴리스틱 코드(412)를 포함한다. 환경(400)의 각각의 모듈은 하드웨어, 소프트웨어, 펌웨어, 또는 이들의 조합으로서 구체화될 수 있다. 부가적으로, 몇몇 실시예에서, 예시적인 모듈의 하나 이상은 다른 모듈의 부분을 형성할 수 있고 그리고/또는 예시적인 모듈의 하나 이상은 자립형 또는 독립적인 모듈로서 구체화될 수 있다. 예를 들어, 환경(400)의 각각의 모듈, 로직, 및 다른 구성요소는 서버(204, 206)의 프로세서(310)의 부분을 형성하거나, 또는 다르게는 이 프로세서에 의해 설정될 수 있다.
보안 모듈(402)은 서버(206)를 위한 다양한 보안 기능을 수행하도록 구성된다. 예를 들어, 보안 모듈(402)은 암호화키, 서명, 해시의 발생 및 검증을 핸들링하고, 그리고/또는 다른 암호화 기능을 수행할 수 있다.
신뢰된 실행 환경 모듈(404)은 신뢰된 실행 환경(예를 들어, TEE(224)) 또는 다른 보안 환경을 서버(204, 206) 내에 설정한다. 전술된 바와 같이, TEE(224)는 다른 서버(204, 206)의 대응 TEE(224)와 신뢰된 관계를 수립할 수 있다. 예를 들어, 이와 같이 함으로써, TEE(224)는 암호화키 교환을 수행할 수 있다. 몇몇 실시예에서, TEE(224)는 설정된 암호화된 그리고/또는 다른 보안 터널을 통해 서로 통신할 수 있다. 전술된 바와 같이, 몇몇 실시예에서, TEE(224)는 대역외 통신 채널(즉, 대응 서버(204, 206) 사이의 공통 통신 채널로부터 분리된 통신 채널)을 통해 서로 통신할 수 있다. 예를 들어, 서버(204) 중 하나의 TEE(224)는 보안 서버(206)의 TEE(224)와 신뢰된 관계를 수립할 수 있다. 또한, 전술된 바와 같이, TEE(224)는 VNFC-VNFC 및 VNF-VNF 네트워크의 패킷을 판독하고, 메모리(314), 캐시(324), 엔진(220), 및/또는 네트워크 인터페이스(222)로부터 데이터를 검색할 수 있다. 또한, 몇몇 실시예에서, TEE 모듈(404)은 퓨즈, 메모리(314), 데이터 저장 장치(316) 및/또는 서버(204, 206)의 다른 하드웨어 구성요소를 판독하여, 서버(204, 206)의 특정 정책(410)(예를 들어, 구성 또는 보안 정책)을 결정한다. 부가적으로, TEE 모듈(404)은 예를 들어, 패킷이 보안 위협을 취하는지 여부를 판정하기 위해 검색된 정보에 기초하여 서버(204, 206)의 하나 이상의 패킷의 보안 평가를 수행할 수 있다. 이와 같이 함으로써, TEE 모듈(404)은 보안 위협 데이터베이스(408)로부터 데이터를 검색하거나 또는 다르게는 검색된 보안 위협 평가를 보안 위협 데이터베이스(408)와 상관할 수 있다. 서버(204) 중 하나는 로컬 보안 위협 평가를 수행할 수 있고, 보안 서버(206)는 시스템 차원(또는 더 큰 서브시스템 차원) 보안 위협 평가를 수행할 수 있다는 것이 이해되어야 한다. 이와 같이, 이들 서버(204, 206)의 보안 위협 데이터베이스(408)는 대응 데이터를 포함할 수 있다. 몇몇 실시예에서, TEE 모듈(404)은 하나 이상의 패킷의 보안을 평가하는데 휴리스틱 코드(412)를 이용할 수 있다. 몇몇 실시예에서, 휴리스틱 코드(412)는 의심스러운 인스트럭션이 실행되어야 하는(예를 들어, VM 또는 보안 컨테이너 내에서) 파라미터 및/또는 콘텍스트를 식별한다. 부가적으로 또는 대안적으로, 휴리스틱 코드(412)는 악의적인 코드 서명, 화이트 리스트(white list), 블랙 리스트(black list)를 식별할 수 있고, 그리고/또는 다르게는 하나 이상의 패킷/인스트럭션의 보안을 평가하는데 있어 TEE 모듈에 의해 유용한 데이터를 포함할 수 있다.
통신 모듈(406)은 적합한 네트워크를 통해 서버(204, 206)와 원격 디바이스 사이의 통신을 핸들링한다. 예를 들어, 전술된 바와 같이, 서버(204, 206)의 TEE(224)는 대역외 통신 채널을 통해 또는 암호화된 터널을 거쳐 서로 통신할 수 있다.
이제, 도 5 및 도 6을 참조하면, 사용시에, 서버(204)는 보안 이상의 분산형 검출을 위한 방법(500)을 실행할 수 있다. 예시적인 방법(500)은 서버가 보안 서버(206)와 신뢰된 관계를 수립하는 블록 502에서 시작한다. 전술된 바와 같이, 몇몇 실시예에서, 보안 서버(206)는 시스템 차원 또는 서브시스템 차원 보안 분석을 수행하도록 선택되거나 "지명되어" 있는 TEE(224)를 포함하는 서버(204) 중 하나로서 구체화될 수 있다. 다른 실시예에서, 보안 서버(206)는 서버(204)로부터 분리된 서버로서 구체화될 수 있다. 신뢰된 관계를 수립하는데 있어서, 서버(204)는 블록 504에서 보안 서버(206)와 암호화키를 교환할 수 있고 그리고/또는 블록 506에서 신뢰의 루트 및/또는 퓨즈키를 사용할 수 있다는 것이 이해되어야 한다. 예를 들어, 서버(204) 및/또는 보안 서버(206)는 서버(204, 206), 또는 더 구체적으로는 서버(204, 206)의 하드웨어 구성요소(예를 들어, 보안 코프로세서(322))에 구속된(예를 들어, 암호학적으로) 암호화키 또는 식별을 포함할 수 있다.
블록 508에서, 서버(204)는 보안적으로 부팅한다. 이와 같이 함으로써, 서버(204)는 블록 510에서 그 구성 정책을 검색한다(예를 들어, 서버(204)의 보안 비휘발성 메모리로부터). 몇몇 실시예에서, 구성 정책은 실행 파라미터, 맥락적 정보, 및/또는 서버(204)의 동작과 연계된 다른 정보를 지시할 수 있다. 예를 들어, 몇몇 실시예에서, 구성 정책은 서버(204)의 다양한 하드웨어, 펌웨어, 및/또는 소프트웨어 구성요소에 관하여 TEE(224)에 통지하는데 이용될 수 있다.
블록 512에서, 서버(204)는 보안 서버(206)와 신뢰된 터널을 설립한다. 이와 같이 함으로써, 서버(204)는 블록 514에서 그 존속성(aliveness)을 광고할 수 있다. 이와 같이 하기 위해, 서버(204)는 서버(204)가 동작하는 보안 서버(206)에 통보하기 위해 보안 서버(206)와 통신할 수 있다. 예를 들어, 서버(204)는 보안 서버(206)에 하트비트(heartbeat) 신호를 전송할 수 있다. 또한, 몇몇 실시예에서, 서버(204)는 그 존속성을 주기적으로 또는 연속적으로 광고할 수 있다. 부가적으로 또는 대안적으로, 서버(204)는 블록 516에서 보안 서버(206)에 그 보안 정책 및/또는 휴리스틱 코드(예를 들어, 패킷 데이터를 분석하기 위해 휴리스틱 보안 알고리즘을 적용하는데 사용을 위해)를 전송할 수 있다. 몇몇 실시예에서, 서버(204)는 전체 보안 정책을 전송할 수 있고, 반면에 다른 실시예에서, 보안 서버(206)는 다양한 서버(204)를 위한 보안 정책을 유지할 수 있어, 서버(204)가 전체 보안 정책보다는 보안 정책에 대한 최근의 업데이트를 단지 보안 서버(206)에 제공할 수 있게 된다. 또한, 몇몇 실시예에서, 보안 서버(204)는 보안을 평가하는데 사용을 위해 서버(204)에 휴리스틱 코드를 전송할 수 있다.
