TW201824837A - 用於安全異常的分散式偵測之技術(二) - Google Patents
用於安全異常的分散式偵測之技術(二) Download PDFInfo
- Publication number
- TW201824837A TW201824837A TW106131452A TW106131452A TW201824837A TW 201824837 A TW201824837 A TW 201824837A TW 106131452 A TW106131452 A TW 106131452A TW 106131452 A TW106131452 A TW 106131452A TW 201824837 A TW201824837 A TW 201824837A
- Authority
- TW
- Taiwan
- Prior art keywords
- virtual network
- computing device
- packets
- server
- network function
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
Abstract
用於安全異常的分散式偵測之技術包括建立與安全伺服器之可信賴關係的計算裝置。計算裝置響應於建立可信賴關係來讀取虛擬網路功能之間網路或虛擬網路功能組件之間網路中之至少一者之一或多個封包並且執行一或多個封包之安全威脅評估。計算裝置將安全威脅評估傳輸至安全伺服器。
Description
本發明係有關於用於安全異常的分散式偵測之技術。
各種技術規範定義了在世界範圍內的網路操作員及服務提供者部署並管理網路功能及服務之方法。舉例而言,規範定義使用虛擬化平臺來提供服務,並且通常服務內之組件可「鏈接」在一起。此等技術規範包括例如歐洲電信標準學會之網路功能虛擬化(ETSI NFV)標準。當網路操作員在如當前由ETSI NFV定義之虛擬網路功能模型上操作網路功能及服務時,傳統上可為實體網路連結系統利用之明確定義之介面不再可用於中間流封包分析。因此,系統的確保威脅得到偵測並且作出反應(例如,防止訂戶在為具有較高特權等級之訂戶保留的網路功能上存取服務)之能力可受到顯著抑制。
依據本發明之一實施例,係特地提出一種計算裝置,其包括:一或多個處理器;一或多個記憶體裝置,其 具有複數個指令儲存於其中,當被該一或多個處理器執行時,可致使該計算裝置進行:於該計算裝置上建立一虛擬網路功能以實行一相關聯網路功能;讀取由該虛擬網路功能通訊之一或多個封包;對該一或多個封包上實行一安全威脅評估;以及傳輸該安全威脅評估至一安全電腦裝置。
100‧‧‧系統
102‧‧‧骨幹網路系統
104‧‧‧後繼網路系統
106‧‧‧塔系統
108‧‧‧訂戶裝置
202‧‧‧虛擬網路功能
204‧‧‧伺服器
206‧‧‧安全伺服器
208‧‧‧補救伺服器
210‧‧‧協調器
212‧‧‧虛擬網路功能組件
214‧‧‧超管理器
218、230‧‧‧加密隧道
220‧‧‧引擎
222‧‧‧網路介面
224‧‧‧可信執行環境
226‧‧‧API
228‧‧‧虛擬交換器
232‧‧‧共享記憶體
234‧‧‧雲計算環境
240‧‧‧VNF之間通訊網路
242‧‧‧VNFC之間通訊網路
310‧‧‧處理器
312‧‧‧輸入/輸出(「I/O」子系統)
314‧‧‧記憶體
316‧‧‧資料儲存器
318‧‧‧通訊電路
320‧‧‧周邊裝置
322‧‧‧安全共處理器
324‧‧‧快取記憶體
400‧‧‧環境
402‧‧‧安全模組
404‧‧‧可信賴執行環境模組
406‧‧‧通訊模組
408‧‧‧安全威脅資料庫
410‧‧‧策略
412‧‧‧試探碼
500‧‧‧方法
502-544‧‧‧區塊
700‧‧‧方法
702-724‧‧‧區塊
本文所描述之概念以實例之方式而非以限制之方式例示於附圖中。出於例示的簡單性及清晰性,諸圖中所例示的元件未必按比例繪製。此外,在認為適當的情況下,已在諸圖間重複參考標號來指示對應或類似元件。
圖1為安全異常的分散式偵測之系統之至少一個實施例之簡化方塊圖;圖2為圖1之系統之骨幹網路系統之至少一個實施例之簡化方塊圖;圖3為圖2之骨幹網路系統之伺服器之至少一個實施例之簡化方塊圖;圖4為圖3之伺服器之環境之至少一個實施例之簡化方塊圖;圖5-6為可由圖2之伺服器執行之安全異常的分散式偵測之方法之至少一個實施例之簡化流程圖;及圖7為可由圖2之安全伺服器執行之安全異常的分散式偵測之方法之至少一個實施例之簡化流程圖。
雖然本揭示內容之概念容許各種修改及替代形式,但本揭示內容之特定示範性實施例已在圖式中展示為實例且將在文中詳細描述。然而,應瞭解,不意欲將本揭示內容之概念限制至所揭示之特定形式,相反,意欲涵蓋與本揭示內容及附加申請專利範圍一致的所有修改、等效物及替代物。
說明書中所參考之「一個實施例」、「一實施例」、「示例性實施例」等指示所描述之實施例可能包括特定特徵、結構或特性,但每一實施例可不必包括該特定特徵、結構或特性。此外,該等詞語不必代表相同實施例。此外,當描述與實施例聯繫之特定特徵、結構或特性時,提出,無論是否明確描述與其他實施例聯繫的此特徵、結構或特性,實現與其他實施例聯繫的此特徵、結構或特性係在熟習此項技術者之知識內。另外,應瞭解包含於呈「至少一個A、B及C」形式之列表中之項目可意謂(A);(B);(C):(A及B);(B及C);(A及C);或(A,B,及C)。同樣地,呈「A、B或C中之至少一者」形式之列出之項目可意謂(A);(B);(C):(A及B);(B及C);(A及C);或(A,B,及C)。
本文所揭示的實施例在一些情況下可以硬體、韌體、軟體或其任何組合來實施。所公開實施例亦可實施為由一或多種暫時性或非暫時性機器可讀(例如,電腦可讀)儲存媒體攜帶或儲存之指令,該等儲存媒體可由一或多種處理器來讀取並執行。機器可讀儲存媒體可實施為用於儲 存或傳輸呈機器可讀之形式之資訊之任何儲存裝置、機構或其他實體結構(例如,易失性或非易失性記憶體、媒體碟片或其他媒體裝置)。
在圖式中,一些結構或方法特徵可以特定配置及/或順序來示出。然而,應瞭解此等特定配置及/或順序可並非必須的。實情為,在一些實施例中,此等特徵可以與示例性圖式中示出者相比不同之方式及/或順序來配置。另外,結構或方法特徵包含於特定圖式中不意欲暗示此特徵在所有實施例中為必須的,並且在一些實施例中,可不包括或可與其他特徵組合。
現在參看圖1,安全異常的分散式偵測之系統100示例性包括骨幹網路系統102、後繼網路系統104、一或多個塔系統106及一或多個訂戶裝置108。在此示例性實施例中,訂戶裝置108依靠塔系統106與後繼網路系統104通訊,並且後繼網路系統104確保合適資料封包依路由傳遞至骨幹網路系統102以便處理及/或進一步依路由傳遞。應瞭解骨幹網路系統102、後繼網路系統104、塔系統106及訂戶裝置108中之每一者可實施為用於執行本文所述功能之任何合適裝置或裝置之集合。在此示例性實施例中,骨幹網路系統102、後繼網路系統104及塔系統106中之每一者實現訂戶裝置108及/或其他裝置(例如,經由網際網路)之間之電信。此外,取決於特定實行方案,骨幹網路系統102、後繼網路系統104及塔系統106可包括許多裝置、網路、路由器、開關、電腦及/或其他介入裝置以促進其對應功能。
在一些實施例中,骨幹網路系統102可實施為具有虛擬演進封包核心(vEPC)架構之基於網路功能虛擬化(NFV)之長期演進(LTE)骨幹網路。應瞭解骨幹網路系統102可充當集中式網路並且在一些實施例中,可以可通訊地耦合至另一個網路(例如,網際網路)。在此示例性實施例中,後繼網路系統104包括(例如,經由中間鏈路)將骨幹網路系統102可通訊地耦合至塔系統106、子網路及/或邊緣網路的一或多個裝置。在一些實施例中,後繼網路系統104可實施為LTE後繼網路系統並且可包括各種網路包括例如T1、IP、光學、ATM、租用及/或其他網路。
塔系統106包括被組配來允許通訊裝置例如行動計算裝置(例如,行動電話)及/或其他訂戶裝置108彼此及/或與其他遠程裝置通訊之硬體。在此過程中,塔系統106使得訂戶裝置108能夠與後繼網路系統104通訊。在一些實施例中,一個或多個塔系統106可包括或另外實施為演進節點(eNodeB),其被組配來直接或間接地與一個或多個訂戶裝置108(例如,行動計算裝置手機)通訊。此外,取決於特定實施例,塔系統106可包括或充當例如基地收發站(BTS)或另一種站/系統。訂戶裝置108可實施為能夠執行本文所述功能之任何類型計算裝置。舉例而言,在利用LTE後繼及骨架系統之實施例中,訂戶裝置108可實施為行動計算裝置(例如,智能手機)並且可被組配來利用蜂巢式網路。
如以下詳細描述,系統100可利用各種虛擬網路功能,同時確保威脅得以偵測並加以操作(例如,經由中間 流封包分析)。另外,系統100可使用可信執行環境(TEE)對虛擬平臺提供增強及細分安全檢查能力。如下所述,在此示例性實施例中,TEE確立為安全獨立領地如Intel®軟體防護擴展(SGX)。然而,在其他實施例中,TEE可另外確立或實施為例如管理引擎(Me)、可信賴平臺模組(TPM)、創新引擎(IE)、安全分區、單獨處理器核心且/或另外確立。
應瞭解在網路功能虛擬化(NVF)環境中,非虛擬化環境之傳統明確定義介面總體上無法利用並且NFV系統可包括多個虛擬網路功能(VNF),其中之每一者可包括一或多個虛擬網路功能組件(VNFC)。VNF及/或VNFC可使用各種不同機制彼此通訊,該等機制包括例如共享記憶體、OS或超管理器特定應用程式設計介面(API),該等介面為封閉的網路虛擬交換器測試存取點(TAP),及/或其他機制。此外,在一些實施例中,VNF內及/或VNF內訊務可使用例如網際網路協定安全(IPsec)或安全插座層(SSL)來加密。因此,應瞭解,傳統機制可能無法提供傳統網路檢查系統在虛擬化環境中之所有訊務之清晰能見度的情況下有效運作的一致方法。
然而,在此示例性實施例中,系統100被組配來使用TEE(例如,結合微碼(ucode)、硬體指令及/或其他機制)之能力在虛擬化系統中檢查封包及/或流量。舉例而言,如下所述,系統100之每個伺服器或平臺可包括承擔平臺安全策略檢查器之作用之平臺特定TEE。具體而言,平臺特定TEE可檢查來自網路MAC/乙太網路及/或其他網路/通訊介 面(例如,經由IP之間之側通道機制)之所有封包(即,傳入及/或傳出)。另外,平臺特定TEE可基於超管理器(例如,虛擬機監測器)特權及使用定義API(例如,HECI介面)與TEE之通訊來檢查共享記憶體及/或專屬API。平臺特定TEE可另外或替代地基於對於帶正負號及抗轉返受保護微碼(ucode)修補來調用之較高特權來檢查局部及共享處理機(例如,CPU)及SoC快取記憶體。在一些實施例中,平臺特定TEE使用基於TEE的VNFC之間隧道鍵來監測受保護VNFC之間及VNF之間訊務。另外或替代地,平臺特定TEE可使用超管理器存取各種虛擬交換器介面以及TAP來存取訊務資料。
應瞭解,在一些實施例中,TEE可收集來自平臺上之多個來源之資訊並且可與傳統系統相比以更詳細方式進行此舉。舉例而言,TEE可藉由策略來組配以監測全部或選定封包、網路流,追蹤封包修改,且/或執行其他監測功能。TEE可對於所收集的資料執行進階試探並且取決於特定策略,保留威脅資訊。此外,TEE可基於策略及/或所接收補救指令(例如,阻斷某些流量、複製封包等)來採取一或多個補救操作。在一些實施例中,TEE可向指定TEE(例如,在NFV分散式威脅偵測安全系統上)傳送異常及/或威脅試探,該指定TEE可執行全系統安全威脅試探/分析。應瞭解,在一些實施例中,TEE在以下意義上為「指定的」:分散式威脅偵測系統被設計成使得其他TEE將安全資訊傳輸至指定TEE以便進一步(例如,更高等級)分析。如下所述,在一些實施例中,指定TEE可包括於安全伺服器及/或分散 式威脅偵測安全系統中。此外,在一些實施例中,可指定多個TEE來執行全系統或全子系統安全威脅分析,並且TEE可分級配置。舉例而言,在一實施例中,第一指定TEE可基於自第一子系統中之伺服器之對應TEE接收之資訊來執行第一子系統之安全威脅分析,並且第二指定TEE可基於自第二子系統中之伺服器之對應TEE接收之資訊來執行第二子系統之安全威脅分析,諸如此類。彼等子系統TEE(例如,第一及第二指定TEE)中之每一者可將其分析及/或額外資訊提供至「較高」層次等級之另一個指定TEE以基於自較低等級指定TEE接收之資訊來執行完整全系統(或較大全子系統)安全威脅分析。當然,指定TEE及/或層次等級之數目可取決於特定實施例來變化。
應瞭解TEE之層次能力可允許實行局部補救操作並且同時對於橫跨多個平臺上之VNF及VNFC之流量,實現全系統威脅偵測及補救。在一些實施例中,TEE可受保護,包括所有代碼及資料,並且僅在簽名驗證及量測(例如,使用TPM或虛擬TPM)後加載。此外,TEE可具有運行藉由根鍵授權以啟用TPV及/或其他供應商之簽名驗證第三方驗證(TPV)碼之能力。應瞭解本文所述通訊之介面可包括,例如,SoC或處理器內之IP之間通訊(IPC)、裝置驅動器模型(例如,HECI介面)、虛擬LAN連接、用於組件之間之互動之現有協定(例如,PECI、SMBUS等)。在其他實施例中,組件可在例如TLS保護之基於HTTPS網路之REST API上通訊。應進一步瞭解,在一些實施例中,系統100可 以平臺、超管理器及雲OS中性方式實施。
現在參看圖2,在此示例性實施例中,骨幹網路系統102包括一或多個VNF 202、一或多個伺服器204及安全伺服器206。另外,在一些實施例中,骨幹網路系統102包括補救伺服器208及/或協調器210。雖然僅一個安全伺服器206、一個補救伺服器208及一個協調器210示例性地在圖2中示出,但是在其他實施例中,骨幹網路系統102可包括許多安全伺服器206、補救伺服器208及/或協調器210。舉例而言,可包括多個安全伺服器206,其中之每一者可包括如本文描述用於層次及分散式威脅偵測之指定TEE。應瞭解,在一些實施例中,伺服器204及安全伺服器206中之每一者可包括類似硬體、軟體及/或韌體組件。此外,在一些實施例中,安全伺服器206可實施為伺服器204之一者,除了安全伺服器206包括如本文描述之指定TEE以外。
現在參看圖3,示出系統102之伺服器204、206之示例性實施例。如示出,示例性伺服器204、206包括處理器310、輸入/輸出(「I/O」子系統)312、記憶體314、資料儲存器316、通訊電路318及一或多個周邊裝置320。另外,在一些實施例中,伺服器204、206可包括安全共處理器322。當然,在其他實施例中,伺服器204、206可包括其他或額外組件,如通常在典型計算裝置(例如,各種輸入/輸出裝置及/或其他組件)中發現之彼等。另外,在一些實施例中,示例性組件中之一或多者可併入或另外形成另一個組件之一部分。舉例而言,在一些實施例中,記憶體314或 其一部分可併入處理器310中。
處理器310可實施為能夠執行本文所述功能之任何類型之處理器。舉例而言,處理器310可實施為單一或多核心處理器、數位信號處理器、微控制器或其他處理器或處理/控制電路。如示出,處理器310可包括一或多個快取記憶體324。應瞭解記憶體314可實施為能夠執行本文所述功能之任何類型之易失性或非易失性記憶體或資料儲存器。在操作中,記憶體314可儲存在操作伺服器204、206期間所使用之各種資料及軟體如操作系統、應用、程式、程式館及驅動器。記憶體314經由I/O子系統312來可通訊地耦合至處理器310,該I/O子系統可實施為電路及/或組件以促進藉由處理器310、記憶體314及伺服器204、206之其他組件來實行之輸入/輸出操作。舉例而言,I/O子系統312可實施為或另外包括記憶體控制器集線器、輸入/輸出控制集線器、韌體裝置、通訊鏈路(即點對點鏈路、匯流排鏈路、導線、電纜、光導向器、印刷電路板跡線等)及/或促進輸入/輸出操作之其他組件及子系統。在一些實施例中,I/O子系統312可形成系統單晶片(SoC)之一部分並且與處理器310、記憶體314及伺服器204、206之其他組件一起併入單一積體電路晶片上。
資料儲存體316可實施為組配用於短期或長期資料儲存的任何類型之裝置,諸如,記憶裝置及電路、記憶卡、硬碟片驅動器、固態驅動器或其他資料儲存裝置。資料儲存器316及/或記憶體314可在適用於執行本文所述功 能之伺服器204、206操作期間儲存各種資料。
通訊電路318可實施為能夠經由網路實現伺服器204、206與其他遠程裝置之間之通訊的任何通訊電路、裝置或其集合。通訊電路318可被組配來使用任何一或多種通訊技術(例如,無線或有線通訊)及相關協定(例如,乙太網路、藍牙®、Wi-Fi®、WiMAX等)以實現此通訊。在一些實施例中,通訊電路318包括蜂巢式通訊電路及/或其他遠程無線通訊電路。
周邊裝置320可包括許多額外周邊或介面裝置,如揚聲器、麥克風、輔助儲存裝置等等。包括於周邊裝置320中之特定裝置可取決於例如伺服器204、206之類型及/或預定用途。
安全共處理器322,若包括在內,可實施為能夠執行安全功能、加密功能及/或建立可信執行環境之任何硬體組件或電路。舉例而言,在一些實施例中,安全共處理器322可實施為可信賴平臺模組(TPM)或帶外處理器。另外,在一些實施例中,安全共處理器322可與遠程裝置(例如,其他伺服器204、206之對應安全共處理器322)建立帶外通訊鏈路。
再次參看圖2,如示出,骨幹網路系統102包括一或多個虛擬網路功能(VNF)202,其中之每一者可包括一或多個虛擬網路功能組件(VNFC)212。應瞭解VNF 202可實施為任何合適虛擬網路功能;類似地,VNFC 212可實施為任何合適VNF組件。舉例而言,在一些實施例中,VNF 202 可包括安全閘道(SGW)、封包資料網絡閘道(PNG)、帳單功能及/或其他虛擬網路功能。在一些實施例中,特定VNF 202可具有多個子實例,其可在相同伺服器204、206或不同伺服器204、206上執行。換言之,在虛擬化時,傳統上藉由與特定伺服器204、206共定位之物理硬體來操作之網路功能可作為VNF 202分散於伺服器204、206中之一或多者上。在此示例性實施例中,VNFC 212為協作以提供一或多個VNF 202之功能的過程及/或實例。舉例而言,在一些實施例中,VNFC 212為VNF 202之亞模組。類似於VNF 202,應瞭解VNFC 212可分散於一或多個伺服器204、206上。此外,應瞭解特定VNFC 212可分散於多個伺服器204、206上並且仍然形成在單一伺服器204、206上建立之VNF 202之一部分。
如本文描述,在此示例性實施例中,一或多個伺服器204、206之VNF 202可,例如,在VNF之間通訊網路240上經由一或多個VNF之間通訊機制來彼此通訊。同樣地,一或多個伺服器204、206之VNFC 212可,例如,在VNFC之間通訊網路242上經由一或多個VNFC之間通訊機制來彼此通訊。應瞭解VNF之間及VNFC之間通訊機制可實施為被組配來實現VNF之間及/或VNFC之間通訊之任何合適機制。舉例而言,在一些實施例中,VNF 202及/或VNFC 212可使用具有超管理器及封包分析、基於標準格式之格式化封包、共享記憶體(例如,藉由超管理器保留的實體/虛擬記憶體)之開放交換器,及/或其他合適機制來彼此通訊。在此 示例性實施例中,特定VNF 202或VNFC 212在其上執行之伺服器204、206之TEE被組配來讀取(直接或間接地)與特定VNF 202或VNFC 212相關之VNF之間及VNFC之間通訊。
應瞭解VNF 202可將封包處理成服務鏈。然而,在操作期間,一或多個執行時間威脅可注入系統中,其可避開一組封包或流量以避免根據特定策略需要藉由整個服務鏈來處理。因此,伺服器204、206之TEE可用於識別此等異常及異常VNF執行時間行為,包括,例如,惡意TCP連線請求洪水、封包丟棄、流量斷開、違反應用層次策略及其他潛在安全威脅。因此,TEE可承擔作為伺服器之安全策略檢查器的作用。
在圖2之此示例性實施例中,伺服器204中之每一者包括超管理器214、記憶體314、快取記憶體324、一或多個引擎220、一或多個網路介面222及可信執行環境224。另外,超管理器214包括一或多個API 226、虛擬交換器(vSwitch)228、一或多個加密隧道230及共享記憶體232。當然,在一些實施例中,伺服器204可包括額外組件,其為了描述清晰而予以省去。
超管理器214或虛擬機監測器在對應伺服器204上操作一或多個虛擬機(VM)。因此,超管理器214可建立及/或利用各種虛擬化硬體資源(例如,虛擬記憶體、虛擬操作系統、虛擬網路連結組件等)。包括於超管理器214及/或伺服器204中之特定API 226總體上可取決於特定伺服器204而變化。在一些實施例中,API 226包括一或多個專屬API。 在一些實施例中,API 226可提供封包(例如,與特定VNF 202相關)存取以使得其可藉由TEE 224分析。虛擬交換器228可用於實施網路策略及/或實施操作(例如,丟棄封包、監測流量、執行深度檢查、執行補救操作等)。舉例而言,虛擬交換器216可允許系統102中之虛擬機(VM)之網路連結。如下所述,在一些實施例中,伺服器204可建立安全通訊(例如,與安全伺服器206、VNF 202之間、及/或VNFC 212之間之通訊)的加密隧道218。在一些實施例中,加密隧道218可藉由伺服器204之TEE 224讀取(例如,呈加密形式或由於存取對應加密鍵而呈未加密形式)。另外,在一些實施例中,一或多個VM、VNF 202及/或VNFC 212可利用共享記憶體232。舉例而言,在一些實施例中,VNF 202及VNFC 212可利用共享記憶體232來彼此通訊。應瞭解取決於特定實施例,共享記憶體232可包括實體記憶體及/或虛擬記憶體。在此示例性實施例中,特定伺服器204之TEE 224可存取此伺服器204之API 226、虛擬交換器228、加密隧道230及共享記憶體232中之每一者以針對一或多個封包/流量之安全威脅分析來檢索資料。另外,TEE 224可針對此分析來存取VNF之間及VNFC之間通訊。
如上所述,伺服器204包括記憶體314、快取記憶體324、引擎220、網路介面222及TEE 224。應瞭解記憶體314可實施為能夠執行本文所述功能之任何類型之易失性或非易失性記憶體或資料儲存器。此外,在一些實施例中,記憶體314可包括軟體定義儲存器。一或多個引擎220可實 施為產生適用於TEE 224及/或安全伺服器206準備安全評估之資料的任何硬體、韌體及/或軟體組件。舉例而言,引擎220可包括SoC、圖形引擎、安全引擎、音訊引擎、加密模組、TPM、共處理器、通訊鏈路或通道、交換器,及/或被組配來處理或另外操縱資料之另一種引擎。網路介面222可實施為與資料封包之網路連結過程相關的任何介面。舉例而言,在一些實施例中,網路介面222包括網路MAC/乙太網路介面、軟體定義網路連結模組及/或另一個網路介面。