블록 518에서, 서버(204)는 서버(204)의 실행시간 포스처(posture)(예를 들어, 맥락 및/또는 상태 정보)를 결정한다. 이와 같이 함으로써, 블록 420에서, 서버(204)는 서버(204)의 하나 이상의 VNF(202)의 실행시간 포스처를 결정할 수 있다. 예를 들어, 서버(204)는 VNF(202), VNFC(212), 및/또는 VM의 기능으로서 서버(204)의 현재 콘텍스트를 결정할 수 있다. 블록 422에서, 서버(204)는 하이퍼바이저(214)를 통해 VNFC-VNFC 및/또는 VNF-VNF 네트워크의 하나 이상의 패킷을 판독한다. 특히, 서버(204)는 가상 스위치(228) 및/또는 네트워크 인터페이스(222)를 통해 VNFC-VNFC 및/또는 VNF-VNF 네트워크의 하나 이상의 패킷을 판독할 수 있다. 블록 524에서, 서버(204)는 서버(204)의 메모리(314, 232) 및/또는 캐시(324)로부터 VNFC 및/또는 VNF 프로세스 실행 상태와 연계된 하나 이상의 패킷을 판독한다. 도 6의 블록 526에서, 서버(204)는 서버(204)의 마이크로코드(유코드) 및/또는 BIOS를 통해 서버 액세스를 인에이블링한다. 이와 같이 함으로써, 블록 528에서, 서버(204)는 서버(204)의 정책(예를 들어, 보안 정책)을 결정하기 위해 서버(204)의 퓨즈 및/또는 상태를 판독할 수 있다.
블록 530에서, 서버(204)는 서버(204)의 로컬 위협 평가를 수행할 수 있다. 서버(204)는 서버(204)에서 검색된 또는 다른 방식으로 액세스가능한 정책, 휴리스틱 코드, 실행시간 포스처, 패킷, 및/또는 다른 정보를 이용할 수 있다는 것이 이해되어야 한다. 몇몇 실시예에서, 서버(204)는 보안 위협 평가를 수행하기 위한 하나 이상의 휴리스틱 알고리즘을 실행한다. 블록 534에서, 서버(204)는 보안 서버(206)에 보안 위협 평가 데이터를 보고한다. 이와 같이 함으로써, 서버(204)는 서버(204)에 의해 수집된 원시 데이터, 로컬 보안 평가 데이터, 및/또는 서버(204)에 의해 발생된 중간 데이터를 전송할 수 있다.
특정 실시예에 따라, 서버(204)는 블록 536에서 보안 서버(206) 또는 리미디에이션 서버(208)로부터 네트워크 흐름/패킷을 위한 리미디에이션 동작 인스트럭션을 수신할 수 있다. 예를 들어, 본 명세서에 설명된 바와 같이, 보안 서버(206)는 임의의 특정 리미디에이션 동작이 서버(204)에 의해 수행되어야 하는지 여부를 판정하기 위해 리미디에이션 서버(208)로부터 시스템 차원 위협 분석 및/또는 요청 보조를 수행할 수 있다. 만일 없으면, 서버(204)는 몇몇 실시예에서 보안 서버(206)로부터 응답을 수신하지 않을 수 있다. 물론, 몇몇 실시예에서, 서버(204)는 보안 리미디에이션 동작을 수행해야 하는지 여부를 독립적으로 판정할 수 있다. 블록 538에서, 서버(204)는 네트워크 정책 및/또는 임의의 리미디에이션 동작을 시행한다. 몇몇 실시예에서, 서버(204)는 가상 스위치(228) 및/또는 네트워크 인터페이스(222)에 의해 이와 같이 행할 수 있다. 특정 리미디에이션 동작은 특정 보안 위협 및/또는 특정 실시예에 따라 다양할 수 있다. 예를 들어, 블록 540에서, 서버(204)는 리미디에이션 인스트럭션에 기초하여 하나 이상의 네트워크 패킷을 드롭할 수 있다. 블록 542에서, 서버(204)는 하나 이상의 네트워크 흐름을 모니터링할 수 있다. 예를 들어, 몇몇 실시예에서, 보안 서버(206) 또는 리미디에이션 서버(208)는 위협 분석에 기초하여 보안 위험을 취할 수 있는 특정 클래스의 네트워크 흐름을 모니터링하도록 서버(204)에 지시할 수 있다. 또한, 블록 544에서, 서버(204)는 리미디에이션 인스트럭션에 기초하여 하나 이상의 네트워크 패킷의 심도 패킷 검사를 수행할 수 있다. 물론, 서버(204)는 특정 실시예에 따라 광범위한 다른 리미디에이션 동작을 수행할 수 있다.
이제, 도 7을 참조하면, 사용시에, 보안 서버(206)는 보안 이상의 분산 검출 방법(700)을 실행할 수 있다. 예시된 방법(700)은 보안 서버(206)가 서버(204) 중 하나와 신뢰된 관계를 수립하는 도 7의 블록 702에서 시작한다. 전술된 바와 같이, 이와 같이 함으로써, 보안 서버(206)는 블록 704에서 서버(204)와 암호화키 교환을 수행할 수 있고 그리고/또는 블록 706에서 신뢰의 루트 및/또는 퓨즈키를 이용할 수 있다. 예를 들어, 쌍방 신뢰가 설정되는 실시예에서, 서버(204) 및 보안 서버(206)의 모두는 신뢰의 루트(예를 들어, 암호학적으로 구속된 키 또는 식별자)를 포함한다. 블록 710에서, 보안 서버(206)는 전술된 바와 같이 서버(204)와 신뢰된 터널을 설립한다. 이와 같이 함으로써, 보안 서버(206)는 블록 710에서 서버(204)로부터 보안 정책 업데이트 및/또는 휴리스틱 코드를 수신할 수 있다. 부가적으로 또는 대안적으로, 보안 서버(204)는 서버(204)에 휴리스틱 코드를 전송할 수 있다(예를 들어, 보안을 평가하는데 사용을 위해). 또한, 블록 712에서, 보안 서버(206)는 수신된 정보에 기초하여 서버(204)로부터 보안 위협 평가 데이터를 수신한다. 전술된 바와 같이, 서버(204)는 서버(204)에 의해 수집된 원시 데이터, 로컬 보안 평가 데이터, 및/또는 서버(204)에 의해 발생된 중간 데이터를 보안 서버(206)에 전송하여 보안 서버(206)가 시스템 차원 또는 서브시스템 차원 보안 평가를 수행하는 것을 가능하게 할 수도 있다.
블록 714에서, 보안 서버(206)는 분석된 패킷(들)이 서버(204)로의 보안 위협을 취하는지 여부를 판정하기 위해 보안 위협 데이터베이스(408)와 보안 위협 평가를 상관한다. 몇몇 실시예에서, 보안 서버(206)는 포스처, 보안 및 구성 정책, 콘텍스트, 휴리스틱 코드, 및/또는 서버(204)의 동작에 관한 다른 정보에 기초하여 패킷의 실행을 시뮬레이션할 수 있다(예를 들어, VM 내에서). 부가적으로 또는 대안적으로, 보안 서버(206)는 다양한 멀웨어(예를 들어, 바이러스) 서명, 화이트 리스트, 블랙 리스트, 및/또는 다른 데이터에 패킷을 비교하여 패킷이 보안되는지 여부를 판정할 수 있다.
블록 716에서, 보안 서버(206)는 보안 위협이 식별되어 있는지 여부를 판정한다. 만일 그러하면, 보안 서버(206)는 블록 718에서 리미디에이션 동작을 결정한다. 이와 같이 하기 위해, 블록 720에서, 보안 서버(206)는 리미디에이션 서버(208)로부터 리미디에이션 결정을 요청할 수 있다. 이러한 실시예에서, 리미디에이션 서버(208)는 시스템 차원(예를 들어, 클라우드 기반) 보안 평가를 수행할 수 있고 그리고/또는 보안 위협과 연계된 손상을 리미디에이션하거나 최소화하기 위해 서버(204)에 의해 수행될 리미디에이션 동작을 다른 방식으로 결정할 수 있다. 전술된 바와 같이, 몇몇 실시예에서, 리미디에이션 서버(208)는 이러한 결정을 행하기 위해 클라우드 컴퓨팅 환경(234) 내에서 오케스트레이터(210)와 협동할 수 있다. 리미디에이션 서버(208)가 참고되면, 블록 722에서, 보안 서버(206)는 리미디에이션 서버(208)로부터 대응 리미디에이션 인스트럭션을 수신할 수 있다. 다른 실시예에서, 리미디에이션 서버(208)는 서버(204)에 직접 인스트럭션을 전송할 수 있다. 물론, 몇몇 실시예에서, 보안 서버(206)는 그 자신이 리미디에이션 분석으로 수행할 수 있다. 블록 724에서, 보안 서버(206)는 리미디에이션 인스트럭션을 서버(204)에 전송할 수 있다.