如上所述,在此示例性實施例中,TEE 224確立為安全獨立領地如Intel®軟體防護擴展(SGX)。然而,在其他實施例中,TEE 244可另外確立為例如管理引擎(Me)、可信賴平臺模組(TPM)、創新引擎(IE)、安全分區、單獨處理器核心且/或另外確立。舉例而言,在一些實施例中,TEE 224可實施為安全共處理器322或由於安全共處理器322而得以建立。如本文論述,TEE 224被組配來檢索來自伺服器204之各種組件之資料,其可用於執行安全分析。在一些實施例中,TEE 224可基於檢索資料來執行局部安全分析。此外,在此示例性實施例中,TEE 224將安全威脅評估資料(即,所收集的資料及/或分析結果)傳輸至安全伺服器206之對應TEE 224(即,指定TEE 224)。應瞭解,在此示例性實施例中,TEE 224可經由帶外通訊網路來彼此通訊。
如本文論述,安全伺服器206之指定TEE 224執行全系統(或較大全子系統)安全評估。在一些實施例中,安全 伺服器206可與補救伺服器208通訊以請求與安全評估相關之補救指令(即,待由伺服器204執行之合適操作)。如圖2中示出,補救伺服器208可包括於雲計算環境234內,在此情況下補救伺服器208可協調器210協商來判定合適補救操作/指令。補救伺服器208及協調器210可實施為能夠執行本文所述功能之任何伺服器或計算裝置。此外,補救伺服器208及協調器210可包括與如上所述伺服器204、206之組件及/或為了描述清晰未在圖2中示出的通常存在於伺服器中之組件如處理器、記憶體、I/O子系統、資料儲存器、周邊裝置等等類似的組件。
現在參看圖4,在使用中,伺服器204、206中之一或多者建立安全異常的分散式偵測之環境400。伺服器204、206之示例性環境400包括安全模組402、可信賴執行環境模組404、通訊模組406、安全威脅資料庫408、一或多個策略410(例如安全及/或組配策略),及試探碼412。環境400之模組中之每一者可實施為硬體、軟體、韌體或其組合。另外,在一些實施例中,示例性模組中之一或多者可形成另一個模組之一部分且/或示例性模組中之一或多者可實施為獨立或單獨模組。舉例而言,環境400之模組、邏輯及其他組件中之每一者可形成伺服器204、206之處理器310之一部分,或另外確立。
安全模組402被組配來執行伺服器206之各種安全功能。舉例而言,安全模組402可處理加密鍵、簽名、雜湊之產生及驗證,且/或執行其他加密功能。
可信賴執行環境模組404建立伺服器204、206內之可信執行環境(例如,TEE 224)或其他安全環境。如上所述,TEE 224可與另一個伺服器204、206之對應TEE 224建立可信賴關係。舉例而言,在此過程中,TEE 224可執行加密鍵交換。在一些實施例中,TEE 224可經由既定加密及/或另外安全隧道來彼此通訊。如上所述,在一些實施例中,TEE 224可經由帶外通訊通道(即,與對應伺服器204、206之間之普通通訊通道分開之通訊通道)來彼此通訊。舉例而言,伺服器204之一者之TEE 224可與安全伺服器206之TEE 224建立可信賴關係。此外,如上所述,TEE 224可讀取VNFC-VNFC及VNF-VNF網路之封包,檢索來自記憶體314、快取記憶體324、引擎220及/或網路介面222之資料。此外,在一些實施例中,TEE模組404讀取伺服器204、206之熔絲、記憶體314、資料儲存器316及/或其他硬體組件以判定伺服器204、206之特定策略410(例如,組配或安全策略)。另外,TEE模組404可基於檢索資訊來執行伺服器204、206之一或多個封包之安全評估以判定,例如,是否封包造成安全威脅。在此過程中,TEE模組404可檢索來自安全威脅資料庫408之資料或另外將檢索安全威脅評估資料與安全威脅資料庫408相關聯。應瞭解伺服器204之一者可執行局部安全威脅評估並且安全伺服器206可執行全系統(或較大全子系統)安全威脅評估。因此,彼等伺服器204、206之安全威脅資料庫408可包括對應資料。在一些實施例中,TEE模組404可在評估一或多個封包之安全中利用試探碼 412。在一些實施例中,試探碼412識別可疑指令於其中執行之參數及/或上下文(例如,在VM或安全容器中)。另外或替代地,試探碼412可識別惡意代碼簽名、白名單、黑名單且/或另外包括由TEE模組適用於評估一或多個封包/指令之安全之資料。
通訊模組406處理伺服器204、206與遠程裝置之間經由合適網路之通訊。舉例而言,如以上論述,伺服器204、206之TEE 224可在帶外通訊通道上或經由加密隧道彼此通訊。
現在參看圖5-6,在使用中,伺服器204可執行安全異常的分散式偵測之方法500。示例性方法500開始於區塊502,其中伺服器與安全伺服器206建立可信賴關係。如以上論述,在一些實施例中,安全伺服器206可實施為伺服器204之一者,其包括已經選定或「指定」來執行全系統或全子系統安全分析之TEE 224。在其他實施例中,安全伺服器206可實施為與伺服器204分開之伺服器。應瞭解,在建立可信賴關係中,伺服器204可在區塊504中與安全伺服器206交換加密鍵且/或可在區塊506中使用信賴基礎及/或熔絲密鑰。舉例而言,伺服器204及/或安全伺服器206可包括(例如,加密地)結合至伺服器204、206或,更具體而言,伺服器204、206之硬體組件(例如,安全共處理器322)之加密鍵或標識。
在區塊508中,伺服器204安全地啟動。在此過程中,在區塊510中,伺服器204檢索其組配策略(例如,自伺 服器204之安全非易失性記憶體)。在一些實施例中,組配策略可指示執行參數、上下文資訊,及/或與操作伺服器204相關之其他資訊。舉例而言,在一些實施例中,組配策略可用於通知TEE 224關於伺服器204之各種硬體、韌體及/或軟體組件。
在區塊512中,伺服器204與安全伺服器206建立可信賴隧道。在此過程中,在區塊514中,伺服器204可宣告其可用性。為了實現此舉,伺服器204可與安全伺服器206通訊以通知安全伺服器206伺服器204可操作。舉例而言,伺服器204可傳輸心跳信號至安全伺服器206。此外,在一些實施例中,伺服器204可定期或連續宣告其可用性。另外或替代地,在區塊516中,伺服器204可將其安全策略及/或試探碼(例如,用於應用試探安全演算法來分析封包資料)傳輸至安全伺服器206。在一些實施例中,伺服器204可傳輸整個安全策略,而在其他實施例中,安全伺服器206可保持不同伺服器204之安全策略,以使得伺服器204可僅為安全伺服器206提供安全策略之最近更新而非整個安全策略。此外,在一些實施例中,安全伺服器204可傳輸試探碼至伺服器204用於評估安全。
在區塊518中,伺服器204判定伺服器204之執行時間情形(例如,上下文及/或狀態資訊)。在此過程中,在區塊420中,伺服器204可判定伺服器204之一或多個VNF 202之執行時間情形。舉例而言,伺服器204可判定伺服器204的隨著VNF 202、VNFC 212及/或VM而變化之當前上下 文。在區塊422中,伺服器204經由超管理器214來讀取VNFC-VNFC及/或VNF-VNF網路之一或多個封包。具體而言,伺服器204可經由虛擬交換器228及/或網路介面222來讀取VNFC-VNFC及/或VNF-VNF網路之一或多個封包。在區塊524中,伺服器204自伺服器204之記憶體314、232及/或快取記憶體324讀取與VNFC及/或VNF過程執行狀態相關之一或多個封包。在圖6之區塊526中,伺服器204經由伺服器204之微碼(ucode)及/或BIOS來致能伺服器存取。在此過程中,在區塊528中,伺服器204可讀取伺服器204之熔絲及/或狀態以判定伺服器204之策略(例如,安全策略)。
在區塊530中,伺服器204可執行伺服器204之局部威脅評估。應瞭解伺服器204可利用策略、試探碼、執行時間情形、封包,及/或由伺服器204檢索或另外可存取之其他資訊。在一些實施例中,伺服器204執行一或多個試探演算法以進行安全威脅評估。在區塊534中,伺服器204向安全伺服器206報告安全威脅評估資料。在此過程中,伺服器204可傳輸由伺服器204收集之原始資料、局部安全評估資料,及/或由伺服器204產生之中間資料。
取決於特定實施例,在區塊536中,伺服器204可自安全伺服器206或補救伺服器208接收網路流量/封包之補救操作指令。舉例而言,如本文論述,安全伺服器206可執行全系統威脅分析及/或來自補救伺服器208之請求協助以判定是否任何特定補救操作應由伺服器204執行。否則,在一些實施例中,伺服器204可不接收來自安全伺服器 206之響應。當然,在一些實施例中,伺服器204可獨立地判定是否執行安全補救操作。在區塊538中,伺服器204實施網路策略及/或任何補救操作。在一些實施例中,伺服器204可依靠虛擬交換器228及/或網路介面222來實現此舉。特定補救操作可取決於特定安全威脅及/或特定實施例而變化。舉例而言,在區塊540中,伺服器204可基於補救指令來丟棄一或多個網路封包。在區塊542中,伺服器204可監測一或多個網路流。舉例而言,在一些實施例中,安全伺服器206或補救伺服器208可指示伺服器204監測基於威脅分析可造成安全風險之特定種類之網路流。此外,在區塊544中,伺服器204可基於補救指令來執行一或多個網路封包之深度封包檢查。當然,伺服器204可取決於特定實施例來執行多種其他補救操作。
現在參看圖7,在使用中,安全伺服器206可執行安全異常的分散式偵測之方法700。示例性方法700開始於圖7之區塊702,其中安全伺服器206與伺服器204之一者建立可信賴關係。如上所述,在此過程中,在區塊704中,安全伺服器206可與伺服器204執行加密鍵交換且/或在區塊706中利用信賴基礎及/或熔絲密鑰。舉例而言,在確立雙側信賴之實施例中,伺服器204及安全伺服器206均包括信賴基礎(例如,加密地結合鍵或識別符)。在區塊710中,如上所述,安全伺服器206與伺服器204建立可信賴隧道。在此過程中,在區塊710中,安全伺服器206可接收來自伺服器204之安全策略更新及/或試探法碼。另外或替代地,安 全伺服器204可將試探碼傳輸至伺服器204(例如,用於評估安全)。此外,在區塊712中,安全伺服器206基於所接收資訊來接收來自伺服器204之安全威脅評估資料。如以上論述,伺服器204可將由伺服器204收集之原始資料、局部安全評估資料,及/或由伺服器204產生之中間資料傳輸至安全伺服器206以使得安全伺服器206能夠執行全系統或全子系統安全評估。
在區塊714中,安全伺服器206將安全威脅評估資料與安全威脅資料庫408相關聯以判定是否所分析封包對於伺服器204造成安全威脅。在一些實施例中,安全伺服器206可基於情形、安全及組配策略、上下文、試探碼,及/或關於伺服器204之操作之其他資訊來模擬封包(例如,在VM中)之執行。另外或替代地,安全伺服器206可將封包與各種惡意軟體(例如,病毒)特徵、白名單、黑名單及/或其他資料比較以判定是否封包安全。