본 명세서에 개시된 기술의 예시적인 예가 이하에 제공된다. 기술의 실시예는 후술되는 예 중 임의의 하나 이상, 및 임의의 조합을 포함할 수 있다.
예 1은 보안 이상의 분산형 검출을 위한 컴퓨팅 디바이스를 포함하고, 컴퓨팅 디바이스는 (i) 보안 서버와 신뢰된 관계를 수립하고, (ii) 신뢰된 관계의 수립에 응답하여 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷을 판독하고, (iii) 하나 이상의 패킷의 보안 위협 평가를 수행하기 위한 신뢰된 실행 환경 모듈; 및 보안 위협 평가를 보안 서버에 전송하기 위한 통신 모듈을 포함한다.
예 2는 예 1의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 것은 보안 서버의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하는 것을 포함한다.
예 3은 예 1 및 2 중 어느 하나의 요지를 포함하고, 여기서 보안 위협 평가를 전송하는 것은 컴퓨팅 디바이스의 신뢰된 실행 환경 모듈과 보안 서버의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 보안 서버의 대응하는 신뢰된 실행 환경 모듈에 보안 위협 평가를 전송하는 것을 포함한다.
예 4는 예 1 내지 3 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 것은 보안 서버와 암호화키를 교환하는 것을 포함한다.
예 5는 예 1 내지 4 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 것은 컴퓨팅 디바이스의 신뢰의 루트 또는 퓨즈키 중 적어도 하나를 이용하는 것을 포함한다.
예 6은 예 1 내지 5 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 실행 환경 모듈은 또한 신뢰된 관계에 기초하여 보안 서버와 신뢰된 터널을 설립한다.
예 7은 예 1 내지 6 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 것은 컴퓨팅 디바이스의 보안 정책을 보안 서버에 전송하는 것을 추가로 포함한다.
예 8은 예 1 내지 7 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 것은 컴퓨팅 디바이스의 휴리스틱 코드를 보안 서버에 전송하는 것을 추가로 포함한다.
예 9는 예 1 내지 8 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 것은 보안 서버로부터 휴리스틱 코드를 수신하는 것을 추가로 포함한다.
예 10은 예 1 내지 9 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 실행 환경 모듈은 또한 신뢰된 관계의 수립에 응답하여 컴퓨팅 디바이스를 부팅한다.
예 11은 예 1 내지 10 중 어느 하나의 요지를 포함하고, 여기서 컴퓨팅 디바이스를 부팅하는 것은 컴퓨팅 디바이스의 구성 정책을 검색하는 것을 포함한다.
예 12는 예 1 내지 11 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 실행 환경 모듈은 또한 컴퓨팅 디바이스의 실행시간 포스처를 결정하기 위한 것이고; 보안 위협 평가를 수행하는 것은 실행시간 포스처에 기초하여 하나 이상의 패킷의 보안 위협 평가를 수행하는 것을 포함한다.
예 13은 예 1 내지 12 중 어느 하나의 요지를 포함하고, 여기서 컴퓨팅 디바이스의 실행시간 포스처를 결정하는 것은 컴퓨팅 디바이스의 가상 네트워크 기능의 실행시간 포스처를 결정하는 것을 포함한다.
예 14는 예 1 내지 13 중 어느 하나의 요지를 포함하고, 여기서 통신 모듈은 또한 보안 서버로부터 하나 이상의 패킷을 위한 리미디에이션 동작 인스트럭션을 수신한다.
예 15는 예 1 내지 14 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 실행 환경 모듈은 또한 리미디에이션 동작 인스트럭션과 대응하는 리미디에이션 동작을 시행한다.
예 16은 컴퓨팅 디바이스에 의해 보안 이상의 분산형 검출을 위한 방법을 포함하고, 방법은, 컴퓨팅 디바이스에 의해, 보안 서버와 신뢰된 관계를 수립하는 단계; 컴퓨팅 디바이스에 의해, 신뢰된 관계의 수립에 응답하여 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷을 판독하는 단계; 컴퓨팅 디바이스에 의해, 하나 이상의 패킷의 보안 위협 평가를 수행하는 단계; 및 컴퓨팅 디바이스에 의해, 보안 위협 평가를 보안 서버에 전송하는 단계를 포함한다.
예 17은 예 16의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 단계는 보안 서버의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하는 단계를 포함한다.
예 18은 예 16 및 17 중 어느 하나의 요지를 포함하고, 여기서 보안 위협 평가를 전송하는 단계는 컴퓨팅 디바이스의 신뢰된 실행 환경 모듈과 보안 서버의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 보안 서버의 대응하는 신뢰된 실행 환경 모듈에 보안 위협 평가를 전송하는 단계를 포함한다.
예 19는 예 16 내지 18 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 단계는 보안 서버와 암호화키를 교환하는 단계를 포함한다.
예 20은 예 16 내지 19 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 단계는 컴퓨팅 디바이스의 신뢰의 루트 또는 퓨즈키 중 적어도 하나를 이용하는 단계를 포함한다.
예 21은 예 16 내지 20 중 어느 하나의 요지를 포함하고, 컴퓨팅 디바이스에 의해, 신뢰된 관계에 기초하여 보안 서버와 신뢰된 터널을 설립하는 단계를 추가로 포함한다.
예 22는 예 16 내지 21 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 단계는 컴퓨팅 디바이스의 보안 정책을 보안 서버에 전송하는 단계를 포함한다.
예 23은 예 16 내지 22 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 단계는 컴퓨팅 디바이스의 휴리스틱 코드를 보안 서버에 전송하는 단계를 포함한다.
예 24는 예 16 내지 23 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 단계는 보안 서버로부터 휴리스틱 코드를 수신하는 단계를 포함한다.
예 25는 예 16 내지 24 중 어느 하나의 요지를 포함하고, 신뢰된 관계의 수립에 응답하여 컴퓨팅 디바이스를 부팅하는 단계를 추가로 포함한다.
예 26은 예 16 내지 25 중 어느 하나의 요지를 포함하고, 여기서 컴퓨팅 디바이스를 부팅하는 단계는 컴퓨팅 디바이스의 구성 정책을 검색하는 단계를 포함한다.
예 27은 예 16 내지 26 중 어느 하나의 요지를 포함하고, 컴퓨팅 디바이스에 의해, 컴퓨팅 디바이스의 실행시간 포스처를 결정하는 단계를 추가로 포함하고; 보안 위협 평가를 수행하는 단계는 실행시간 포스처에 기초하여 하나 이상의 패킷의 보안 위협 평가를 수행하는 단계를 포함한다.
예 28은 예 16 내지 27 중 어느 하나의 요지를 포함하고, 여기서 컴퓨팅 디바이스의 실행시간 포스처를 결정하는 단계는 컴퓨팅 디바이스의 가상 네트워크 기능의 실행시간 포스처를 결정하는 단계를 포함한다.
예 29는 예 16 내지 28 중 어느 하나의 요지를 포함하고, 컴퓨팅 디바이스에 의해, 보안 서버로부터 하나 이상의 패킷을 위한 리미디에이션 동작 인스트럭션을 수신하는 단계를 추가로 포함한다.
예 30은 예 16 내지 29 중 어느 하나의 요지를 포함하고, 컴퓨팅 디바이스에 의해, 리미디에이션 동작 인스트럭션과 대응하는 리미디에이션 동작을 시행하는 단계를 추가로 포함한다.
예 31은 프로세서; 및 프로세서에 의해 실행될 때 컴퓨팅 디바이스가 예 16 내지 30 중 어느 하나의 방법을 수행하게 하는 복수의 인스트럭션이 그 내에 저장되어 있는 메모리를 포함하는 컴퓨팅 디바이스를 포함한다.
예 32는 컴퓨팅 디바이스에 의한 실행에 응답하여, 컴퓨팅 디바이스가 예 16 내지 30 중 어느 하나의 방법을 수행하게 하는 그 위에 저장되어 있는 복수의 인스트럭션을 포함하는 하나 이상의 기계 판독가능 저장 매체를 포함한다.
예 33은 보안 이상의 분산형 검출을 위한 컴퓨팅 디바이스를 포함하고, 컴퓨팅 디바이스는 보안 서버와 신뢰된 관계를 수립하기 위한 수단; 신뢰된 관계의 수립에 응답하여 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷을 판독하기 위한 수단; 하나 이상의 패킷의 보안 위협 평가를 수행하기 위한 수단; 및 보안 위협 평가를 보안 서버에 전송하기 위한 수단을 포함한다.
예 34는 예 33의 요지를 포함하고, 여기서 신뢰된 관계를 수립하기 위한 수단은 보안 서버의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하기 위한 수단을 포함한다.
예 35는 예 33 및 34 중 어느 하나의 요지를 포함하고, 여기서 보안 위협 평가를 전송하기 위한 수단은 컴퓨팅 디바이스의 신뢰된 실행 환경 모듈과 보안 서버의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 보안 서버의 대응하는 신뢰된 실행 환경 모듈에 보안 위협 평가를 전송하기 위한 수단을 포함한다.
예 36은 예 33 내지 35 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하기 위한 수단은 보안 서버와 암호화키를 교환하기 위한 수단을 포함한다.
예 37은 예 33 내지 36 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하기 위한 수단은 컴퓨팅 디바이스의 신뢰의 루트 또는 퓨즈키 중 적어도 하나를 이용하기 위한 수단을 포함한다.
예 38은 예 33 내지 37 중 어느 하나의 요지를 포함하고, 신뢰된 관계에 기초하여 보안 서버와 신뢰된 터널을 설립하기 위한 수단을 추가로 포함한다.
예 39는 예 33 내지 38 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하기 위한 수단은 컴퓨팅 디바이스의 보안 정책을 보안 서버에 전송하기 위한 수단을 포함한다.
예 40은 예 33 내지 39 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하기 위한 수단은 컴퓨팅 디바이스의 휴리스틱 코드를 보안 서버에 전송하기 위한 수단을 포함한다.
예 41은 예 33 내지 40 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하기 위한 수단은 보안 서버로부터 휴리스틱 코드를 수신하기 위한 수단을 포함한다.
예 42는 예 33 내지 41 중 어느 하나의 요지를 포함하고, 신뢰된 관계의 수립에 응답하여 컴퓨팅 디바이스를 부팅하기 위한 수단을 추가로 포함한다.
예 43은 예 33 내지 42 중 어느 하나의 요지를 포함하고, 여기서 컴퓨팅 디바이스를 부팅하기 위한 수단은 컴퓨팅 디바이스의 구성 정책을 검색하기 위한 수단을 포함한다.
예 44는 예 33 내지 43 중 어느 하나의 요지를 포함하고, 컴퓨팅 디바이스의 실행시간 포스처를 결정하기 위한 수단을 추가로 포함하고; 보안 위협 평가를 수행하기 위한 수단은 실행시간 포스처에 기초하여 하나 이상의 패킷의 보안 위협 평가를 수행하기 위한 수단을 포함한다.
예 45는 예 33 내지 44 중 어느 하나의 요지를 포함하고, 여기서 컴퓨팅 디바이스의 실행시간 포스처를 결정하기 위한 수단은 컴퓨팅 디바이스의 가상 네트워크 기능의 실행시간 포스처를 결정하기 위한 수단을 포함한다.
예 46은 예 33 내지 45 중 어느 하나의 요지를 포함하고, 보안 서버로부터 하나 이상의 패킷을 위한 리미디에이션 동작 인스트럭션을 수신하기 위한 수단을 추가로 포함한다.
예 47은 예 33 내지 46 중 어느 하나의 요지를 포함하고, 리미디에이션 동작 인스트럭션과 대응하는 리미디에이션 동작을 시행하기 위한 수단을 추가로 포함한다.
예 48은 보안 이상의 분산형 검출을 위한 보안 서버를 포함하고, 보안 서버는 컴퓨팅 디바이스와 신뢰된 관계를 수립하기 위한 신뢰된 실행 환경 모듈; 및 컴퓨팅 디바이스의 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷의 보안 위협 평가를 컴퓨팅 디바이스로부터 수신하기 위한 통신 모듈을 포함하고, 신뢰된 실행 환경 모듈은 또한 하나 이상의 패킷이 보안 위협을 취하는지 여부를 판정하기 위해 보안 서버의 보안 위협 데이터베이스와 보안 위협 평가를 상관한다.
예 49는 예 48의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 것은 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하는 것을 포함한다.
예 50은 예 48 및 49 중 어느 하나의 요지를 포함하고, 여기서 보안 위협 평가를 수신하는 것은 보안 서버의 신뢰된 실행 환경 모듈과 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈로부터 보안 위협 평가를 수신하는 것을 포함한다.
예 51은 예 48 내지 50 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 것은 컴퓨팅 디바이스와 암호화키를 교환하는 것을 포함한다.
예 52는 예 48 내지 51 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 실행 환경 모듈은 또한 신뢰된 관계에 기초하여 컴퓨팅 디바이스와 신뢰된 터널을 설립한다.
예 53은 예 48 내지 52 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 것은 컴퓨팅 디바이스로부터 컴퓨팅 디바이스의 보안 정책을 수신하는 것을 추가로 포함한다.
예 54는 예 48 내지 53 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 것은 컴퓨팅 디바이스로부터 컴퓨팅 디바이스의 휴리스틱 코드를 수신하는 것을 추가로 포함한다.
예 55는 예 48 내지 54 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 것은 컴퓨팅 디바이스에 휴리스틱 코드를 전송하는 것을 추가로 포함한다.