在區塊716中,安全伺服器206判定是否安全威脅已經得到識別。若如此,在區塊718中,安全伺服器206判定補救操作。為了實現此舉,在區塊720中,安全伺服器206可請求來自補救伺服器208之補救判定。在此等實施例中,補救伺服器208可執行全系統(例如,基於雲)安全評估及/或另外判定待由伺服器204執行之補救操作以補救或最小化與安全威脅相關之破壞。如以上論述,在一些實施例中,補救伺服器208可與雲計算環境234中之協調器210協作以進行此判定。若諮詢補救伺服器208,則在區塊722中,安 全伺服器206可接收來自補救伺服器208之對應補救指令。在其他實施例中,補救伺服器208可將指令直接傳輸至伺服器204。當然,在一些實施例中,安全伺服器206可獨立地執行補救分析。在區塊724中,安全伺服器206可將補救指令傳輸至伺服器204。
實例
本文公開技術之示例性實例提供如下。技術之實施例可包括以下描述實例中之任何一個或多個,及任何組合。
實例1包括安全異常的分散式偵測之計算裝置,該計算裝置包括用於執行以下操作之可信賴執行環境模組:(i)與安全伺服器建立可信賴關係,(ii)響應於可信賴關係之建立來讀取虛擬網路功能之間網路或虛擬網路功能組件之間網路中之至少一者之一或多個封包,及(iii)執行一或多個封包之安全威脅評估;及向安全伺服器傳輸安全威脅評估之通訊模組。
實例2包括實例1之標的,並且其中建立可信賴關係包括與安全伺服器之對應可信賴執行環境模組建立可信賴關係。
實例3包括實例1及2中之任一者之標的,其中傳輸安全威脅評估包括經由在計算裝置之可信賴執行環境模組與安全伺服器之對應可信賴執行環境模組之間建立的帶外通訊通道,將安全威脅評估傳輸至安全伺服器之對應可信賴執行環境模組。
實例4包括實例1-3中之任一者之標的,其中建立可信賴關係包括與安全伺服器交換加密鍵。
實例5包括實例1-4中之任一者之標的,其中建立可信賴關係包括利用計算裝置之信賴基礎或熔絲密鑰中之至少一者。
實例6包括實例1-5中之任一者之標的,其中可信賴執行環境模組進一步基於可信賴關係來建立與安全伺服器之可信賴隧道。
實例7包括實例1-6中之任一者之標的,其中建立可信賴隧道進一步包括將計算裝置之安全策略傳輸至安全伺服器。
實例8包括實例1-7中之任一者之標的,其中建立可信賴隧道進一步包括將計算裝置之試探碼傳輸至安全伺服器。
實例9包括實例1-8中之任一者之標的,其中建立可信賴隧道進一步包括接收來自安全伺服器之試探碼。
實例10包括實例1-9中之任一者之標的,其中可信賴執行環境模組進一步響應於可信賴關係之建立來啟動計算裝置。
實例11包括實例1-10中之任一者之標的,其中啟動計算裝置包括檢索計算裝置之組配策略。
實例12包括實例1-11中之任一者之標的,其中可信賴執行環境模組進一步判定計算裝置之執行時間情形;其中執行安全威脅評估包括基於執行時間情形來執行一或 多個封包之安全威脅評估。
實例13包括實例1-12中之任一者之標的,並且其中判定計算裝置之執行時間情形包括判定計算裝置之虛擬網路功能之執行時間情形。
實例14包括實例1-13中之任一者之標的,並且其中通訊模組進一步自安全伺服器接收一或多個封包之補救操作指令。
實例15包括實例1-14中之任一者之標的,並且其中可信賴執行環境模組進一步實施與補救操作指令對應之補救操作。
實例16包括藉由計算裝置之安全異常的分散式偵測之方法,該方法包括藉由計算裝置建立與安全伺服器之可信賴關係;藉由計算裝置響應於建立可信賴關係讀取虛擬網路功能之間網路或虛擬網路功能組件之間網路中之至少一者之一或多個封包;藉由計算裝置執行一或多個封包之安全威脅評估;並且藉由計算裝置將安全威脅評估傳輸至安全伺服器。
實例17包括實例16之標的,並且其中建立可信賴關係包括與安全伺服器之對應可信賴執行環境模組建立可信賴關係。
實例18包括實例16及17中之任一者之標的,其中傳輸安全威脅評估包括經由在計算裝置之可信賴執行環境模組與安全伺服器之對應可信賴執行環境模組之間建立的帶外通訊通道,將安全威脅評估傳輸至安全伺服器之對應 可信賴執行環境模組。
實例19包括實例16-18中之任一者之標的,其中建立可信賴關係包括與安全伺服器交換加密鍵。
實例20包括實例16-19中之任一者之標的,其中建立可信賴關係包括利用計算裝置之信賴基礎或熔絲密鑰中之至少一者。
實例21包括實例16-20中之任一者之標的,並且進一步包括藉由計算裝置基於可信賴關係來建立與安全伺服器之可信賴隧道。
實例22包括實例16-21中之任一者之標的,並且其中建立可信賴隧道包括將計算裝置之安全策略傳輸至安全伺服器。
實例23包括實例16-22中之任一者之標的,並且其中建立可信賴隧道包括將計算裝置之試探碼傳輸至安全伺服器。
實例24包括實例16-23中之任一者之標的,其中建立可信賴隧道包括接收來自安全伺服器之試探碼。
實例25包括實例16-24中之任一者之標的並且進一步包括響應於建立可信賴關係來啟動計算裝置。
實例26包括實例16-25中之任一者之標的,並且其中啟動計算裝置包括檢索計算裝置之組配策略。
實例27包括實例16-26中之任一者之標的,並且進一步包括藉由計算裝置判定計算裝置之執行時間情形;並且其中執行安全威脅評估包括基於執行時間情形來執行 一或多個封包之安全威脅評估。
實例28包括實例16-27中之任一者之標的,並且其中判定計算裝置之執行時間情形包括判定計算裝置之虛擬網路功能之執行時間情形。
實例29包括實例16-28中之任一者之標的,並且進一步包括藉由計算裝置自安全伺服器接收一或多個封包之補救操作指令。
實例30包括實例16-29中之任一者之標的,並且進一步包括藉由計算裝置實施與補救操作指令對應之補救操作。
實例31包括計算裝置,其包括處理器;及具有儲存在其中之複數個指令的記憶體,該等指令在由處理器執行時導致計算裝置執行實例16-30中之任一者之方法。
實例32包括一或多個機器可讀儲存媒體,其包括儲存在其上之複數個指令,該等指令響應於藉由計算裝置之執行而導致計算裝置執行實例16-30中之任一者之方法。
實例33包括安全異常的分散式偵測之計算裝置,該計算裝置包括用於與安全伺服器建立可信賴關係之構件;響應於可信賴關係之建立來讀取虛擬網路功能之間網路或虛擬網路功能組件之間網路中之至少一者之一或多個封包之構件;執行一或多個封包之安全威脅評估之構件;及向安全伺服器傳輸安全威脅評估之構件。
實例34包括實例33之標的,並且其中建立可信賴關係之構件包括與安全伺服器之對應可信賴執行環境模組 建立可信賴關係之構件。
實例35包括實例33及34中之任一者之標的,其中傳輸安全威脅評估之構件包括經由在計算裝置之可信賴執行環境模組與安全伺服器之對應可信賴執行環境模組之間建立的帶外通訊通道,將安全威脅評估傳輸至安全伺服器之對應可信賴執行環境模組之構件。
實例36包括實例33-35中之任一者之標的,其中建立可信賴關係之構件包括與安全伺服器交換加密鍵之構件。
實例37包括實例33-36中之任一者之標的,其中建立可信賴關係之構件包括利用計算裝置之信賴基礎或熔絲密鑰中之至少一者之構件。
實例38包括實例33-37中之任一者之標的,並且進一步包括基於可信賴關係來建立與安全伺服器之可信賴隧道之構件。
實例39包括實例33-38中之任一者之標的,並且其中建立可信賴隧道之構件包括將計算裝置之安全策略傳輸至安全伺服器之構件。
實例40包括實例33-39中之任一者之標的,並且其中建立可信賴隧道之構件包括將計算裝置之試探碼傳輸至安全伺服器之構件。
實例41包括實例33-40中之任一者之標的,其中建立可信賴隧道之構件包括接收來自安全伺服器之試探碼之構件。
實例42包括實例33-41中之任一者之標的並且進一步包括響應於建立可信賴關係來啟動計算裝置之構件。
實例43包括實例33-42中之任一者之標的,並且其中啟動計算裝置之構件包括檢索計算裝置之組配策略之構件。
實例44包括實例33-43中之任一者之標的,並且進一步包括判定計算裝置之執行時間情形之構件;並且其中執行安全威脅評估之構件包括基於執行時間情形來執行一或多個封包之安全威脅評估之構件。
實例45包括實例33-44中之任一者之標的,並且其中判定計算裝置之執行時間情形之構件包括判定計算裝置之虛擬網路功能之執行時間情形之構件。
實例46包括實例33-45中之任一者之標的,並且進一步包括自安全伺服器接收一或多個封包之補救操作指令之構件。
實例47包括實例33-46中之任一者之標的,並且進一步包括實施與補救操作指令對應之補救操作之構件。
實例48包括安全異常的分散式偵測之安全伺服器,該安全伺服器包括建立與計算裝置之可信賴關係的可信賴執行環境模組;及自計算裝置接收計算裝置之虛擬網路功能之間網路或虛擬網路功能組件之間網路中之至少一者之一或多個封包之安全威脅評估的通訊模組;其中可賴信執行環境模組進一步將安全威脅評估與安全伺服器之安全威脅資料庫相關聯以判定是否一或多個封包造成安全威 脅。
實例49包括實例48之標的,並且其中建立可信賴關係包括與計算裝置之對應可信賴執行環境模組建立可信賴關係。
實例50包括實例48及49中之任一者之標的,其中接收安全威脅評估包括經由在安全伺服器之可信賴執行環境模組與計算裝置之對應可信賴執行環境模組之間建立的帶外通訊通道,接收來自計算裝置之對應可信賴執行環境模組之安全威脅評估。
實例51包括實例48-50中之任一者之標的,其中建立可信賴關係包括與計算裝置交換加密鍵。
實例52包括實例48-51中之任一者之標的,並且其中可信賴執行環境模組進一步基於可信賴關係建立與計算裝置之可信賴隧道。
實例53包括實例48-52中之任一者之標的,並且其中建立可信賴隧道進一步包括自計算裝置接收計算裝置之安全策略。
實例54包括實例48-53中之任一者之標的,其中建立可信賴隧道進一步包括自計算裝置接收計算裝置之試探碼。
實例55包括實例48-54中之任一者之標的,其中建立可信賴隧道進一步包括將試探碼傳輸至計算裝置。
實例56包括實例48-55中之任一者之標的,並且其中可信賴執行環境模組進一步基於安全威脅評估與安 全威脅資料庫之相互關係、響應於安全威脅之識別來判定補救操作。
實例57包括實例48-56中之任一者之標的,並且其中判定補救操作包括請求來自補救伺服器之補救判定;並且接收來自補救伺服器之與補救判定相關之補救指令。
實例58包括實例48-57中之任一者之標的,並且其中通訊模組進一步將補救指令傳輸至計算裝置。
實例59包括藉由安全伺服器之安全異常的分散式偵測之方法,該方法包括藉由安全伺服器建立與計算裝置之可信賴關係;藉由安全伺服器並且自計算裝置接收計算裝置之虛擬網路功能之間網路或虛擬網路功能組件之間網路中之至少一者之一或多個封包之安全威脅評估;及藉由安全伺服器將安全威脅評估與安全伺服器之安全威脅資料庫相關聯以判定是否一或多個封包造成安全威脅。
實例60包括實例59之標的,並且其中建立可信賴關係包括與計算裝置之對應可信賴執行環境模組建立可信賴關係。
實例61包括實例59及60中之任一者之標的,其中接收安全威脅評估包括經由在安全伺服器之可信賴執行環境模組與計算裝置之對應可信賴執行環境模組之間建立的帶外通訊通道,接收來自計算裝置之對應可信賴執行環境模組之安全威脅評估。
實例62包括實例59-61中之任一者之標的,其 中建立可信賴關係包括與計算裝置交換加密鍵。