예 56은 예 48 내지 55 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 실행 환경 모듈은 또한 보안 위협 데이터베이스와 보안 위협 평가의 상관에 기초하여 보안 위협의 식별에 응답하여 리미디에이션 동작을 결정한다.
예 57은 예 48 내지 56 중 어느 하나의 요지를 포함하고, 여기서 리미디에이션 동작을 결정하는 것은 리미디에이션 서버로부터 리미디에이션 결정을 요청하는 것; 및 리미디에이션 서버로부터 리미디에이션 결정과 연계된 리미디에이션 인스트럭션을 수신하는 것을 포함한다.
예 58은 예 48 내지 57 중 어느 하나의 요지를 포함하고, 여기서 통신 모듈은 또한 리미디에이션 인스트럭션을 컴퓨팅 디바이스에 전송한다.
예 59는 보안 서버에 의해 보안 이상의 분산형 검출을 위한 방법을 포함하고, 방법은 보안 서버에 의해, 컴퓨팅 디바이스와 신뢰된 관계를 수립하는 단계; 보안 서버에 의해 그리고 컴퓨팅 디바이스로부터, 컴퓨팅 디바이스의 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷의 보안 위협 평가를 수신하는 단계; 및 보안 서버에 의해, 하나 이상의 패킷이 보안 위협을 취하는지 여부를 판정하기 위해 보안 서버의 보안 위협 데이터베이스와 보안 위협 평가를 상관하는 단계를 포함한다.
예 60은 예 59의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 단계는 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하는 단계를 포함한다.
예 61은 예 59 및 60 중 어느 하나의 요지를 포함하고, 여기서 보안 위협 평가를 수신하는 단계는 보안 서버의 신뢰된 실행 환경 모듈과 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈로부터 보안 위협 평가를 수신하는 단계를 포함한다.
예 62는 예 59 내지 61 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 단계는 컴퓨팅 디바이스와 암호화키를 교환하는 단계를 포함한다.
예 63은 예 59 내지 62 중 어느 하나의 요지를 포함하고, 보안 서버에 의해, 신뢰된 관계에 기초하여 컴퓨팅 디바이스와 신뢰된 터널을 설립하는 단계를 추가로 포함한다.
예 64는 예 59 내지 63 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 단계는 컴퓨팅 디바이스로부터 컴퓨팅 디바이스의 보안 정책을 수신하는 단계를 추가로 포함한다.
예 65는 예 59 내지 64 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 단계는 컴퓨팅 디바이스로부터 컴퓨팅 디바이스의 휴리스틱 코드를 수신하는 단계를 추가로 포함한다.
예 66은 예 59 내지 65 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 단계는 컴퓨팅 디바이스에 휴리스틱 코드를 전송하는 단계를 추가로 포함한다.
예 67은 예 59 내지 66 중 어느 하나의 요지를 포함하고, 보안 서버에 의해, 보안 위협 데이터베이스와 보안 위협 평가의 상관에 기초하여 보안 위협의 식별에 응답하여 리미디에이션 동작을 결정하는 단계를 추가로 포함한다.
예 68은 예 59 내지 67 중 어느 하나의 요지를 포함하고, 여기서 리미디에이션 동작을 결정하는 단계는 리미디에이션 서버로부터 리미디에이션 결정을 요청하는 단계; 및 리미디에이션 서버로부터 리미디에이션 결정과 연계된 리미디에이션 인스트럭션을 수신하는 단계를 포함한다.
예 69는 예 59 내지 68 중 어느 하나의 요지를 포함하고, 보안 서버에 의해, 리미디에이션 인스트럭션을 컴퓨팅 디바이스에 전송하는 단계를 추가로 포함한다.
예 70은 프로세서; 및 프로세서에 의해 실행될 때 보안 서버가 예 59 내지 69 중 어느 하나의 방법을 수행하게 하는 복수의 인스트럭션이 그 내에 저장되어 있는 메모리를 포함하는 보안 서버를 포함한다.
예 71은 보안 서버에 의한 실행에 응답하여, 보안 서버가 예 59 내지 69 중 어느 하나의 방법을 수행하게 하는 그 위에 저장되어 있는 복수의 인스트럭션을 포함하는 하나 이상의 기계 판독가능 저장 매체를 포함한다.
예 72는 보안 이상의 분산형 검출을 위한 보안 서버를 포함하고, 보안 서버는 컴퓨팅 디바이스와 신뢰된 관계를 수립하기 위한 수단; 컴퓨팅 디바이스로부터, 컴퓨팅 디바이스의 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷의 보안 위협 평가를 수신하기 위한 수단; 및 하나 이상의 패킷이 보안 위협을 취하는지 여부를 판정하기 위해 보안 서버의 보안 위협 데이터베이스와 보안 위협 평가를 상관하기 위한 수단을 포함한다.
예 73은 예 72의 요지를 포함하고, 여기서 신뢰된 관계를 수립하기 위한 수단은 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하기 위한 수단을 포함한다.
예 74는 예 72 및 73 중 어느 하나의 요지를 포함하고, 여기서 보안 위협 평가를 수신하기 위한 수단은 보안 서버의 신뢰된 실행 환경 모듈과 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈로부터 보안 위협 평가를 수신하기 위한 수단을 포함한다.
예 75는 예 72 내지 74 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하기 위한 수단은 컴퓨팅 디바이스와 암호화키를 교환하기 위한 수단을 포함한다.
예 76은 예 72 내지 75 중 어느 하나의 요지를 포함하고, 신뢰된 관계에 기초하여 컴퓨팅 디바이스와 신뢰된 터널을 설립하기 위한 수단을 추가로 포함한다.
예 77은 예 72 내지 76 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하기 위한 수단은 컴퓨팅 디바이스로부터 컴퓨팅 디바이스의 보안 정책을 수신하기 위한 수단을 추가로 포함한다.
예 78은 예 72 내지 77 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하기 위한 수단은 컴퓨팅 디바이스로부터 컴퓨팅 디바이스의 휴리스틱 코드를 수신하기 위한 수단을 추가로 포함한다.
예 79는 예 72 내지 78 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하기 위한 수단은 컴퓨팅 디바이스에 휴리스틱 코드를 전송하기 위한 수단을 추가로 포함한다.
예 80은 예 72 내지 79 중 어느 하나의 요지를 포함하고, 보안 위협 데이터베이스와 보안 위협 평가의 상관에 기초하여 보안 위협의 식별에 응답하여 리미디에이션 동작을 결정하기 위한 수단을 추가로 포함한다.
예 81은 예 72 내지 80 중 어느 하나의 요지를 포함하고, 여기서 리미디에이션 동작을 결정하기 위한 수단은 리미디에이션 서버로부터 리미디에이션 결정을 요청하기 위한 수단; 및 리미디에이션 서버로부터 리미디에이션 결정과 연계된 리미디에이션 인스트럭션을 수신하기 위한 수단을 포함한다.
예 82는 예 72 내지 81 중 어느 하나의 요지를 포함하고, 리미디에이션 인스트럭션을 컴퓨팅 디바이스에 전송하기 위한 수단을 추가로 포함한다.