實例63包括實例59-62中之任一者之標的,並且進一步包括藉由安全伺服器基於可信賴關係建立與計算裝置之可信賴隧道。
實例64包括實例59-63中之任一者之標的,並且其中建立可信賴隧道進一步包括自計算裝置接收計算裝置之安全策略。
實例65包括實例59-64中之任一者之標的,其中建立可信賴隧道進一步包括自計算裝置接收計算裝置之試探碼。
實例66包括實例59-65中之任一者之標的,其中建立可信賴隧道進一步包括將試探碼傳輸至計算裝置。
實例67包括實例59-66中之任一者之標的,並且進一步包括藉由安全伺服器基於安全威脅評估與安全威脅資料庫之相互關係、響應於識別安全威脅來判定補救操作。
實例68包括實例59-67中之任一者之標的,並且其中判定補救操作包括請求來自補救伺服器之補救判定;並且接收來自補救伺服器之與補救判定相關之補救指令。
實例69包括實例59-68中之任一者之標的,並且進一步包括藉由安全伺服器將補救指令傳輸至計算裝置。
實例70包括安全伺服器,其包括處理器;及具 有儲存在其中之複數個指令的記憶體,該等指令在由處理器執行時導致安全伺服器執行實例59-69中之任一者之方法。
實例71包括一或多個機器可讀儲存媒體,其包括儲存在其上之複數個指令,該等指令響應於藉由安全伺服器之執行而導致安全伺服器執行實例59-69中之任一者之方法。
實例72包括用於安全異常的分散式偵測之安全伺服器,該安全伺服器包括建立與計算裝置之可信賴關係之構件;自計算裝置接收計算裝置之虛擬網路功能之間網路或虛擬網路功能組件之間網路中之至少一者之一或多個封包之安全威脅評估之構件;及將安全威脅評估與安全伺服器之安全威脅資料庫相關聯以判定是否一或多個封包造成安全威脅之構件。
實例73包括實例72之標的,並且其中建立可信賴關係之構件包括與計算裝置之對應可信賴執行環境模組建立可信賴關係之構件。
實例74包括實例72及73中之任一者之標的,其中接收安全威脅評估之構件包括經由在安全伺服器之可信賴執行環境模組與計算裝置之對應可信賴執行環境模組之間建立的帶外通訊通道,接收來自計算裝置之對應可信賴執行環境模組之安全威脅評估之構件。
實例75包括實例72-74中之任一者之標的,其中建立可信賴關係之構件包括與計算裝置交換加密鍵之構 件。
實例76包括實例72-75中之任一者之標的,並且進一步包括基於可信賴關係來建立與計算裝置之可信賴隧道之構件。
實例77包括實例72-76中之任一者之標的,其中建立可信賴隧道之構件進一步包括自計算裝置接收計算裝置之安全策略之構件。
實例78包括實例72-77中之任一者之標的,其中建立可信賴隧道之構件進一步包括自計算裝置接收計算裝置之試探碼之構件。
實例79包括實例72-78中之任一者之標的,其中建立可信賴隧道之構件進一步包括將試探碼傳輸至計算裝置之構件。
實例80包括實例72-79中之任一者之標的,並且進一步包括基於安全威脅評估與安全威脅資料庫之相互關係、響應於安全威脅之識別來判定補救操作。
實例81包括實例72-80中之任一者之標的,並且其中判定補救操作之構件包括請求來自補救伺服器之補救判定之構件;及接收來自補救伺服器之與補救判定相關之補救指令之構件。
實例82包括實例72-81中之任一者之標的,並且進一步包括將補救指令傳輸至計算裝置之構件。
Claims (26)
- 一種計算裝置,其包括:一或多個處理器;一或多個記憶體裝置,其具有複數個指令儲存於其中,當被該一或多個處理器執行時,可致使該計算裝置進行:於該計算裝置上建立一虛擬網路功能以實行一相關聯網路功能;讀取由該虛擬網路功能通訊之一或多個封包;對該一或多個封包上實行一安全威脅評估;以及傳輸該安全威脅評估至一安全電腦裝置。
- 如請求項1之計算裝置,其中該虛擬網路功能係用以與被建立在該計算裝置之另一虛擬網路功能通訊。
- 如請求項1之計算裝置,其中該虛擬網路功能係用以與被建立在一不同計算裝置上之另一虛擬網路功能通訊。
- 如請求項1之計算裝置,其中該虛擬網路功能包含互相通訊之複數個虛擬網路功能組件,並且其中,該等複數個指令,當被執行時,進一步致使該計算裝置讀取在虛擬網路功能組件之間通訊之一或多個封包; 其中,實行該安全威脅評估包含對在虛擬網路功能之間或在虛擬網路功能組件之間通訊之該一或多個封包實行該安全威脅評估。
- 如請求項4之計算裝置,其中該等複數個虛擬網路功能組件與該虛擬網路功能之至少一其他虛擬網路功能組件通訊,其中該至少一其他虛擬網路功能組件係位於一不同計算裝置。
- 如請求項1之計算裝置,其中讀取該一或多個封包包含接取與該虛擬網路功能相關聯之一虛擬測試接取埠。
- 如請求項1之計算裝置,其中當該等複數個指令被執行時,進一步致使該計算裝置回應於該安全威脅評估來對該一或多個封包實行一補救動作。
- 如請求項1之計算裝置,其中該等一或多個封包被加密。
- 一種方法,其包含:於一計算裝置上建立一虛擬網路功能以實行一相關聯網路功能;讀取藉由該虛擬網路功能通訊之一或多個封包;對該等一或多個封包實行一安全威脅評估;以及傳輸該安全威脅評估至一安全計算裝置。
- 如請求項9之方法,其中讀取該等一或多個封包包含讀取被建立在該計算裝置中之於該虛擬網路功能以及另一虛擬網路功能之間通訊之一或多個封包。
- 如請求項9之方法,其中讀取該等一或多個封包包含讀取被建立在一不同計算裝置中之於該虛擬網路功能以及另一虛擬網路功能之間通訊之一或多個封包。
- 如請求項9之方法,其中該虛擬網路功能包含互相通訊之複數個虛擬網路功能組件;並且進一步包含讀取於虛擬網路功能組件之間通訊之一或多個封包;其中,實行該安全威脅評估包含對在虛擬網路功能之間或是在虛擬網路功能組件之間通訊之該等一或多個封包實行該安全威脅評估。
- 如請求項12之方法,其中讀取於虛擬網路功能組件之間通訊之一或多個封包包含讀取在位於該計算裝置之一虛擬網路功能組件與位於一不同的計算裝置之至少一其他虛擬網路功能組件之間通訊之一或多個封包。
- 如請求項9之方法,其中讀取該等一或多個封包包含接取與該虛擬網路功能關聯之一虛擬測試接取埠。
- 如請求項9之方法,回應於該安全威脅評估而對該等一或多個封包實行一補救動作。
- 如請求項9之方法,其中該等一或多個封包被加密。
- 一種包含複數個指令儲存於其上之一個或多個機器可讀取儲存媒體,當該等複數個指令被執行時,致使一計算裝置進行:在該計算裝置上建立一虛擬網路功能以實行一相關聯網路功能; 讀取藉由該虛擬網路功能通訊之一或多個封包;對該等一或多個封包實行一安全威脅評估;並且傳輸該安全威脅評估至一安全計算裝置。
- 如請求項17之一或多個機器可讀取儲存媒體,其中該虛擬網路功能係用以與建立於該計算裝置上之另一虛擬網路功能通訊。
- 如請求項17之一或多個機器可讀取儲存媒體,其中該虛擬網路功能係用以與建立於一不同計算裝置上之另一虛擬網路功能通訊。
- 如請求項17之一或多個機器可讀取儲存媒體,其中該虛擬網路功能包含與彼此通訊之複數個虛擬網路功能組件,並且其中,該等複數個指令當被執行時,更進一步致使該計算裝置讀取在虛擬網路功能組件之間通訊之一或多個封包,其中,實行該安全威脅評估包含對在虛擬網路功能之間或是在虛擬網路功能組件之間通訊之該等一或多個封包實行該安全威脅評估。
- 如請求項20之一或多個機器可讀取儲存媒體,其中該等複數個虛擬網路功能組件與該虛擬網路功能之至少一其他虛擬網路功能組件通訊,其中該至少一其他虛擬網路功能組件係位於一不同計算裝置。
- 如請求項17之一或多個機器可讀取儲存媒體,其中讀取該等一或多個封包包含接取與該虛擬網路功能關聯之一虛擬測試接取埠。
- 如請求項17之一或多個機器可讀取儲存媒體,其中當該等複數個指令被執行時,進一步致使該計算裝置回應於該安全威脅評估而對該等一或多個封包實行一補救動作。
- 如請求項17之一或多個機器可讀取儲存媒體,其中該等一或多個封包被加密。
- 一種計算裝置,其包含:用以於一計算裝置上建立一虛擬網路功能以實行一相關聯網路功能之構件;用以讀取藉由該虛擬網路功能通訊之一或多個封包之構件;用以對該等一或多個封包實行一安全威脅評估之構件;以及用以傳輸該安全威脅評估至一安全計算裝置之一通訊電路。
- 如請求項25之計算裝置,其中該虛擬網路功能包含彼此通訊之複數個虛擬網路功能組件,以及進一步包含用以讀取在虛擬網路功能組件之間通訊之一或多個封包之構件, 其中,用以實行該安全威脅評估之該構件包含用以對在虛擬網路功能之間或是在虛擬網路功能組件之間通訊之該等一或多個封包實行該安全威脅評估之構件。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201462058096P | 2014-09-30 | 2014-09-30 | |
US62/058,096 | 2014-09-30 | ||
US14/513,140 US9705849B2 (en) | 2014-09-30 | 2014-10-13 | Technologies for distributed detection of security anomalies |
US14/513,140 | 2014-10-13 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201824837A true TW201824837A (zh) | 2018-07-01 |
TWI712291B TWI712291B (zh) | 2020-12-01 |
Family
ID=55585738
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW104128351A TWI606711B (zh) | 2014-09-30 | 2015-08-28 | 用於安全異常的分散式偵測之技術 |
TW106131452A TWI712291B (zh) | 2014-09-30 | 2015-08-28 | 用於安全異常的分散式偵測之技術(二) |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW104128351A TWI606711B (zh) | 2014-09-30 | 2015-08-28 | 用於安全異常的分散式偵測之技術 |
Country Status (7)
Country | Link |
---|---|
US (2) | US9705849B2 (zh) |
EP (3) | EP4246896A3 (zh) |
JP (1) | JP6359766B2 (zh) |
KR (1) | KR101992547B1 (zh) |
CN (1) | CN106716952B (zh) |
TW (2) | TWI606711B (zh) |
WO (1) | WO2016053514A1 (zh) |
Families Citing this family (44)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9578664B1 (en) | 2013-02-07 | 2017-02-21 | Sprint Communications Company L.P. | Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system |
US9705849B2 (en) * | 2014-09-30 | 2017-07-11 | Intel Corporation | Technologies for distributed detection of security anomalies |
US10303879B1 (en) * | 2014-11-06 | 2019-05-28 | Amazon Technologies, Inc. | Multi-tenant trusted platform modules |
US10496974B2 (en) * | 2015-03-25 | 2019-12-03 | Intel Corporation | Secure transactions with connected peripherals |
CN104899524B (zh) * | 2015-05-25 | 2018-11-27 | 上海兆芯集成电路有限公司 | 中央处理器和验证主机板数据的方法 |
US9686240B1 (en) | 2015-07-07 | 2017-06-20 | Sprint Communications Company L.P. | IPv6 to IPv4 data packet migration in a trusted security zone |
US9749294B1 (en) | 2015-09-08 | 2017-08-29 | Sprint Communications Company L.P. | System and method of establishing trusted operability between networks in a network functions virtualization environment |
US10628764B1 (en) * | 2015-09-15 | 2020-04-21 | Synack, Inc. | Method of automatically generating tasks using control computer |
US10542115B1 (en) | 2015-10-01 | 2020-01-21 | Sprint Communications Company L.P. | Securing communications in a network function virtualization (NFV) core network |
US9811686B1 (en) | 2015-10-09 | 2017-11-07 | Sprint Communications Company L.P. | Support systems interactions with virtual network functions in a trusted security zone |
US9781016B1 (en) | 2015-11-02 | 2017-10-03 | Sprint Communications Company L.P. | Dynamic addition of network function services |
US10135702B2 (en) | 2015-11-12 | 2018-11-20 | Keysight Technologies Singapore (Holdings) Pte. Ltd. | Methods, systems, and computer readable media for testing network function virtualization (NFV) |
US9967165B2 (en) * | 2015-12-07 | 2018-05-08 | Keysight Technologies Singapore (Holdings) Pte. Ltd. | Methods, systems, and computer readable media for packet monitoring in a virtual environment |
EP3282671B1 (en) * | 2016-07-29 | 2021-07-21 | Rohde & Schwarz GmbH & Co. KG | A method and apparatus for testing a security of communication of a device under test |
US20180088977A1 (en) * | 2016-09-28 | 2018-03-29 | Mark Gray | Techniques to determine and mitigate latency in virtual environments |
US10250498B1 (en) | 2016-10-03 | 2019-04-02 | Sprint Communications Company L.P. | Session aggregator brokering of data stream communication |
KR20180071679A (ko) * | 2016-12-20 | 2018-06-28 | 삼성전자주식회사 | 사용자 단말 장치 및 그의 제어 방법 |
US11658996B2 (en) * | 2016-12-30 | 2023-05-23 | British Telecommunications Public Limited Company | Historic data breach detection |
US11582248B2 (en) | 2016-12-30 | 2023-02-14 | British Telecommunications Public Limited Company | Data breach protection |
EP3563286A1 (en) * | 2016-12-30 | 2019-11-06 | British Telecommunications Public Limited Company | Attack signature generation |
US10691514B2 (en) * | 2017-05-08 | 2020-06-23 | Datapipe, Inc. | System and method for integration, testing, deployment, orchestration, and management of applications |
US10567359B2 (en) * | 2017-07-18 | 2020-02-18 | International Business Machines Corporation | Cluster of secure execution platforms |
US10348488B1 (en) | 2017-08-25 | 2019-07-09 | Sprint Communications Company L.P. | Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network |
US10944650B2 (en) * | 2018-03-29 | 2021-03-09 | Fortinet, Inc. | Programmable, policy-based efficient wireless sniffing networks in WIPS (wireless intrusion prevention systems) |
US11157952B2 (en) * | 2018-04-30 | 2021-10-26 | Affle (India) Limited | Method and system for creating decentralized repository of fraud IPs and publishers using blockchain |
EP3735765A4 (en) * | 2018-06-01 | 2021-01-13 | Huawei Technologies Co., Ltd. | CLUSTER WITH MULTI-SERVER ARCHITECTURE TO ENSURE VIRTUAL NETWORK FUNCTION |
US11398968B2 (en) | 2018-07-17 | 2022-07-26 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for testing virtualized network functions and related infrastructure |
US10826943B2 (en) * | 2018-08-21 | 2020-11-03 | At&T Intellectual Property I, L.P. | Security controller |
US11263318B2 (en) * | 2018-11-05 | 2022-03-01 | Red Hat, Inc. | Monitoring a process in a trusted execution environment to identify a resource starvation attack |
KR20210099564A (ko) * | 2018-12-31 | 2021-08-12 | 인텔 코포레이션 | 인공 지능을 이용한 보안 시스템 |
CN110034925B (zh) * | 2019-01-07 | 2022-03-01 | 创新先进技术有限公司 | 跨机房可信计算集群形成及通信方法和装置 |
US11023591B2 (en) * | 2019-01-14 | 2021-06-01 | Nxp B.V. | Data processing system having distributed security controller with local control and method for securing the data processing system |
US11297100B2 (en) | 2019-01-14 | 2022-04-05 | Red Hat, Inc. | Concealed monitor communications from a task in a trusted execution environment |
US11128670B2 (en) * | 2019-02-26 | 2021-09-21 | Oracle International Corporation | Methods, systems, and computer readable media for dynamically remediating a security system entity |
CN109922056B (zh) | 2019-02-26 | 2021-09-10 | 创新先进技术有限公司 | 数据安全处理方法及其终端、服务器 |