Claims (26)

  1. 컴퓨팅 디바이스로서,
    하나 이상의 프로세서와,
    복수의 명령어를 저장하는 하나 이상의 메모리 디바이스를 포함하되,
    상기 복수의 명령어는 상기 하나 이상의 프로세서에 의해 실행될 경우 상기 컴퓨팅 디바이스로 하여금
    연관된 네트워크 기능을 수행하기 위해 상기 컴퓨팅 디바이스 상에서 가상 네트워크 기능을 수립하고- 상기 가상 네트워크 기능은 서로 통신하는 복수의 가상 네트워크 기능 컴포넌트를 포함함 -,
    상기 가상 네트워크 기능 컴포넌트들 간에 통신된 하나 이상의 패킷을 판독하고,
    상기 가상 네트워크 기능 컴포넌트들 간에 통신된 상기 하나 이상의 패킷에 대해 보안 위협 평가를 수행하고,
    상기 보안 위협 평가를 보안 컴퓨팅 디바이스에 전송하게 하는
    컴퓨팅 디바이스.
  2. 제 1 항에 있어서,
    상기 가상 네트워크 기능은 상기 컴퓨팅 디바이스 상에 수립된 다른 가상 네트워크 기능과 통신하는
    컴퓨팅 디바이스.
  3. 제 1 항에 있어서,
    상기 가상 네트워크 기능은 상이한 컴퓨팅 디바이스 상에 수립된 다른 가상 네트워크 기능과 통신하는
    컴퓨팅 디바이스.
  4. 삭제
  5. 제 1 항에 있어서,
    상기 복수의 가상 네트워크 기능 컴포넌트는 상기 가상 네트워크 기능의 적어도 하나의 다른 가상 네트워크 기능 컴포넌트와 통신하고, 상기 적어도 하나의 다른 가상 네트워크 기능 컴포넌트는 상이한 컴퓨팅 디바이스에 위치하는
    컴퓨팅 디바이스.
  6. 제 1 항에 있어서,
    상기 하나 이상의 패킷을 판독하는 것은 상기 가상 네트워크 기능과 연관된 가상 테스트 액세스 포트에 액세스하는 것을 포함하는
    컴퓨팅 디바이스.
  7. 제 1 항에 있어서,
    상기 복수의 명령어는 실행될 경우 상기 컴퓨팅 디바이스로 하여금 또한 상기 보안 위협 평가에 응답하여 상기 하나 이상의 패킷에 대해 리미디에이션(remediation) 동작을 수행하게 하는
    컴퓨팅 디바이스.
  8. 제 1 항에 있어서,
    상기 하나 이상의 패킷은 암호화되는
    컴퓨팅 디바이스.
  9. 연관된 네트워크 기능을 수행하기 위해 컴퓨팅 디바이스 상에서 가상 네트워크 기능을 수립하는 단계- 상기 가상 네트워크 기능은 서로 통신하는 복수의 가상 네트워크 기능 컴포넌트를 포함함 -와,
    상기 가상 네트워크 기능 컴포넌트들 간에 통신된 하나 이상의 패킷을 판독하는 단계와,
    상기 가상 네트워크 기능 컴포넌트들 간에 통신된 상기 하나 이상의 패킷에 대해 보안 위협 평가를 수행하는 단계와,
    상기 보안 위협 평가를 보안 컴퓨팅 디바이스에 전송하는 단계를 포함하는
    방법.
  10. 제 9 항에 있어서,
    상기 하나 이상의 패킷을 판독하는 단계는 상기 가상 네트워크 기능과 상기 컴퓨팅 디바이스 상에 수립된 다른 가상 네트워크 기능 사이에 통신되는 하나 이상의 패킷을 판독하는 단계를 포함하는
    방법.
  11. 제 9 항에 있어서,
    상기 하나 이상의 패킷을 판독하는 단계는 상기 가상 네트워크 기능과 상이한 컴퓨팅 디바이스 상에 수립된 다른 가상 네트워크 기능 사이에 통신되는 하나 이상의 패킷을 판독하는 단계를 포함하는
    방법.
  12. 삭제
  13. 제 9 항에 있어서,
    상기 가상 네트워크 기능 컴포넌트 사이에 통신되는 하나 이상의 패킷을 판독하는 단계는 상기 컴퓨팅 디바이스 상에 위치된 가상 네트워크 기능 컴포넌트와 상이한 컴퓨팅 디바이스 상에 위치된 적어도 하나의 다른 가상 네트워크 기능 컴포넌트 사이에 통신되는 하나 이상의 패킷을 판독하는 단계를 포함하는
    방법.
  14. 제 9 항에 있어서,
    상기 하나 이상의 패킷을 판독하는 단계는 상기 가상 네트워크 기능과 연관된 가상 테스트 액세스 포트에 액세스하는 단계를 포함하는
    방법.
  15. 제 9 항에 있어서,
    상기 보안 위협 평가에 응답하여 상기 하나 이상의 패킷에 대해 리미디에이션 동작을 수행하는 단계를 더 포함하는
    방법.
  16. 제 9 항에 있어서,
    상기 하나 이상의 패킷은 암호화되는
    방법.
  17. 복수의 명령어를 저장하는 하나 이상의 머신 판독가능 저장 매체로서,
    상기 복수의 명령어는 실행될 경우 컴퓨팅 디바이스로 하여금,
    연관된 네트워크 기능을 수행하기 위해 상기 컴퓨팅 디바이스 상에서 가상 네트워크 기능을 수립하고- 상기 가상 네트워크 기능은 서로 통신하는 복수의 가상 네트워크 기능 컴포넌트를 포함함 -,
    상기 가상 네트워크 기능 컴포넌트들 간에 통신된 하나 이상의 패킷을 판독하고,
    상기 가상 네트워크 기능 컴포넌트들 간에 통신된 상기 하나 이상의 패킷에 대해 보안 위협 평가를 수행하고,
    상기 보안 위협 평가를 보안 컴퓨팅 디바이스에 전송하게 하는
    하나 이상의 머신 판독가능 저장 매체.
  18. 제 17 항에 있어서,
    상기 가상 네트워크 기능은 상기 컴퓨팅 디바이스 상에서 수립된 다른 가상 네트워크 기능과 통신하는
    하나 이상의 머신 판독가능 저장 매체.
  19. 제 17 항에 있어서,
    상기 가상 네트워크 기능은 상이한 컴퓨팅 디바이스 상에서 수립된 다른 가상 네트워크 기능과 통신하는
    하나 이상의 머신 판독가능 저장 매체.
  20. 삭제
  21. 제 17 항에 있어서,
    상기 복수의 가상 네트워크 기능 컴포넌트는 상기 가상 네트워크 기능의 적어도 하나의 다른 가상 네트워크 기능 컴포넌트와 통신하고, 상기 적어도 하나의 다른 가상 네트워크 기능 컴포넌트는 상이한 컴퓨팅 디바이스에 위치하는
    하나 이상의 머신 판독가능 저장 매체.
  22. 제 17 항에 있어서,
    상기 하나 이상의 패킷을 판독하는 것은 상기 가상 네트워크 기능과 연관된 가상 테스트 액세스 포트에 액세스하는 것을 포함하는
    하나 이상의 머신 판독가능 저장 매체.
  23. 제 17 항에 있어서,
    상기 복수의 명령어는 실행될 경우 상기 컴퓨팅 디바이스로 하여금 또한 상기 보안 위협 평가에 응답하여 상기 하나 이상의 패킷에 대해 리미디에이션 동작을 수행하게 하는
    하나 이상의 머신 판독가능 저장 매체.
  24. 제 17 항에 있어서,
    상기 하나 이상의 패킷은 암호화되는
    하나 이상의 머신 판독가능 저장 매체.
  25. 연관된 네트워크 기능을 수행하기 위해 컴퓨팅 디바이스 상에서 가상 네트워크 기능을 수립하는 수단- 상기 가상 네트워크 기능은 서로 통신하는 복수의 가상 네트워크 기능 컴포넌트를 포함함 -과,
    상기 가상 네트워크 기능 컴포넌트들 간에 통신된 하나 이상의 패킷을 판독하는 수단과,
    상기 가상 네트워크 기능 컴포넌트들 간에 통신된 상기 하나 이상의 패킷에 대해 보안 위협 평가를 수행하는 수단과,
    상기 보안 위협 평가를 보안 컴퓨팅 디바이스에 전송하는 통신 회로를 포함하는
    컴퓨팅 디바이스.
  26. 삭제
KR1020177005493A 2014-09-30 2015-08-26 보안 이상의 분산형 검출을 위한 기술 KR101992547B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201462058096P 2014-09-30 2014-09-30
US62/058,096 2014-09-30
US14/513,140 2014-10-13
US14/513,140 US9705849B2 (en) 2014-09-30 2014-10-13 Technologies for distributed detection of security anomalies
PCT/US2015/046909 WO2016053514A1 (en) 2014-09-30 2015-08-26 Technologies for distributed detection of security anomalies

Publications (2)

Publication Number Publication Date
KR20170038190A KR20170038190A (ko) 2017-04-06
KR101992547B1 true KR101992547B1 (ko) 2019-06-24

Family

ID=55585738

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177005493A KR101992547B1 (ko) 2014-09-30 2015-08-26 보안 이상의 분산형 검출을 위한 기술

Country Status (7)

Country Link
US (2) US9705849B2 (ko)
EP (3) EP4246896A3 (ko)
JP (1) JP6359766B2 (ko)
KR (1) KR101992547B1 (ko)
CN (1) CN106716952B (ko)
TW (2) TWI606711B (ko)
WO (1) WO2016053514A1 (ko)

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9578664B1 (en) 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
US9705849B2 (en) * 2014-09-30 2017-07-11 Intel Corporation Technologies for distributed detection of security anomalies
US10303879B1 (en) * 2014-11-06 2019-05-28 Amazon Technologies, Inc. Multi-tenant trusted platform modules
US10496974B2 (en) * 2015-03-25 2019-12-03 Intel Corporation Secure transactions with connected peripherals
CN104899524B (zh) * 2015-05-25 2018-11-27 上海兆芯集成电路有限公司 中央处理器和验证主机板数据的方法
US9686240B1 (en) 2015-07-07 2017-06-20 Sprint Communications Company L.P. IPv6 to IPv4 data packet migration in a trusted security zone
US9749294B1 (en) * 2015-09-08 2017-08-29 Sprint Communications Company L.P. System and method of establishing trusted operability between networks in a network functions virtualization environment
US10628764B1 (en) * 2015-09-15 2020-04-21 Synack, Inc. Method of automatically generating tasks using control computer
US10542115B1 (en) 2015-10-01 2020-01-21 Sprint Communications Company L.P. Securing communications in a network function virtualization (NFV) core network
US9811686B1 (en) 2015-10-09 2017-11-07 Sprint Communications Company L.P. Support systems interactions with virtual network functions in a trusted security zone
US9781016B1 (en) 2015-11-02 2017-10-03 Sprint Communications Company L.P. Dynamic addition of network function services
US10135702B2 (en) 2015-11-12 2018-11-20 Keysight Technologies Singapore (Holdings) Pte. Ltd. Methods, systems, and computer readable media for testing network function virtualization (NFV)
US9967165B2 (en) * 2015-12-07 2018-05-08 Keysight Technologies Singapore (Holdings) Pte. Ltd. Methods, systems, and computer readable media for packet monitoring in a virtual environment
US10104114B2 (en) * 2016-07-29 2018-10-16 Rohde & Schwarz Gmbh & Co. Kg Method and apparatus for testing a security of communication of a device under test
US20180088977A1 (en) * 2016-09-28 2018-03-29 Mark Gray Techniques to determine and mitigate latency in virtual environments
US10250498B1 (en) 2016-10-03 2019-04-02 Sprint Communications Company L.P. Session aggregator brokering of data stream communication
KR20180071679A (ko) * 2016-12-20 2018-06-28 삼성전자주식회사 사용자 단말 장치 및 그의 제어 방법
EP3563286A1 (en) * 2016-12-30 2019-11-06 British Telecommunications Public Limited Company Attack signature generation
EP3563543B1 (en) 2016-12-30 2022-04-06 British Telecommunications public limited company Data breach detection
EP3563548B1 (en) * 2016-12-30 2021-11-03 British Telecommunications Public Limited Company Historic data breach detection
US10691514B2 (en) * 2017-05-08 2020-06-23 Datapipe, Inc. System and method for integration, testing, deployment, orchestration, and management of applications
US10567359B2 (en) * 2017-07-18 2020-02-18 International Business Machines Corporation Cluster of secure execution platforms
US10348488B1 (en) 2017-08-25 2019-07-09 Sprint Communications Company L.P. Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network
US10944650B2 (en) * 2018-03-29 2021-03-09 Fortinet, Inc. Programmable, policy-based efficient wireless sniffing networks in WIPS (wireless intrusion prevention systems)
US11157952B2 (en) * 2018-04-30 2021-10-26 Affle (India) Limited Method and system for creating decentralized repository of fraud IPs and publishers using blockchain
CN112166579B (zh) * 2018-06-01 2022-02-25 华为技术有限公司 提供虚拟化网络功能的多服务器架构集群
US11398968B2 (en) 2018-07-17 2022-07-26 Keysight Technologies, Inc. Methods, systems, and computer readable media for testing virtualized network functions and related infrastructure
US10826943B2 (en) * 2018-08-21 2020-11-03 At&T Intellectual Property I, L.P. Security controller
US11263318B2 (en) * 2018-11-05 2022-03-01 Red Hat, Inc. Monitoring a process in a trusted execution environment to identify a resource starvation attack
US20210319098A1 (en) * 2018-12-31 2021-10-14 Intel Corporation Securing systems employing artificial intelligence
CN110034925B (zh) * 2019-01-07 2022-03-01 创新先进技术有限公司 跨机房可信计算集群形成及通信方法和装置
US11297100B2 (en) 2019-01-14 2022-04-05 Red Hat, Inc. Concealed monitor communications from a task in a trusted execution environment
US11023591B2 (en) * 2019-01-14 2021-06-01 Nxp B.V. Data processing system having distributed security controller with local control and method for securing the data processing system
US11128670B2 (en) * 2019-02-26 2021-09-21 Oracle International Corporation Methods, systems, and computer readable media for dynamically remediating a security system entity
CN109922056B (zh) 2019-02-26 2021-09-10 创新先进技术有限公司 数据安全处理方法及其终端、服务器
US11431732B2 (en) * 2019-07-04 2022-08-30 Check Point Software Technologies Ltd. Methods and system for packet control and inspection in containers and meshed environments
EP4005183B1 (en) * 2019-11-08 2024-10-09 Samsung Electronics Co., Ltd. Method and electronic device for determining security threat on radio access network
US11323354B1 (en) 2020-10-09 2022-05-03 Keysight Technologies, Inc. Methods, systems, and computer readable media for network testing using switch emulation
US11483227B2 (en) 2020-10-13 2022-10-25 Keysight Technologies, Inc. Methods, systems and computer readable media for active queue management
US11847205B1 (en) 2020-10-26 2023-12-19 T-Mobile Innovations Llc Trusted 5G network function virtualization of virtual network function elements embedded on a system-on-chip
WO2023278851A1 (en) * 2021-07-02 2023-01-05 Commscope Technologies Llc Systems and methods for secure virtualized base station orchestration
US11949583B2 (en) * 2022-04-28 2024-04-02 Hewlett Packard Enterprise Development Lp Enforcing reference operating state compliance for cloud computing-based compute appliances
CN115134158B (zh) * 2022-07-04 2023-05-23 海南大学 充电桩云平台的访问管理方法和装置
US11853254B1 (en) 2022-10-07 2023-12-26 Keysight Technologies, Inc. Methods, systems, and computer readable media for exposing data processing unit (DPU) traffic in a smartswitch
US12095607B1 (en) 2023-05-22 2024-09-17 Bank Of America Corporation System for enhanced anomaly recognition in network topologies using interactive visualization