US11431732B2 (en) * | 2019-07-04 | 2022-08-30 | Check Point Software Technologies Ltd. | Methods and system for packet control and inspection in containers and meshed environments |
WO2021091273A1 (en) * | 2019-11-08 | 2021-05-14 | Samsung Electronics Co., Ltd. | Method and electronic device for determining security threat on radio access network |
US11323354B1 (en) | 2020-10-09 | 2022-05-03 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for network testing using switch emulation |
US11483227B2 (en) | 2020-10-13 | 2022-10-25 | Keysight Technologies, Inc. | Methods, systems and computer readable media for active queue management |
US11847205B1 (en) | 2020-10-26 | 2023-12-19 | T-Mobile Innovations Llc | Trusted 5G network function virtualization of virtual network function elements embedded on a system-on-chip |
EP4364359A1 (en) * | 2021-07-02 | 2024-05-08 | CommScope Technologies LLC | Systems and methods for secure virtualized base station orchestration |
US11949583B2 (en) * | 2022-04-28 | 2024-04-02 | Hewlett Packard Enterprise Development Lp | Enforcing reference operating state compliance for cloud computing-based compute appliances |
CN115134158B (zh) * | 2022-07-04 | 2023-05-23 | 海南大学 | 充电桩云平台的访问管理方法和装置 |
US11853254B1 (en) | 2022-10-07 | 2023-12-26 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for exposing data processing unit (DPU) traffic in a smartswitch |
Family Cites Families (40)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7096502B1 (en) * | 2000-02-08 | 2006-08-22 | Harris Corporation | System and method for assessing the security posture of a network |
CN1448017A (zh) * | 2000-07-05 | 2003-10-08 | 恩斯特&扬有限责任合伙公司 | 提供计算机服务的方法和设备 |
US20120023572A1 (en) * | 2010-07-23 | 2012-01-26 | Q-Track Corporation | Malicious Attack Response System and Associated Method |
US7190678B2 (en) * | 2002-10-28 | 2007-03-13 | Cisco Technology, Inc. | Arrangement for router attachments between roaming mobile routers in a clustered network |
US7496818B1 (en) * | 2003-02-27 | 2009-02-24 | Marvell International Ltd. | Apparatus and method for testing and debugging an integrated circuit |
US7941855B2 (en) * | 2003-04-14 | 2011-05-10 | New Mexico Technical Research Foundation | Computationally intelligent agents for distributed intrusion detection system and method of practicing same |
KR20040102496A (ko) | 2003-05-28 | 2004-12-08 | (주)에이치인포메이션 | 오디오신호 출력 기능을 갖는 키버튼을 이용한 모바일게임시스템 및 방법 |
US8087057B2 (en) * | 2004-04-28 | 2011-12-27 | Echostar Technologies L.L.C. | Television converter device including an internet protocol interface |
KR100669240B1 (ko) * | 2004-12-07 | 2007-01-15 | 한국전자통신연구원 | 평가규칙표기언어를 이용한 IPv6 네트워크 계층의보안성 평가 시스템 및 방법 |
US20070266433A1 (en) * | 2006-03-03 | 2007-11-15 | Hezi Moore | System and Method for Securing Information in a Virtual Computing Environment |
US20070271453A1 (en) * | 2006-05-19 | 2007-11-22 | Nikia Corporation | Identity based flow control of IP traffic |
US7793110B2 (en) * | 2006-05-24 | 2010-09-07 | Palo Alto Research Center Incorporated | Posture-based data protection |
US20140173731A1 (en) * | 2007-07-27 | 2014-06-19 | Redshift Internetworking, Inc. | System and Method for Unified Communications Threat Management (UCTM) for Converged Voice, Video and Multi-Media Over IP Flows |
US9369299B2 (en) * | 2008-06-10 | 2016-06-14 | Bradford Networks, Inc. | Network access control system and method for devices connecting to network using remote access control methods |
US8087067B2 (en) * | 2008-10-21 | 2011-12-27 | Lookout, Inc. | Secure mobile platform system |
WO2010102222A2 (en) * | 2009-03-05 | 2010-09-10 | Interdigital Patent Holdings, Inc. | METHOD AND APPARATUS FOR H(e)NB INTEGRITY VERIFICATION AND VALIDATION |
US20110161452A1 (en) | 2009-12-24 | 2011-06-30 | Rajesh Poornachandran | Collaborative malware detection and prevention on mobile devices |
DE112011100626T5 (de) * | 2010-02-22 | 2013-01-24 | Avaya Inc. | Sichere, richtlinienbasierte Kommunikationssicherheit und File-Sharing über gemischte Medien, gemischte Kommunikationsmodalitäten und erweiterbar auf Cloud-Computing, wie beispielsweise serviceorientierte Architektur (SOA) |
US8010992B1 (en) * | 2010-07-14 | 2011-08-30 | Domanicom Corp. | Devices, systems, and methods for providing increased security when multiplexing one or more services at a customer premises |
US8392344B2 (en) * | 2010-07-14 | 2013-03-05 | Domanicom Corp. | Systems, devices, and methods for providing multiple services to premises over communication networks |
US9117083B2 (en) * | 2011-02-14 | 2015-08-25 | Blackberry Limited | Managing booting of secure devices with untrusted software |
JP5618886B2 (ja) * | 2011-03-31 | 2014-11-05 | 株式会社日立製作所 | ネットワークシステムおよび計算機振り分け装置、計算機振り分け方法 |
US9161249B1 (en) * | 2011-07-07 | 2015-10-13 | Symantec Corporation | Systems and methods for performing internet site security analyses |
US9767840B2 (en) * | 2011-08-18 | 2017-09-19 | Apple Inc. | Securing protected content during video playback |
US9317689B2 (en) * | 2012-06-15 | 2016-04-19 | Visa International Service Association | Method and apparatus for secure application execution |
US20140137188A1 (en) * | 2012-11-14 | 2014-05-15 | Domanicom Corporation | Devices, systems, and methods for simultaneously delivering personalized/ targeted services and advertisements to end users |
US20140270177A1 (en) * | 2013-03-15 | 2014-09-18 | Ernie Brickell | Hardening inter-device secure communication using physically unclonable functions |
US8955144B2 (en) * | 2013-06-28 | 2015-02-10 | Intel Corporation | Protecting information processing system secrets from debug attacks |
US9460286B1 (en) * | 2013-12-19 | 2016-10-04 | Amdocs Software Systems Limited | System, method, and computer program for managing security in a network function virtualization (NFV) based communication network |
CN103763309B (zh) * | 2013-12-31 | 2018-03-30 | 曙光云计算集团有限公司 | 基于虚拟网络的安全域控制方法和系统 |
US9400885B2 (en) * | 2014-01-10 | 2016-07-26 | Bitdefender IPR Management Ltd. | Computer security systems and methods using virtualization exceptions |
US9473567B2 (en) * | 2014-08-20 | 2016-10-18 | At&T Intellectual Property I, L.P. | Virtual zones for open systems interconnection layer 4 through layer 7 services in a cloud computing system |
US9367343B2 (en) * | 2014-08-29 | 2016-06-14 | Red Hat Israel, Ltd. | Dynamic batch management of shared buffers for virtual machines |
US9705849B2 (en) * | 2014-09-30 | 2017-07-11 | Intel Corporation | Technologies for distributed detection of security anomalies |
US9560078B2 (en) * | 2015-02-04 | 2017-01-31 | Intel Corporation | Technologies for scalable security architecture of virtualized networks |
CN106576068B (zh) * | 2015-04-30 | 2019-11-19 | 华为技术有限公司 | 一种软件安全验证方法、设备及系统 |
US9578008B2 (en) * | 2015-05-11 | 2017-02-21 | Intel Corporation | Technologies for secure bootstrapping of virtual network functions |
US9742790B2 (en) * | 2015-06-16 | 2017-08-22 | Intel Corporation | Technologies for secure personalization of a security monitoring virtual network function |
US9825982B1 (en) * | 2016-04-29 | 2017-11-21 | Ciena Corporation | System and method for monitoring network vulnerabilities |
US20180341494A1 (en) * | 2017-05-26 | 2018-11-29 | Intel Corporation | Accelerating network security monitoring |
-
2014
- 2014-10-13 US US14/513,140 patent/US9705849B2/en active Active
-
2015
- 2015-08-26 EP EP23190104.2A patent/EP4246896A3/en active Pending
- 2015-08-26 WO PCT/US2015/046909 patent/WO2016053514A1/en active Application Filing
- 2015-08-26 EP EP15847835.4A patent/EP3202096B1/en active Active
- 2015-08-26 JP JP2017516148A patent/JP6359766B2/ja active Active
- 2015-08-26 EP EP20187958.2A patent/EP3745653B1/en active Active
- 2015-08-26 KR KR1020177005493A patent/KR101992547B1/ko active IP Right Grant
- 2015-08-26 CN CN201580046466.8A patent/CN106716952B/zh active Active
- 2015-08-28 TW TW104128351A patent/TWI606711B/zh not_active IP Right Cessation
- 2015-08-28 TW TW106131452A patent/TWI712291B/zh active
-
2016
- 2016-12-31 US US15/396,440 patent/US10469451B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
EP4246896A2 (en) | 2023-09-20 |
JP2017534106A (ja) | 2017-11-16 |
US20160094573A1 (en) | 2016-03-31 |
JP6359766B2 (ja) | 2018-07-18 |
EP3745653B1 (en) | 2023-09-06 |
EP3745653C0 (en) | 2023-09-06 |
WO2016053514A1 (en) | 2016-04-07 |
US20170111382A1 (en) | 2017-04-20 |
TW201626773A (zh) | 2016-07-16 |
KR101992547B1 (ko) | 2019-06-24 |
CN106716952B (zh) | 2020-11-10 |
EP4246896A3 (en) | 2023-12-20 |
CN106716952A (zh) | 2017-05-24 |
TWI712291B (zh) | 2020-12-01 |
KR20170038190A (ko) | 2017-04-06 |
US9705849B2 (en) | 2017-07-11 |
EP3202096A1 (en) | 2017-08-09 |
EP3202096A4 (en) | 2018-06-06 |
EP3745653A1 (en) | 2020-12-02 |
US10469451B2 (en) | 2019-11-05 |
TWI606711B (zh) | 2017-11-21 |
EP3202096B1 (en) | 2022-05-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI606711B (zh) | 用於安全異常的分散式偵測之技術 | |
USRE48411E1 (en) | Technologies for secure inter-virtual network function communication | |
US11533341B2 (en) | Technologies for scalable security architecture of virtualized networks | |
US10367840B2 (en) | Technologies for secure personalization of a security monitoring virtual network function | |
CN108351937B (zh) | 计算设备 | |
US20230106581A1 (en) | Confidential computing environment including devices connected to a network interface device | |
CN112491545B (zh) | 一种可信的混合云管理平台、接入方法及系统 | |
Zhou et al. | All your VMs are disconnected: Attacking hardware virtualized network | |
Varghese et al. | Trust Assessment Policy Manager in Cloud Computing-Cloud Service Provider's Perspective |