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140137188A1 (en) * 2012-11-14 2014-05-15 Domanicom Corporation Devices, systems, and methods for simultaneously delivering personalized/ targeted services and advertisements to end users

Family Cites Families (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7096502B1 (en) * 2000-02-08 2006-08-22 Harris Corporation System and method for assessing the security posture of a network
ES2249450T3 (es) * 2000-07-05 2006-04-01 ERNST & YOUNG LLP Metodo y aparato para proporcionar servicios informaticos.
US20120023572A1 (en) * 2010-07-23 2012-01-26 Q-Track Corporation Malicious Attack Response System and Associated Method
US7190678B2 (en) * 2002-10-28 2007-03-13 Cisco Technology, Inc. Arrangement for router attachments between roaming mobile routers in a clustered network
US7496818B1 (en) * 2003-02-27 2009-02-24 Marvell International Ltd. Apparatus and method for testing and debugging an integrated circuit
US7941855B2 (en) * 2003-04-14 2011-05-10 New Mexico Technical Research Foundation Computationally intelligent agents for distributed intrusion detection system and method of practicing same
KR20040102496A (ko) 2003-05-28 2004-12-08 (주)에이치인포메이션 오디오신호 출력 기능을 갖는 키버튼을 이용한 모바일게임시스템 및 방법
US8087057B2 (en) * 2004-04-28 2011-12-27 Echostar Technologies L.L.C. Television converter device including an internet protocol interface
KR100669240B1 (ko) * 2004-12-07 2007-01-15 한국전자통신연구원 평가규칙표기언어를 이용한 IPv6 네트워크 계층의보안성 평가 시스템 및 방법
US20070266433A1 (en) * 2006-03-03 2007-11-15 Hezi Moore System and Method for Securing Information in a Virtual Computing Environment
US20070271453A1 (en) * 2006-05-19 2007-11-22 Nikia Corporation Identity based flow control of IP traffic
US7793110B2 (en) * 2006-05-24 2010-09-07 Palo Alto Research Center Incorporated Posture-based data protection
US20140173731A1 (en) * 2007-07-27 2014-06-19 Redshift Internetworking, Inc. System and Method for Unified Communications Threat Management (UCTM) for Converged Voice, Video and Multi-Media Over IP Flows
US9369299B2 (en) * 2008-06-10 2016-06-14 Bradford Networks, Inc. Network access control system and method for devices connecting to network using remote access control methods
US8087067B2 (en) * 2008-10-21 2011-12-27 Lookout, Inc. Secure mobile platform system
KR101760451B1 (ko) * 2009-03-05 2017-07-24 인터디지탈 패튼 홀딩스, 인크 H(e)NB 무결성 검증 및 확인을 위한 방법 및 장치
US20110161452A1 (en) * 2009-12-24 2011-06-30 Rajesh Poornachandran Collaborative malware detection and prevention on mobile devices
WO2011103385A1 (en) * 2010-02-22 2011-08-25 Avaya Inc. Secure, policy-based communications security and file sharing across mixed media, mixed-communications modalities and extensible to cloud computing such as soa
US8010992B1 (en) * 2010-07-14 2011-08-30 Domanicom Corp. Devices, systems, and methods for providing increased security when multiplexing one or more services at a customer premises
US8392344B2 (en) * 2010-07-14 2013-03-05 Domanicom Corp. Systems, devices, and methods for providing multiple services to premises over communication networks
US9117083B2 (en) * 2011-02-14 2015-08-25 Blackberry Limited Managing booting of secure devices with untrusted software
JP5618886B2 (ja) * 2011-03-31 2014-11-05 株式会社日立製作所 ネットワークシステムおよび計算機振り分け装置、計算機振り分け方法
US9161249B1 (en) * 2011-07-07 2015-10-13 Symantec Corporation Systems and methods for performing internet site security analyses
US9767840B2 (en) * 2011-08-18 2017-09-19 Apple Inc. Securing protected content during video playback
US9317689B2 (en) * 2012-06-15 2016-04-19 Visa International Service Association Method and apparatus for secure application execution
US20140270177A1 (en) * 2013-03-15 2014-09-18 Ernie Brickell Hardening inter-device secure communication using physically unclonable functions
US8955144B2 (en) * 2013-06-28 2015-02-10 Intel Corporation Protecting information processing system secrets from debug attacks
US9460286B1 (en) * 2013-12-19 2016-10-04 Amdocs Software Systems Limited System, method, and computer program for managing security in a network function virtualization (NFV) based communication network
CN103763309B (zh) * 2013-12-31 2018-03-30 曙光云计算集团有限公司 基于虚拟网络的安全域控制方法和系统
US9400885B2 (en) * 2014-01-10 2016-07-26 Bitdefender IPR Management Ltd. Computer security systems and methods using virtualization exceptions
US9473567B2 (en) * 2014-08-20 2016-10-18 At&T Intellectual Property I, L.P. Virtual zones for open systems interconnection layer 4 through layer 7 services in a cloud computing system
US9367343B2 (en) * 2014-08-29 2016-06-14 Red Hat Israel, Ltd. Dynamic batch management of shared buffers for virtual machines
US9705849B2 (en) * 2014-09-30 2017-07-11 Intel Corporation Technologies for distributed detection of security anomalies
US9560078B2 (en) * 2015-02-04 2017-01-31 Intel Corporation Technologies for scalable security architecture of virtualized networks
JP6449487B2 (ja) * 2015-04-30 2019-01-09 ホアウェイ・テクノロジーズ・カンパニー・リミテッド ソフトウェアセキュリティ検証方法、デバイス、およびシステム
US9578008B2 (en) * 2015-05-11 2017-02-21 Intel Corporation Technologies for secure bootstrapping of virtual network functions
US9742790B2 (en) * 2015-06-16 2017-08-22 Intel Corporation Technologies for secure personalization of a security monitoring virtual network function
US9825982B1 (en) * 2016-04-29 2017-11-21 Ciena Corporation System and method for monitoring network vulnerabilities
US20180341494A1 (en) * 2017-05-26 2018-11-29 Intel Corporation Accelerating network security monitoring

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140137188A1 (en) * 2012-11-14 2014-05-15 Domanicom Corporation Devices, systems, and methods for simultaneously delivering personalized/ targeted services and advertisements to end users

Also Published As

Publication number Publication date
WO2016053514A1 (en) 2016-04-07
TW201824837A (zh) 2018-07-01
TW201626773A (zh) 2016-07-16
EP3745653B1 (en) 2023-09-06
EP3202096B1 (en) 2022-05-11
US20170111382A1 (en) 2017-04-20
US10469451B2 (en) 2019-11-05
EP3202096A4 (en) 2018-06-06
CN106716952A (zh) 2017-05-24
KR20170038190A (ko) 2017-04-06
JP2017534106A (ja) 2017-11-16
EP4246896A3 (en) 2023-12-20
CN106716952B (zh) 2020-11-10
EP4246896A2 (en) 2023-09-20
JP6359766B2 (ja) 2018-07-18
EP3202096A1 (en) 2017-08-09
TWI606711B (zh) 2017-11-21
US20160094573A1 (en) 2016-03-31
TWI712291B (zh) 2020-12-01
EP3745653C0 (en) 2023-09-06
EP3745653A1 (en) 2020-12-02
US9705849B2 (en) 2017-07-11

Similar Documents

Publication Publication Date Title
KR101992547B1 (ko) 보안 이상의 분산형 검출을 위한 기술
USRE48411E1 (en) Technologies for secure inter-virtual network function communication
US11533341B2 (en) Technologies for scalable security architecture of virtualized networks
US10721258B2 (en) Technologies for secure personalization of a security monitoring virtual network function

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant