TWI606711B - 用於安全異常的分散式偵測之技術 - Google Patents

用於安全異常的分散式偵測之技術 Download PDF

Info

Publication number
TWI606711B
TWI606711B TW104128351A TW104128351A TWI606711B TW I606711 B TWI606711 B TW I606711B TW 104128351 A TW104128351 A TW 104128351A TW 104128351 A TW104128351 A TW 104128351A TW I606711 B TWI606711 B TW I606711B
Authority
TW
Taiwan
Prior art keywords
computing device
server
execution environment
security
trusted execution
Prior art date
Application number
TW104128351A
Other languages
English (en)
Other versions
TW201626773A (zh
Inventor
約翰R 法斯特班德
禹士來
梅蘇特A 爾金
傑夫瑞B 蕭
卡皮爾 索德
布萊恩J 史蓋瑞
Original Assignee
英特爾公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 英特爾公司 filed Critical 英特爾公司
Publication of TW201626773A publication Critical patent/TW201626773A/zh
Application granted granted Critical
Publication of TWI606711B publication Critical patent/TWI606711B/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Debugging And Monitoring (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)

Description

用於安全異常的分散式偵測之技術
本發明係有關於用於安全異常的分散式偵測之技術。
發明背景
各種技術規範定義了在世界範圍內的網路操作員及服務提供者部署並管理網路功能及服務之方法。舉例而言,規範定義使用虛擬化平臺來提供服務,並且通常服務內之組件可「鏈接」在一起。此等技術規範包括例如歐洲電信標準學會之網路功能虛擬化(ETSI NFV)標準。當網路操作員在如當前由ETSI NFV定義之虛擬網路功能模型上操作網路功能及服務時,傳統上可為實體網路連結系統利用之明確定義之介面不再可用於中間流封包分析。因此,系統的確保威脅得到偵測並且作出反應(例如,防止訂戶在為具有較高特權等級之訂戶保留的網路功能上存取服務)之能力可受到顯著抑制。
依據本發明之一實施例,係特地提出一種用於安全異常的分散式偵測之計算裝置,該計算裝置包括:用於 執行以下操作之可信賴執行環境模組:(i)與安全伺服器建立可信賴關係,(ii)響應於該可信賴關係之建立來讀取虛擬網路功能之間網路或虛擬網路功能組件之間網路中之至少一者之一或多個封包,及(iii)執行該等一或多個封包之安全威脅評估;及向該安全伺服器傳輸該安全威脅評估之通訊模組。
100‧‧‧系統
102‧‧‧骨幹網路系統
104‧‧‧後繼網路系統
106‧‧‧塔系統
108‧‧‧訂戶裝置
202‧‧‧虛擬網路功能
204‧‧‧伺服器
206‧‧‧安全伺服器
208‧‧‧補救伺服器
210‧‧‧協調器
212‧‧‧虛擬網路功能組件
214‧‧‧超管理器
218、230‧‧‧加密隧道
220‧‧‧引擎
222‧‧‧網路介面
224‧‧‧可信執行環境
226‧‧‧API
228‧‧‧虛擬交換器
232‧‧‧共享記憶體
234‧‧‧雲計算環境
240‧‧‧VNF之間通訊網路
242‧‧‧VNFC之間通訊網路
310‧‧‧處理器
312‧‧‧輸入/輸出(「I/O」子系統)
314‧‧‧記憶體
316‧‧‧資料儲存器
318‧‧‧通訊電路
320‧‧‧周邊裝置
322‧‧‧安全共處理器
324‧‧‧快取記憶體
400‧‧‧環境
402‧‧‧安全模組
404‧‧‧可信賴執行環境模組
406‧‧‧通訊模組
408‧‧‧安全威脅資料庫
410‧‧‧策略
412‧‧‧試探碼
500‧‧‧方法
502-544‧‧‧區塊
700‧‧‧方法
702-724‧‧‧區塊
本文所描述之概念以實例之方式而非以限制之方式例示於附圖中。出於例示的簡單性及清晰性,諸圖中所例示的元件未必按比例繪製。此外,在認為適當的情況下,已在諸圖間重複參考標號來指示對應或類似元件。
圖1為安全異常的分散式偵測之系統之至少一個實施例之簡化方塊圖;圖2為圖1之系統之骨幹網路系統之至少一個實施例之簡化方塊圖;圖3為圖2之骨幹網路系統之伺服器之至少一個實施例之簡化方塊圖;圖4為圖3之伺服器之環境之至少一個實施例之簡化方塊圖;圖5-6為可由圖2之伺服器執行之安全異常的分散式偵測之方法之至少一個實施例之簡化流程圖;及圖7為可由圖2之安全伺服器執行之安全異常的分散式偵測之方法之至少一個實施例之簡化流程圖。
較佳實施例之詳細說明
雖然本揭示內容之概念容許各種修改及替代形式,但本揭示內容之特定示範性實施例已在圖式中展示為實例且將在文中詳細描述。然而,應瞭解,不意欲將本揭示內容之概念限制至所揭示之特定形式,相反,意欲涵蓋與本揭示內容及附加申請專利範圍一致的所有修改、等效物及替代物。
說明書中所參考之「一個實施例」、「一實施例」、「示例性實施例」等指示所描述之實施例可能包括特定特徵、結構或特性,但每一實施例可不必包括該特定特徵、結構或特性。此外,該等詞語不必代表相同實施例。此外,當描述與實施例聯繫之特定特徵、結構或特性時,提出,無論是否明確描述與其他實施例聯繫的此特徵、結構或特性,實現與其他實施例聯繫的此特徵、結構或特性係在熟習此項技術者之知識內。另外,應瞭解包含於呈「至少一個A、B及C」形式之列表中之項目可意謂(A);(B);(C):(A及B);(B及C);(A及C);或(A,B,及C)。同樣地,呈「A、B或C中之至少一者」形式之列出之項目可意謂(A);(B);(C):(A及B);(B及C);(A及C);或(A,B,及C)。
本文所揭示的實施例在一些情況下可以硬體、韌體、軟體或其任何組合來實施。所公開實施例亦可實施為由一或多種暫時性或非暫時性機器可讀(例如,電腦可讀)儲存媒體攜帶或儲存之指令,該等儲存媒體可由一或多種 處理器來讀取並執行。機器可讀儲存媒體可實施為用於儲存或傳輸呈機器可讀之形式之資訊之任何儲存裝置、機構或其他實體結構(例如,易失性或非易失性記憶體、媒體碟片或其他媒體裝置)。
在圖式中,一些結構或方法特徵可以特定配置及/或順序來示出。然而,應瞭解此等特定配置及/或順序可並非必須的。實情為,在一些實施例中,此等特徵可以與示例性圖式中示出者相比不同之方式及/或順序來配置。另外,結構或方法特徵包含於特定圖式中不意欲暗示此特徵在所有實施例中為必須的,並且在一些實施例中,可不包括或可與其他特徵組合。
現在參看圖1,安全異常的分散式偵測之系統100示例性包括骨幹網路系統102、後繼網路系統104、一或多個塔系統106及一或多個訂戶裝置108。在此示例性實施例中,訂戶裝置108依靠塔系統106與後繼網路系統104通訊,並且後繼網路系統104確保合適資料封包依路由傳遞至骨幹網路系統102以便處理及/或進一步依路由傳遞。應瞭解骨幹網路系統102、後繼網路系統104、塔系統106及訂戶裝置108中之每一者可實施為用於執行本文所述功能之任何合適裝置或裝置之集合。在此示例性實施例中,骨幹網路系統102、後繼網路系統104及塔系統106中之每一者實現訂戶裝置108及/或其他裝置(例如,經由網際網路)之間之電信。此外,取決於特定實行方案,骨幹網路系統102、後繼網路系統104及塔系統106可包括許多裝置、網路、路由器、 開關、電腦及/或其他介入裝置以促進其對應功能。
在一些實施例中,骨幹網路系統102可實施為具有虛擬演進封包核心(vEPC)架構之基於網路功能虛擬化(NFV)之長期演進(LTE)骨幹網路。應瞭解骨幹網路系統102可充當集中式網路並且在一些實施例中,可以可通訊地耦合至另一個網路(例如,網際網路)。在此示例性實施例中,後繼網路系統104包括(例如,經由中間鏈路)將骨幹網路系統102可通訊地耦合至塔系統106、子網路及/或邊緣網路的一或多個裝置。在一些實施例中,後繼網路系統104可實施為LTE後繼網路系統並且可包括各種網路包括例如T1、IP、光學、ATM、租用及/或其他網路。
塔系統106包括被組配來允許通訊裝置例如行動計算裝置(例如,行動電話)及/或其他訂戶裝置108彼此及/或與其他遠程裝置通訊之硬體。在此過程中,塔系統106使得訂戶裝置108能夠與後繼網路系統104通訊。在一些實施例中,一個或多個塔系統106可包括或另外實施為演進節點(eNodeB),其被組配來直接或間接地與一個或多個訂戶裝置108(例如,行動計算裝置手機)通訊。此外,取決於特定實施例,塔系統106可包括或充當例如基地收發站(BTS)或另一種站/系統。訂戶裝置108可實施為能夠執行本文所述功能之任何類型計算裝置。舉例而言,在利用LTE後繼及骨架系統之實施例中,訂戶裝置108可實施為行動計算裝置(例如,智能手機)並且可被組配來利用蜂巢式網路。
如以下詳細描述,系統100可利用各種虛擬網路 功能,同時確保威脅得以偵測並加以操作(例如,經由中間流封包分析)。另外,系統100可使用可信執行環境(TEE)對虛擬平臺提供增強及細分安全檢查能力。如下所述,在此示例性實施例中,TEE確立為安全獨立領地如Intel®軟體防護擴展(SGX)。然而,在其他實施例中,TEE可另外確立或實施為例如管理引擎(Me)、可信賴平臺模組(TPM)、創新引擎(IE)、安全分區、單獨處理器核心且/或另外確立。
應瞭解在網路功能虛擬化(NVF)環境中,非虛擬化環境之傳統明確定義介面總體上無法利用並且NFV系統可包括多個虛擬網路功能(VNF),其中之每一者可包括一或多個虛擬網路功能組件(VNFC)。VNF及/或VNFC可使用各種不同機制彼此通訊,該等機制包括例如共享記憶體、OS或超管理器特定應用程式設計介面(API),該等介面為封閉的網路虛擬交換器測試存取點(TAP),及/或其他機制。此外,在一些實施例中,VNF內及/或VNF內訊務可使用例如網際網路協定安全(IPsec)或安全插座層(SSL)來加密。因此,應瞭解,傳統機制可能無法提供傳統網路檢查系統在虛擬化環境中之所有訊務之清晰能見度的情況下有效運作的一致方法。
然而,在此示例性實施例中,系統100被組配來使用TEE(例如,結合微碼(ucode)、硬體指令及/或其他機制)之能力在虛擬化系統中檢查封包及/或流量。舉例而言,如下所述,系統100之每個伺服器或平臺可包括承擔平臺安全策略檢查器之作用之平臺特定TEE。具體而言,平臺特定 TEE可檢查來自網路MAC/乙太網路及/或其他網路/通訊介面(例如,經由IP之間之側通道機制)之所有封包(即,傳入及/或傳出)。另外,平臺特定TEE可基於超管理器(例如,虛擬機監測器)特權及使用定義API(例如,HECI介面)與TEE之通訊來檢查共享記憶體及/或專屬API。平臺特定TEE可另外或替代地基於對於帶正負號及抗轉返受保護微碼(ucode)修補來調用之較高特權來檢查局部及共享處理機(例如,CPU)及SoC快取記憶體。在一些實施例中,平臺特定TEE使用基於TEE的VNFC之間隧道鍵來監測受保護VNFC之間及VNF之間訊務。另外或替代地,平臺特定TEE可使用超管理器存取各種虛擬交換器介面以及TAP來存取訊務資料。
應瞭解,在一些實施例中,TEE可收集來自平臺上之多個來源之資訊並且可與傳統系統相比以更詳細方式進行此舉。舉例而言,TEE可藉由策略來組配以監測全部或選定封包、網路流,追蹤封包修改,且/或執行其他監測功能。TEE可對於所收集的資料執行進階試探並且取決於特定策略,保留威脅資訊。此外,TEE可基於策略及/或所接收補救指令(例如,阻斷某些流量、複製封包等)來採取一或多個補救操作。在一些實施例中,TEE可向指定TEE(例如,在NFV分散式威脅偵測安全系統上)傳送異常及/或威脅試探,該指定TEE可執行全系統安全威脅試探/分析。應瞭解,在一些實施例中,TEE在以下意義上為「指定的」:分散式威脅偵測系統被設計成使得其他TEE將安全資訊傳輸至指定TEE以便進一步(例如,更高等級)分析。如下所述, 在一些實施例中,指定TEE可包括於安全伺服器及/或分散式威脅偵測安全系統中。此外,在一些實施例中,可指定多個TEE來執行全系統或全子系統安全威脅分析,並且TEE可分級配置。舉例而言,在一實施例中,第一指定TEE可基於自第一子系統中之伺服器之對應TEE接收之資訊來執行第一子系統之安全威脅分析,並且第二指定TEE可基於自第二子系統中之伺服器之對應TEE接收之資訊來執行第二子系統之安全威脅分析,諸如此類。彼等子系統TEE(例如,第一及第二指定TEE)中之每一者可將其分析及/或額外資訊提供至「較高」層次等級之另一個指定TEE以基於自較低等級指定TEE接收之資訊來執行完整全系統(或較大全子系統)安全威脅分析。當然,指定TEE及/或層次等級之數目可取決於特定實施例來變化。
應瞭解TEE之層次能力可允許實行局部補救操作並且同時對於橫跨多個平臺上之VNF及VNFC之流量,實現全系統威脅偵測及補救。在一些實施例中,TEE可受保護,包括所有代碼及資料,並且僅在簽名驗證及量測(例如,使用TPM或虛擬TPM)後加載。此外,TEE可具有運行藉由根鍵授權以啟用TPV及/或其他供應商之簽名驗證第三方驗證(TPV)碼之能力。應瞭解本文所述通訊之介面可包括,例如,SoC或處理器內之IP之間通訊(IPC)、裝置驅動器模型(例如,HECI介面)、虛擬LAN連接、用於組件之間之互動之現有協定(例如,PECI、SMBUS等)。在其他實施例中,組件可在例如TLS保護之基於HTTPS網路之REST API上通訊。應進一步瞭解,在一些實施例中,系統100可以平臺、超管理器及雲OS中性方式實施。
現在參看圖2,在此示例性實施例中,骨幹網路系統102包括一或多個VNF 202、一或多個伺服器204及安全伺服器206。另外,在一些實施例中,骨幹網路系統102包括補救伺服器208及/或協調器210。雖然僅一個安全伺服器206、一個補救伺服器208及一個協調器210示例性地在圖2中示出,但是在其他實施例中,骨幹網路系統102可包括許多安全伺服器206、補救伺服器208及/或協調器210。舉例而言,可包括多個安全伺服器206,其中之每一者可包括如本文描述用於層次及分散式威脅偵測之指定TEE。應瞭解,在一些實施例中,伺服器204及安全伺服器206中之每一者可包括類似硬體、軟體及/或韌體組件。此外,在一些實施例中,安全伺服器206可實施為伺服器204之一者,除了安全伺服器206包括如本文描述之指定TEE以外。
現在參看圖3,示出系統102之伺服器204、206之示例性實施例。如示出,示例性伺服器204、206包括處理器310、輸入/輸出(「I/O」子系統)312、記憶體314、資料儲存器316、通訊電路318及一或多個周邊裝置320。另外,在一些實施例中,伺服器204、206可包括安全共處理器322。當然,在其他實施例中,伺服器204、206可包括其他或額外組件,如通常在典型計算裝置(例如,各種輸入/輸出裝置及/或其他組件)中發現之彼等。另外,在一些實施例中,示例性組件中之一或多者可併入或另外形成另一個 組件之一部分。舉例而言,在一些實施例中,記憶體314或其一部分可併入處理器310中。
處理器310可實施為能夠執行本文所述功能之任何類型之處理器。舉例而言,處理器310可實施為單一或多核心處理器、數位信號處理器、微控制器或其他處理器或處理/控制電路。如示出,處理器310可包括一或多個快取記憶體324。應瞭解記憶體314可實施為能夠執行本文所述功能之任何類型之易失性或非易失性記憶體或資料儲存器。在操作中,記憶體314可儲存在操作伺服器204、206期間所使用之各種資料及軟體如操作系統、應用、程式、程式館及驅動器。記憶體314經由I/O子系統312來可通訊地耦合至處理器310,該I/O子系統可實施為電路及/或組件以促進藉由處理器310、記憶體314及伺服器204、206之其他組件來實行之輸入/輸出操作。舉例而言,I/O子系統312可實施為或另外包括記憶體控制器集線器、輸入/輸出控制集線器、韌體裝置、通訊鏈路(即點對點鏈路、匯流排鏈路、導線、電纜、光導向器、印刷電路板跡線等)及/或促進輸入/輸出操作之其他組件及子系統。在一些實施例中,I/O子系統312可形成系統單晶片(SoC)之一部分並且與處理器310、記憶體314及伺服器204、206之其他組件一起併入單一積體電路晶片上。
資料儲存體316可實施為組配用於短期或長期資料儲存的任何類型之裝置,諸如,記憶裝置及電路、記憶卡、硬碟片驅動器、固態驅動器或其他資料儲存裝置。資 料儲存器316及/或記憶體314可在適用於執行本文所述功能之伺服器204、206操作期間儲存各種資料。
通訊電路318可實施為能夠經由網路實現伺服器204、206與其他遠程裝置之間之通訊的任何通訊電路、裝置或其集合。通訊電路318可被組配來使用任何一或多種通訊技術(例如,無線或有線通訊)及相關協定(例如,乙太網路、藍牙®、Wi-Fi®、WiMAX等)以實現此通訊。在一些實施例中,通訊電路318包括蜂巢式通訊電路及/或其他遠程無線通訊電路。
周邊裝置320可包括許多額外周邊或介面裝置,如揚聲器、麥克風、輔助儲存裝置等等。包括於周邊裝置320中之特定裝置可取決於例如伺服器204、206之類型及/或預定用途。
安全共處理器322,若包括在內,可實施為能夠執行安全功能、加密功能及/或建立可信執行環境之任何硬體組件或電路。舉例而言,在一些實施例中,安全共處理器322可實施為可信賴平臺模組(TPM)或帶外處理器。另外,在一些實施例中,安全共處理器322可與遠程裝置(例如,其他伺服器204、206之對應安全共處理器322)建立帶外通訊鏈路。
再次參看圖2,如示出,骨幹網路系統102包括一或多個虛擬網路功能(VNF)202,其中之每一者可包括一或多個虛擬網路功能組件(VNFC)212。應瞭解VNF 202可實施為任何合適虛擬網路功能;類似地,VNFC 212可實施為任 何合適VNF組件。舉例而言,在一些實施例中,VNF 202可包括安全閘道(SGW)、封包資料網絡閘道(PNG)、帳單功能及/或其他虛擬網路功能。在一些實施例中,特定VNF 202可具有多個子實例,其可在相同伺服器204、206或不同伺服器204、206上執行。換言之,在虛擬化時,傳統上藉由與特定伺服器204、206共定位之物理硬體來操作之網路功能可作為VNF 202分散於伺服器204、206中之一或多者上。在此示例性實施例中,VNFC 212為協作以提供一或多個VNF 202之功能的過程及/或實例。舉例而言,在一些實施例中,VNFC 212為VNF 202之亞模組。類似於VNF 202,應瞭解VNFC 212可分散於一或多個伺服器204、206上。此外,應瞭解特定VNFC 212可分散於多個伺服器204、206上並且仍然形成在單一伺服器204、206上建立之VNF 202之一部分。
如本文描述,在此示例性實施例中,一或多個伺服器204、206之VNF 202可,例如,在VNF之間通訊網路240上經由一或多個VNF之間通訊機制來彼此通訊。同樣地,一或多個伺服器204、206之VNFC 212可,例如,在VNFC之間通訊網路242上經由一或多個VNFC之間通訊機制來彼此通訊。應瞭解VNF之間及VNFC之間通訊機制可實施為被組配來實現VNF之間及/或VNFC之間通訊之任何合適機制。舉例而言,在一些實施例中,VNF 202及/或VNFC 212可使用具有超管理器及封包分析、基於標準格式之格式化封包、共享記憶體(例如,藉由超管理器保留的實體/虛擬記 憶體)之開放交換器,及/或其他合適機制來彼此通訊。在此示例性實施例中,特定VNF 202或VNFC 212在其上執行之伺服器204、206之TEE被組配來讀取(直接或間接地)與特定VNF 202或VNFC 212相關之VNF之間及VNFC之間通訊。
應瞭解VNF 202可將封包處理成服務鏈。然而,在操作期間,一或多個執行時間威脅可注入系統中,其可避開一組封包或流量以避免根據特定策略需要藉由整個服務鏈來處理。因此,伺服器204、206之TEE可用於識別此等異常及異常VNF執行時間行為,包括,例如,惡意TCP連線請求洪水、封包丟棄、流量斷開、違反應用層次策略及其他潛在安全威脅。因此,TEE可承擔作為伺服器之安全策略檢查器的作用。
在圖2之此示例性實施例中,伺服器204中之每一者包括超管理器214、記憶體314、快取記憶體324、一或多個引擎220、一或多個網路介面222及可信執行環境224。另外,超管理器214包括一或多個API 226、虛擬交換器(vSwitch)228、一或多個加密隧道230及共享記憶體232。當然,在一些實施例中,伺服器204可包括額外組件,其為了描述清晰而予以省去。
超管理器214或虛擬機監測器在對應伺服器204上操作一或多個虛擬機(VM)。因此,超管理器214可建立及/或利用各種虛擬化硬體資源(例如,虛擬記憶體、虛擬操作系統、虛擬網路連結組件等)。包括於超管理器214及/或伺服器204中之特定API 226總體上可取決於特定伺服器204 而變化。在一些實施例中,API 226包括一或多個專屬API。在一些實施例中,API 226可提供封包(例如,與特定VNF 202相關)存取以使得其可藉由TEE 224分析。虛擬交換器228可用於實施網路策略及/或實施操作(例如,丟棄封包、監測流量、執行深度檢查、執行補救操作等)。舉例而言,虛擬交換器216可允許系統102中之虛擬機(VM)之網路連結。如下所述,在一些實施例中,伺服器204可建立安全通訊(例如,與安全伺服器206、VNF 202之間、及/或VNFC 212之間之通訊)的加密隧道218。在一些實施例中,加密隧道218可藉由伺服器204之TEE 224讀取(例如,呈加密形式或由於存取對應加密鍵而呈未加密形式)。另外,在一些實施例中,一或多個VM、VNF 202及/或VNFC 212可利用共享記憶體232。舉例而言,在一些實施例中,VNF 202及VNFC 212可利用共享記憶體232來彼此通訊。應瞭解取決於特定實施例,共享記憶體232可包括實體記憶體及/或虛擬記憶體。在此示例性實施例中,特定伺服器204之TEE 224可存取此伺服器204之API 226、虛擬交換器228、加密隧道230及共享記憶體232中之每一者以針對一或多個封包/流量之安全威脅分析來檢索資料。另外,TEE 224可針對此分析來存取VNF之間及VNFC之間通訊。
如上所述,伺服器204包括記憶體314、快取記憶體324、引擎220、網路介面222及TEE 224。應瞭解記憶體314可實施為能夠執行本文所述功能之任何類型之易失性或非易失性記憶體或資料儲存器。此外,在一些實施例中, 記憶體314可包括軟體定義儲存器。一或多個引擎220可實施為產生適用於TEE 224及/或安全伺服器206準備安全評估之資料的任何硬體、韌體及/或軟體組件。舉例而言,引擎220可包括SoC、圖形引擎、安全引擎、音訊引擎、加密模組、TPM、共處理器、通訊鏈路或通道、交換器,及/或被組配來處理或另外操縱資料之另一種引擎。網路介面222可實施為與資料封包之網路連結過程相關的任何介面。舉例而言,在一些實施例中,網路介面222包括網路MAC/乙太網路介面、軟體定義網路連結模組及/或另一個網路介面。
如上所述,在此示例性實施例中,TEE 224確立為安全獨立領地如Intel®軟體防護擴展(SGX)。然而,在其他實施例中,TEE 244可另外確立為例如管理引擎(Me)、可信賴平臺模組(TPM)、創新引擎(IE)、安全分區、單獨處理器核心且/或另外確立。舉例而言,在一些實施例中,TEE 224可實施為安全共處理器322或由於安全共處理器322而得以建立。如本文論述,TEE 224被組配來檢索來自伺服器204之各種組件之資料,其可用於執行安全分析。在一些實施例中,TEE 224可基於檢索資料來執行局部安全分析。此外,在此示例性實施例中,TEE 224將安全威脅評估資料(即,所收集的資料及/或分析結果)傳輸至安全伺服器206之對應TEE 224(即,指定TEE 224)。應瞭解,在此示例性實施例中,TEE 224可經由帶外通訊網路來彼此通訊。
如本文論述,安全伺服器206之指定TEE 224執行 全系統(或較大全子系統)安全評估。在一些實施例中,安全伺服器206可與補救伺服器208通訊以請求與安全評估相關之補救指令(即,待由伺服器204執行之合適操作)。如圖2中示出,補救伺服器208可包括於雲計算環境234內,在此情況下補救伺服器208可協調器210協商來判定合適補救操作/指令。補救伺服器208及協調器210可實施為能夠執行本文所述功能之任何伺服器或計算裝置。此外,補救伺服器208及協調器210可包括與如上所述伺服器204、206之組件及/或為了描述清晰未在圖2中示出的通常存在於伺服器中之組件如處理器、記憶體、I/O子系統、資料儲存器、周邊裝置等等類似的組件。
現在參看圖4,在使用中,伺服器204、206中之一或多者建立安全異常的分散式偵測之環境400。伺服器204、206之示例性環境400包括安全模組402、可信賴執行環境模組404、通訊模組406、安全威脅資料庫408、一或多個策略410(例如安全及/或組配策略),及試探碼412。環境400之模組中之每一者可實施為硬體、軟體、韌體或其組合。另外,在一些實施例中,示例性模組中之一或多者可形成另一個模組之一部分且/或示例性模組中之一或多者可實施為獨立或單獨模組。舉例而言,環境400之模組、邏輯及其他組件中之每一者可形成伺服器204、206之處理器310之一部分,或另外確立。
安全模組402被組配來執行伺服器206之各種安全功能。舉例而言,安全模組402可處理加密鍵、簽名、雜 湊之產生及驗證,且/或執行其他加密功能。
可信賴執行環境模組404建立伺服器204、206內之可信執行環境(例如,TEE 224)或其他安全環境。如上所述,TEE 224可與另一個伺服器204、206之對應TEE 224建立可信賴關係。舉例而言,在此過程中,TEE 224可執行加密鍵交換。在一些實施例中,TEE 224可經由既定加密及/或另外安全隧道來彼此通訊。如上所述,在一些實施例中,TEE 224可經由帶外通訊通道(即,與對應伺服器204、206之間之普通通訊通道分開之通訊通道)來彼此通訊。舉例而言,伺服器204之一者之TEE 224可與安全伺服器206之TEE 224建立可信賴關係。此外,如上所述,TEE 224可讀取VNFC-VNFC及VNF-VNF網路之封包,檢索來自記憶體314、快取記憶體324、引擎220及/或網路介面222之資料。此外,在一些實施例中,TEE模組404讀取伺服器204、206之熔絲、記憶體314、資料儲存器316及/或其他硬體組件以判定伺服器204、206之特定策略410(例如,組配或安全策略)。另外,TEE模組404可基於檢索資訊來執行伺服器204、206之一或多個封包之安全評估以判定,例如,是否封包造成安全威脅。在此過程中,TEE模組404可檢索來自安全威脅資料庫408之資料或另外將檢索安全威脅評估資料與安全威脅資料庫408相關聯。應瞭解伺服器204之一者可執行局部安全威脅評估並且安全伺服器206可執行全系統(或較大全子系統)安全威脅評估。因此,彼等伺服器204、206之安全威脅資料庫408可包括對應資料。在一些實施例中, TEE模組404可在評估一或多個封包之安全中利用試探碼412。在一些實施例中,試探碼412識別可疑指令於其中執行之參數及/或上下文(例如,在VM或安全容器中)。另外或替代地,試探碼412可識別惡意代碼簽名、白名單、黑名單且/或另外包括由TEE模組適用於評估一或多個封包/指令之安全之資料。
通訊模組406處理伺服器204、206與遠程裝置之間經由合適網路之通訊。舉例而言,如以上論述,伺服器204、206之TEE 224可在帶外通訊通道上或經由加密隧道彼此通訊。
現在參看圖5-6,在使用中,伺服器204可執行安全異常的分散式偵測之方法500。示例性方法500開始於區塊502,其中伺服器與安全伺服器206建立可信賴關係。如以上論述,在一些實施例中,安全伺服器206可實施為伺服器204之一者,其包括已經選定或「指定」來執行全系統或全子系統安全分析之TEE 224。在其他實施例中,安全伺服器206可實施為與伺服器204分開之伺服器。應瞭解,在建立可信賴關係中,伺服器204可在區塊504中與安全伺服器206交換加密鍵且/或可在區塊506中使用信賴基礎及/或熔絲密鑰。舉例而言,伺服器204及/或安全伺服器206可包括(例如,加密地)結合至伺服器204、206或,更具體而言,伺服器204、206之硬體組件(例如,安全共處理器322)之加密鍵或標識。
在區塊508中,伺服器204安全地啟動。在此過程 中,在區塊510中,伺服器204檢索其組配策略(例如,自伺服器204之安全非易失性記憶體)。在一些實施例中,組配策略可指示執行參數、上下文資訊,及/或與操作伺服器204相關之其他資訊。舉例而言,在一些實施例中,組配策略可用於通知TEE 224關於伺服器204之各種硬體、韌體及/或軟體組件。
在區塊512中,伺服器204與安全伺服器206建立可信賴隧道。在此過程中,在區塊514中,伺服器204可宣告其可用性。為了實現此舉,伺服器204可與安全伺服器206通訊以通知安全伺服器206伺服器204可操作。舉例而言,伺服器204可傳輸心跳信號至安全伺服器206。此外,在一些實施例中,伺服器204可定期或連續宣告其可用性。另外或替代地,在區塊516中,伺服器204可將其安全策略及/或試探碼(例如,用於應用試探安全演算法來分析封包資料)傳輸至安全伺服器206。在一些實施例中,伺服器204可傳輸整個安全策略,而在其他實施例中,安全伺服器206可保持不同伺服器204之安全策略,以使得伺服器204可僅為安全伺服器206提供安全策略之最近更新而非整個安全策略。此外,在一些實施例中,安全伺服器204可傳輸試探碼至伺服器204用於評估安全。
在區塊518中,伺服器204判定伺服器204之執行時間情形(例如,上下文及/或狀態資訊)。在此過程中,在區塊420中,伺服器204可判定伺服器204之一或多個VNF 202之執行時間情形。舉例而言,伺服器204可判定伺服器 204的隨著VNF 202、VNFC 212及/或VM而變化之當前上下文。在區塊422中,伺服器204經由超管理器214來讀取VNFC-VNFC及/或VNF-VNF網路之一或多個封包。具體而言,伺服器204可經由虛擬交換器228及/或網路介面222來讀取VNFC-VNFC及/或VNF-VNF網路之一或多個封包。在區塊524中,伺服器204自伺服器204之記憶體314、232及/或快取記憶體324讀取與VNFC及/或VNF過程執行狀態相關之一或多個封包。在圖6之區塊526中,伺服器204經由伺服器204之微碼(ucode)及/或BIOS來致能伺服器存取。在此過程中,在區塊528中,伺服器204可讀取伺服器204之熔絲及/或狀態以判定伺服器204之策略(例如,安全策略)。
在區塊530中,伺服器204可執行伺服器204之局部威脅評估。應瞭解伺服器204可利用策略、試探碼、執行時間情形、封包,及/或由伺服器204檢索或另外可存取之其他資訊。在一些實施例中,伺服器204執行一或多個試探演算法以進行安全威脅評估。在區塊534中,伺服器204向安全伺服器206報告安全威脅評估資料。在此過程中,伺服器204可傳輸由伺服器204收集之原始資料、局部安全評估資料,及/或由伺服器204產生之中間資料。
取決於特定實施例,在區塊536中,伺服器204可自安全伺服器206或補救伺服器208接收網路流量/封包之補救操作指令。舉例而言,如本文論述,安全伺服器206可執行全系統威脅分析及/或來自補救伺服器208之請求協助以判定是否任何特定補救操作應由伺服器204執行。否 則,在一些實施例中,伺服器204可不接收來自安全伺服器206之響應。當然,在一些實施例中,伺服器204可獨立地判定是否執行安全補救操作。在區塊538中,伺服器204實施網路策略及/或任何補救操作。在一些實施例中,伺服器204可依靠虛擬交換器228及/或網路介面222來實現此舉。特定補救操作可取決於特定安全威脅及/或特定實施例而變化。舉例而言,在區塊540中,伺服器204可基於補救指令來丟棄一或多個網路封包。在區塊542中,伺服器204可監測一或多個網路流。舉例而言,在一些實施例中,安全伺服器206或補救伺服器208可指示伺服器204監測基於威脅分析可造成安全風險之特定種類之網路流。此外,在區塊544中,伺服器204可基於補救指令來執行一或多個網路封包之深度封包檢查。當然,伺服器204可取決於特定實施例來執行多種其他補救操作。
現在參看圖7,在使用中,安全伺服器206可執行安全異常的分散式偵測之方法700。示例性方法700開始於圖7之區塊702,其中安全伺服器206與伺服器204之一者建立可信賴關係。如上所述,在此過程中,在區塊704中,安全伺服器206可與伺服器204執行加密鍵交換且/或在區塊706中利用信賴基礎及/或熔絲密鑰。舉例而言,在確立雙側信賴之實施例中,伺服器204及安全伺服器206均包括信賴基礎(例如,加密地結合鍵或識別符)。在區塊710中,如上所述,安全伺服器206與伺服器204建立可信賴隧道。在此過程中,在區塊710中,安全伺服器206可接收來自伺服 器204之安全策略更新及/或試探法碼。另外或替代地,安全伺服器204可將試探碼傳輸至伺服器204(例如,用於評估安全)。此外,在區塊712中,安全伺服器206基於所接收資訊來接收來自伺服器204之安全威脅評估資料。如以上論述,伺服器204可將由伺服器204收集之原始資料、局部安全評估資料,及/或由伺服器204產生之中間資料傳輸至安全伺服器206以使得安全伺服器206能夠執行全系統或全子系統安全評估。
在區塊714中,安全伺服器206將安全威脅評估資料與安全威脅資料庫408相關聯以判定是否所分析封包對於伺服器204造成安全威脅。在一些實施例中,安全伺服器206可基於情形、安全及組配策略、上下文、試探碼,及/或關於伺服器204之操作之其他資訊來模擬封包(例如,在VM中)之執行。另外或替代地,安全伺服器206可將封包與各種惡意軟體(例如,病毒)特徵、白名單、黑名單及/或其他資料比較以判定是否封包安全。
在區塊716中,安全伺服器206判定是否安全威脅已經得到識別。若如此,在區塊718中,安全伺服器206判定補救操作。為了實現此舉,在區塊720中,安全伺服器206可請求來自補救伺服器208之補救判定。在此等實施例中,補救伺服器208可執行全系統(例如,基於雲)安全評估及/或另外判定待由伺服器204執行之補救操作以補救或最小化與安全威脅相關之破壞。如以上論述,在一些實施例中,補救伺服器208可與雲計算環境234中之協調器210協作以 進行此判定。若諮詢補救伺服器208,則在區塊722中,安全伺服器206可接收來自補救伺服器208之對應補救指令。在其他實施例中,補救伺服器208可將指令直接傳輸至伺服器204。當然,在一些實施例中,安全伺服器206可獨立地執行補救分析。在區塊724中,安全伺服器206可將補救指令傳輸至伺服器204。
實例
本文公開技術之示例性實例提供如下。技術之實施例可包括以下描述實例中之任何一個或多個,及任何組合。
實例1包括安全異常的分散式偵測之計算裝置,該計算裝置包括用於執行以下操作之可信賴執行環境模組:(i)與安全伺服器建立可信賴關係,(ii)響應於可信賴關係之建立來讀取虛擬網路功能之間網路或虛擬網路功能組件之間網路中之至少一者之一或多個封包,及(iii)執行一或多個封包之安全威脅評估;及向安全伺服器傳輸安全威脅評估之通訊模組。
實例2包括實例1之標的,並且其中建立可信賴關係包括與安全伺服器之對應可信賴執行環境模組建立可信賴關係。
實例3包括實例1及2中之任一者之標的,其中傳輸安全威脅評估包括經由在計算裝置之可信賴執行環境模組與安全伺服器之對應可信賴執行環境模組之間建立的帶外通訊通道,將安全威脅評估傳輸至安全伺服器之對應可 信賴執行環境模組。
實例4包括實例1-3中之任一者之標的,其中建立可信賴關係包括與安全伺服器交換加密鍵。
實例5包括實例1-4中之任一者之標的,其中建立可信賴關係包括利用計算裝置之信賴基礎或熔絲密鑰中之至少一者。
實例6包括實例1-5中之任一者之標的,其中可信賴執行環境模組進一步基於可信賴關係來建立與安全伺服器之可信賴隧道。
實例7包括實例1-6中之任一者之標的,其中建立可信賴隧道進一步包括將計算裝置之安全策略傳輸至安全伺服器。
實例8包括實例1-7中之任一者之標的,其中建立可信賴隧道進一步包括將計算裝置之試探碼傳輸至安全伺服器。
實例9包括實例1-8中之任一者之標的,其中建立可信賴隧道進一步包括接收來自安全伺服器之試探碼。
實例10包括實例1-9中之任一者之標的,其中可信賴執行環境模組進一步響應於可信賴關係之建立來啟動計算裝置。
實例11包括實例1-10中之任一者之標的,其中啟動計算裝置包括檢索計算裝置之組配策略。
實例12包括實例1-11中之任一者之標的,其中可信賴執行環境模組進一步判定計算裝置之執行時間情形; 其中執行安全威脅評估包括基於執行時間情形來執行一或多個封包之安全威脅評估。
實例13包括實例1-12中之任一者之標的,並且其中判定計算裝置之執行時間情形包括判定計算裝置之虛擬網路功能之執行時間情形。
實例14包括實例1-13中之任一者之標的,並且其中通訊模組進一步自安全伺服器接收一或多個封包之補救操作指令。
實例15包括實例1-14中之任一者之標的,並且其中可信賴執行環境模組進一步實施與補救操作指令對應之補救操作。
實例16包括藉由計算裝置之安全異常的分散式偵測之方法,該方法包括藉由計算裝置建立與安全伺服器之可信賴關係;藉由計算裝置響應於建立可信賴關係讀取虛擬網路功能之間網路或虛擬網路功能組件之間網路中之至少一者之一或多個封包;藉由計算裝置執行一或多個封包之安全威脅評估;並且藉由計算裝置將安全威脅評估傳輸至安全伺服器。
實例17包括實例16之標的,並且其中建立可信賴關係包括與安全伺服器之對應可信賴執行環境模組建立可信賴關係。
實例18包括實例16及17中之任一者之標的,其中傳輸安全威脅評估包括經由在計算裝置之可信賴執行環境模組與安全伺服器之對應可信賴執行環境模組之間建立的 帶外通訊通道,將安全威脅評估傳輸至安全伺服器之對應可信賴執行環境模組。
實例19包括實例16-18中之任一者之標的,其中建立可信賴關係包括與安全伺服器交換加密鍵。
實例20包括實例16-19中之任一者之標的,其中建立可信賴關係包括利用計算裝置之信賴基礎或熔絲密鑰中之至少一者。
實例21包括實例16-20中之任一者之標的,並且進一步包括藉由計算裝置基於可信賴關係來建立與安全伺服器之可信賴隧道。
實例22包括實例16-21中之任一者之標的,並且其中建立可信賴隧道包括將計算裝置之安全策略傳輸至安全伺服器。
實例23包括實例16-22中之任一者之標的,並且其中建立可信賴隧道包括將計算裝置之試探碼傳輸至安全伺服器。
實例24包括實例16-23中之任一者之標的,其中建立可信賴隧道包括接收來自安全伺服器之試探碼。
實例25包括實例16-24中之任一者之標的並且進一步包括響應於建立可信賴關係來啟動計算裝置。
實例26包括實例16-25中之任一者之標的,並且其中啟動計算裝置包括檢索計算裝置之組配策略。
實例27包括實例16-26中之任一者之標的,並且進一步包括藉由計算裝置判定計算裝置之執行時間情形; 並且其中執行安全威脅評估包括基於執行時間情形來執行一或多個封包之安全威脅評估。
實例28包括實例16-27中之任一者之標的,並且其中判定計算裝置之執行時間情形包括判定計算裝置之虛擬網路功能之執行時間情形。
實例29包括實例16-28中之任一者之標的,並且進一步包括藉由計算裝置自安全伺服器接收一或多個封包之補救操作指令。
實例30包括實例16-29中之任一者之標的,並且進一步包括藉由計算裝置實施與補救操作指令對應之補救操作。
實例31包括計算裝置,其包括處理器;及具有儲存在其中之複數個指令的記憶體,該等指令在由處理器執行時導致計算裝置執行實例16-30中之任一者之方法。
實例32包括一或多個機器可讀儲存媒體,其包括儲存在其上之複數個指令,該等指令響應於藉由計算裝置之執行而導致計算裝置執行實例16-30中之任一者之方法。
實例33包括安全異常的分散式偵測之計算裝置,該計算裝置包括用於與安全伺服器建立可信賴關係之構件;響應於可信賴關係之建立來讀取虛擬網路功能之間網路或虛擬網路功能組件之間網路中之至少一者之一或多個封包之構件;執行一或多個封包之安全威脅評估之構件;及向安全伺服器傳輸安全威脅評估之構件。
實例34包括實例33之標的,並且其中建立可信賴 關係之構件包括與安全伺服器之對應可信賴執行環境模組建立可信賴關係之構件。
實例35包括實例33及34中之任一者之標的,其中傳輸安全威脅評估之構件包括經由在計算裝置之可信賴執行環境模組與安全伺服器之對應可信賴執行環境模組之間建立的帶外通訊通道,將安全威脅評估傳輸至安全伺服器之對應可信賴執行環境模組之構件。
實例36包括實例33-35中之任一者之標的,其中建立可信賴關係之構件包括與安全伺服器交換加密鍵之構件。
實例37包括實例33-36中之任一者之標的,其中建立可信賴關係之構件包括利用計算裝置之信賴基礎或熔絲密鑰中之至少一者之構件。
實例38包括實例33-37中之任一者之標的,並且進一步包括基於可信賴關係來建立與安全伺服器之可信賴隧道之構件。
實例39包括實例33-38中之任一者之標的,並且其中建立可信賴隧道之構件包括將計算裝置之安全策略傳輸至安全伺服器之構件。
實例40包括實例33-39中之任一者之標的,並且其中建立可信賴隧道之構件包括將計算裝置之試探碼傳輸至安全伺服器之構件。
實例41包括實例33-40中之任一者之標的,其中建立可信賴隧道之構件包括接收來自安全伺服器之試探碼 之構件。
實例42包括實例33-41中之任一者之標的並且進一步包括響應於建立可信賴關係來啟動計算裝置之構件。
實例43包括實例33-42中之任一者之標的,並且其中啟動計算裝置之構件包括檢索計算裝置之組配策略之構件。
實例44包括實例33-43中之任一者之標的,並且進一步包括判定計算裝置之執行時間情形之構件;並且其中執行安全威脅評估之構件包括基於執行時間情形來執行一或多個封包之安全威脅評估之構件。
實例45包括實例33-44中之任一者之標的,並且其中判定計算裝置之執行時間情形之構件包括判定計算裝置之虛擬網路功能之執行時間情形之構件。
實例46包括實例33-45中之任一者之標的,並且進一步包括自安全伺服器接收一或多個封包之補救操作指令之構件。
實例47包括實例33-46中之任一者之標的,並且進一步包括實施與補救操作指令對應之補救操作之構件。
實例48包括安全異常的分散式偵測之安全伺服器,該安全伺服器包括建立與計算裝置之可信賴關係的可信賴執行環境模組;及自計算裝置接收計算裝置之虛擬網路功能之間網路或虛擬網路功能組件之間網路中之至少一者之一或多個封包之安全威脅評估的通訊模組;其中可賴信執行環境模組進一步將安全威脅評估與安全伺服器之安 全威脅資料庫相關聯以判定是否一或多個封包造成安全威脅。
實例49包括實例48之標的,並且其中建立可信賴關係包括與計算裝置之對應可信賴執行環境模組建立可信賴關係。
實例50包括實例48及49中之任一者之標的,其中接收安全威脅評估包括經由在安全伺服器之可信賴執行環境模組與計算裝置之對應可信賴執行環境模組之間建立的帶外通訊通道,接收來自計算裝置之對應可信賴執行環境模組之安全威脅評估。
實例51包括實例48-50中之任一者之標的,其中建立可信賴關係包括與計算裝置交換加密鍵。
實例52包括實例48-51中之任一者之標的,並且其中可信賴執行環境模組進一步基於可信賴關係建立與計算裝置之可信賴隧道。
實例53包括實例48-52中之任一者之標的,並且其中建立可信賴隧道進一步包括自計算裝置接收計算裝置之安全策略。
實例54包括實例48-53中之任一者之標的,其中建立可信賴隧道進一步包括自計算裝置接收計算裝置之試探碼。
實例55包括實例48-54中之任一者之標的,其中建立可信賴隧道進一步包括將試探碼傳輸至計算裝置。
實例56包括實例48-55中之任一者之標的,並 且其中可信賴執行環境模組進一步基於安全威脅評估與安全威脅資料庫之相互關係、響應於安全威脅之識別來判定補救操作。
實例57包括實例48-56中之任一者之標的,並且其中判定補救操作包括請求來自補救伺服器之補救判定;並且接收來自補救伺服器之與補救判定相關之補救指令。
實例58包括實例48-57中之任一者之標的,並且其中通訊模組進一步將補救指令傳輸至計算裝置。
實例59包括藉由安全伺服器之安全異常的分散式偵測之方法,該方法包括藉由安全伺服器建立與計算裝置之可信賴關係;藉由安全伺服器並且自計算裝置接收計算裝置之虛擬網路功能之間網路或虛擬網路功能組件之間網路中之至少一者之一或多個封包之安全威脅評估;及藉由安全伺服器將安全威脅評估與安全伺服器之安全威脅資料庫相關聯以判定是否一或多個封包造成安全威脅。
實例60包括實例59之標的,並且其中建立可信賴關係包括與計算裝置之對應可信賴執行環境模組建立可信賴關係。
實例61包括實例59及60中之任一者之標的,其中接收安全威脅評估包括經由在安全伺服器之可信賴執行環境模組與計算裝置之對應可信賴執行環境模組之間建立的帶外通訊通道,接收來自計算裝置之對應可信賴執行環境模組之安全威脅評估。
實例62包括實例59-61中之任一者之標的,其中建立可信賴關係包括與計算裝置交換加密鍵。
實例63包括實例59-62中之任一者之標的,並且進一步包括藉由安全伺服器基於可信賴關係建立與計算裝置之可信賴隧道。
實例64包括實例59-63中之任一者之標的,並且其中建立可信賴隧道進一步包括自計算裝置接收計算裝置之安全策略。
實例65包括實例59-64中之任一者之標的,其中建立可信賴隧道進一步包括自計算裝置接收計算裝置之試探碼。
實例66包括實例59-65中之任一者之標的,其中建立可信賴隧道進一步包括將試探碼傳輸至計算裝置。
實例67包括實例59-66中之任一者之標的,並且進一步包括藉由安全伺服器基於安全威脅評估與安全威脅資料庫之相互關係、響應於識別安全威脅來判定補救操作。
實例68包括實例59-67中之任一者之標的,並且其中判定補救操作包括請求來自補救伺服器之補救判定;並且接收來自補救伺服器之與補救判定相關之補救指令。
實例69包括實例59-68中之任一者之標的,並且進一步包括藉由安全伺服器將補救指令傳輸至計算裝置。
實例70包括安全伺服器,其包括處理器;及具有儲存在其中之複數個指令的記憶體,該等指令在由處理器執行時導致安全伺服器執行實例59-69中之任一者之方法。
實例71包括一或多個機器可讀儲存媒體,其包括儲存在其上之複數個指令,該等指令響應於藉由安全伺服器之執行而導致安全伺服器執行實例59-69中之任一者之方法。
實例72包括用於安全異常的分散式偵測之安全伺服器,該安全伺服器包括建立與計算裝置之可信賴關係之構件;自計算裝置接收計算裝置之虛擬網路功能之間網路或虛擬網路功能組件之間網路中之至少一者之一或多個封包之安全威脅評估之構件;及將安全威脅評估與安全伺服器之安全威脅資料庫相關聯以判定是否一或多個封包造成安全威脅之構件。
實例73包括實例72之標的,並且其中建立可信賴關係之構件包括與計算裝置之對應可信賴執行環境模組建立可信賴關係之構件。
實例74包括實例72及73中之任一者之標的,其中接收安全威脅評估之構件包括經由在安全伺服器之可信賴執行環境模組與計算裝置之對應可信賴執行環境模組之間建立的帶外通訊通道,接收來自計算裝置之對應可信賴執行環境模組之安全威脅評估之構件。
實例75包括實例72-74中之任一者之標的,其 中建立可信賴關係之構件包括與計算裝置交換加密鍵之構件。
實例76包括實例72-75中之任一者之標的,並且進一步包括基於可信賴關係來建立與計算裝置之可信賴隧道之構件。
實例77包括實例72-76中之任一者之標的,其中建立可信賴隧道之構件進一步包括自計算裝置接收計算裝置之安全策略之構件。
實例78包括實例72-77中之任一者之標的,其中建立可信賴隧道之構件進一步包括自計算裝置接收計算裝置之試探碼之構件。
實例79包括實例72-78中之任一者之標的,其中建立可信賴隧道之構件進一步包括將試探碼傳輸至計算裝置之構件。
實例80包括實例72-79中之任一者之標的,並且進一步包括基於安全威脅評估與安全威脅資料庫之相互關係、響應於安全威脅之識別來判定補救操作。
實例81包括實例72-80中之任一者之標的,並且其中判定補救操作之構件包括請求來自補救伺服器之補救判定之構件;及接收來自補救伺服器之與補救判定相關之補救指令之構件。
實例82包括實例72-81中之任一者之標的,並且進一步包括將補救指令傳輸至計算裝置之構件。
100‧‧‧系統
102‧‧‧骨幹網路系統
104‧‧‧後繼網路系統
106‧‧‧塔系統
108‧‧‧訂戶裝置

Claims (27)

  1. 一種用於安全異常的分散式偵測之計算裝置,該計算裝置包括:一可信賴執行環境模組,其可執行以下操作:(i)建立與一安全伺服器的一可信賴關係,(ii)響應於該可信賴關係之建立,從一共享記憶體讀取一虛擬網路功能組件之間網路的一或多個封包,其中該虛擬網路功能組件之間網路包括一虛擬網路功能的多個組件,該等多個組件分散於該計算裝置及一或多個其他計算裝置並且可利用該共享記憶體來彼此通訊,及(iii)執行該等一或多個封包的一安全威脅評估;及一通訊模組,其可向該安全伺服器傳輸該安全威脅評估。
  2. 如請求項1之計算裝置,其中建立該可信賴關係包括建立與該安全伺服器之一對應可信賴執行環境模組的該可信賴關係。
  3. 如請求項2之計算裝置,其中傳輸該安全威脅評估包括透過建立於該計算裝置之該可信賴執行環境模組與該安全伺服器之該對應可信賴執行環境模組之間的一帶外通訊通道,將該安全威脅評估傳輸至該安全伺服器之該對應可信賴執行環境模組。
  4. 如請求項1之計算裝置,其中建立該可信賴關係包括與該安全伺服器交換加密鍵。
  5. 如請求項1之計算裝置,其中建立該可信賴關係包括利用該計算裝置之一信賴基礎或一熔絲密鑰中之至少一者。
  6. 如請求項1之計算裝置,其中該可信賴執行環境模組可進一步基於該可信賴關係來建立與該安全伺服器的一可信賴隧道。
  7. 如請求項6之計算裝置,其中該可信賴執行環境模組可進一步將該計算裝置之一安全策略傳輸至該安全伺服器。
  8. 如請求項6之計算裝置,其中該可信賴執行環境模組可進一步將該計算裝置之試探碼傳輸至該安全伺服器。
  9. 如請求項6之計算裝置,其中該可信賴執行環境模組可進一步接收來自該安全伺服器之試探碼。
  10. 如請求項1之計算裝置,其中該可信賴執行環境模組可進一步響應於該可信賴關係之建立來啟動該計算裝置。
  11. 如請求項10之計算裝置,其中啟動該計算裝置包括檢索該計算裝置之組配策略。
  12. 如請求項1之計算裝置,其中該可信賴執行環境模組可進一步判定該計算裝置之一執行時間情形;並且其中執行該安全威脅評估包括基於該執行時間情形來執行該等一或多個封包的該安全威脅評估。
  13. 如請求項12之計算裝置,其中判定該計算裝置之該執行時間情形包括判定該計算裝置之一虛擬網路功能之一執行時間情形。
  14. 如請求項1之計算裝置,其中該通訊模組可進一步自該安全伺服器接收針對該等一或多個封包的一補救操作指令。
  15. 如請求項14之計算裝置,其中該可信賴執行環境模組可進一步實施與該補救操作指令對應的一補救操作。
  16. 如請求項1之計算裝置,其中該可信賴執行環境模組可進一步執行以下操作:執行一系統的安全威脅評估,該系統包含複數個伺服器;以及從另一計算裝置的一可信賴執行環境模組接收安全資訊,該另一計算裝置可執行該系統的一子集合的安全威脅評估。
  17. 如請求項1之計算裝置,其中讀取該等一或多個封包包括從該虛擬網路功能組件之間網路的一虛擬交換器讀取該等一或多個封包。
  18. 一種藉由計算裝置執行之安全異常的分散式偵測之方法,該方法包括:藉由該計算裝置來建立與一安全伺服器的可信賴關係;響應於建立該可信賴關係,藉由該計算裝置從一共享記憶體讀取一虛擬網路功能組件之間網路的一或多 個封包,其中該虛擬網路功能組件之間網路包括一虛擬網路功能的多個組件,該等多個組件分散於該計算裝置及一或多個其他計算裝置並且可利用該共享記憶體來彼此通訊;藉由該計算裝置來執行該等一或多個封包的一安全威脅評估;以及藉由該計算裝置將該安全威脅評估傳輸至該安全伺服器。
  19. 如請求項18之方法,其中建立該可信賴關係包括建立與該安全伺服器之一對應可信賴執行環境模組的該可信賴關係。
  20. 如請求項19之方法,其中傳輸該安全威脅評估包括透過建立於該計算裝置之該可信賴執行環境模組與該安全伺服器之該對應可信賴執行環境模組之間的一帶外通訊通道,將該安全威脅評估傳輸至該安全伺服器之該對應可信賴執行環境模組。
  21. 如請求項18之方法,其進一步包括藉由該計算裝置來判定該計算裝置之一虛擬網路功能之一執行時間情形;並且其中執行該安全威脅評估包括基於該執行時間情形來執行該等一或多個封包的該安全威脅評估。
  22. 如請求項18之方法,其進一步包括:藉由該計算裝置自該安全伺服器接收該等一或多個封包的一補救操作指令;並且 藉由該計算裝置實施與該補救操作指令對應的一補救操作。
  23. 一種用於安全異常的分散式偵測之安全伺服器,該安全伺服器包括:一可信賴執行環境模組,其可建立與一計算裝置的一可信賴關係;以及一通訊模組,其可自該計算裝置接收該計算裝置對一虛擬網路功能組件之間網路的一或多個封包所執行之一安全威脅評估,其中該虛擬網路功能組件之間網路包括一虛擬網路功能的多個組件,該等多個組件分散於該計算裝置及一或多個其他計算裝置並且可利用一共享記憶體來彼此通訊,該計算裝置從該共享記憶體讀取該等一或多個封包;其中該可信賴執行環境模組進一步將該安全威脅評估與該安全伺服器之一安全威脅資料庫相關聯,以判定該等一或多個封包是否會造成安全威脅。
  24. 如請求項23之安全伺服器,其中建立該可信賴關係包括建立與該計算裝置之一對應可信賴執行環境模組的該可信賴關係;並且其中接收該安全威脅評估包括透過建立於該安全伺服器之該可信賴執行環境模組與該計算裝置之該對應可信賴執行環境模組之間的一帶外通訊通道,從該計算裝置之該對應可信賴執行環境模組接收該安全威脅評估。
  25. 如請求項23之安全伺服器,其中該可信賴執行環境模組可進一步基於該可信賴關係來建立與該計算裝置之可信賴隧道。
  26. 如請求項23之安全伺服器,其中該可信賴執行環境模組可進一步基於該安全威脅評估與該安全威脅資料庫之相互關係,而響應於一安全威脅之識別來判定一補救操作。
  27. 如請求項26之安全伺服器,其中判定該補救操作包括:請求來自一補救伺服器之一補救判定;以及從該補救伺服器接收與該補救判定相關的一補救指令;其中該通訊模組可進一步將該補救指令傳輸至該計算裝置。
TW104128351A 2014-09-30 2015-08-28 用於安全異常的分散式偵測之技術 TWI606711B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201462058096P 2014-09-30 2014-09-30
US14/513,140 US9705849B2 (en) 2014-09-30 2014-10-13 Technologies for distributed detection of security anomalies

Publications (2)

Publication Number Publication Date
TW201626773A TW201626773A (zh) 2016-07-16
TWI606711B true TWI606711B (zh) 2017-11-21

Family

ID=55585738

Family Applications (2)

Application Number Title Priority Date Filing Date
TW106131452A TWI712291B (zh) 2014-09-30 2015-08-28 用於安全異常的分散式偵測之技術(二)
TW104128351A TWI606711B (zh) 2014-09-30 2015-08-28 用於安全異常的分散式偵測之技術

Family Applications Before (1)

Application Number Title Priority Date Filing Date
TW106131452A TWI712291B (zh) 2014-09-30 2015-08-28 用於安全異常的分散式偵測之技術(二)

Country Status (7)

Country Link
US (2) US9705849B2 (zh)
EP (3) EP3202096B1 (zh)
JP (1) JP6359766B2 (zh)
KR (1) KR101992547B1 (zh)
CN (1) CN106716952B (zh)
TW (2) TWI712291B (zh)
WO (1) WO2016053514A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11251976B2 (en) 2019-02-26 2022-02-15 Advanced New Technologies Co., Ltd. Data security processing method and terminal thereof, and server

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9578664B1 (en) 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
US9705849B2 (en) * 2014-09-30 2017-07-11 Intel Corporation Technologies for distributed detection of security anomalies
US10303879B1 (en) * 2014-11-06 2019-05-28 Amazon Technologies, Inc. Multi-tenant trusted platform modules
US10496974B2 (en) * 2015-03-25 2019-12-03 Intel Corporation Secure transactions with connected peripherals
CN104899524B (zh) * 2015-05-25 2018-11-27 上海兆芯集成电路有限公司 中央处理器和验证主机板数据的方法
US9686240B1 (en) 2015-07-07 2017-06-20 Sprint Communications Company L.P. IPv6 to IPv4 data packet migration in a trusted security zone
US9749294B1 (en) 2015-09-08 2017-08-29 Sprint Communications Company L.P. System and method of establishing trusted operability between networks in a network functions virtualization environment
US10628764B1 (en) * 2015-09-15 2020-04-21 Synack, Inc. Method of automatically generating tasks using control computer
US10542115B1 (en) 2015-10-01 2020-01-21 Sprint Communications Company L.P. Securing communications in a network function virtualization (NFV) core network
US9811686B1 (en) 2015-10-09 2017-11-07 Sprint Communications Company L.P. Support systems interactions with virtual network functions in a trusted security zone
US9781016B1 (en) 2015-11-02 2017-10-03 Sprint Communications Company L.P. Dynamic addition of network function services
US10135702B2 (en) 2015-11-12 2018-11-20 Keysight Technologies Singapore (Holdings) Pte. Ltd. Methods, systems, and computer readable media for testing network function virtualization (NFV)
US9967165B2 (en) * 2015-12-07 2018-05-08 Keysight Technologies Singapore (Holdings) Pte. Ltd. Methods, systems, and computer readable media for packet monitoring in a virtual environment
US20180034843A1 (en) * 2016-07-29 2018-02-01 Rohde & Schwarz Gmbh & Co. Kg Method and apparatus for testing a security of communication of a device under test
US20180088977A1 (en) * 2016-09-28 2018-03-29 Mark Gray Techniques to determine and mitigate latency in virtual environments
US10250498B1 (en) 2016-10-03 2019-04-02 Sprint Communications Company L.P. Session aggregator brokering of data stream communication
KR20180071679A (ko) * 2016-12-20 2018-06-28 삼성전자주식회사 사용자 단말 장치 및 그의 제어 방법
WO2018122051A1 (en) * 2016-12-30 2018-07-05 British Telecommunications Public Limited Company Attack signature generation
US11658996B2 (en) * 2016-12-30 2023-05-23 British Telecommunications Public Limited Company Historic data breach detection
US11582248B2 (en) 2016-12-30 2023-02-14 British Telecommunications Public Limited Company Data breach protection
US10691514B2 (en) * 2017-05-08 2020-06-23 Datapipe, Inc. System and method for integration, testing, deployment, orchestration, and management of applications
US10567359B2 (en) * 2017-07-18 2020-02-18 International Business Machines Corporation Cluster of secure execution platforms
US10348488B1 (en) 2017-08-25 2019-07-09 Sprint Communications Company L.P. Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network
US10944650B2 (en) * 2018-03-29 2021-03-09 Fortinet, Inc. Programmable, policy-based efficient wireless sniffing networks in WIPS (wireless intrusion prevention systems)
US11157952B2 (en) * 2018-04-30 2021-10-26 Affle (India) Limited Method and system for creating decentralized repository of fraud IPs and publishers using blockchain
WO2019227483A1 (en) * 2018-06-01 2019-12-05 Huawei Technologies Co., Ltd. Multiple server-architecture cluster for providing a virtual network function
US11398968B2 (en) 2018-07-17 2022-07-26 Keysight Technologies, Inc. Methods, systems, and computer readable media for testing virtualized network functions and related infrastructure
US10826943B2 (en) * 2018-08-21 2020-11-03 At&T Intellectual Property I, L.P. Security controller
US11263318B2 (en) * 2018-11-05 2022-03-01 Red Hat, Inc. Monitoring a process in a trusted execution environment to identify a resource starvation attack
EP3906508B1 (en) * 2018-12-31 2024-03-13 Intel Corporation Securing systems employing artificial intelligence
CN110034925B (zh) * 2019-01-07 2022-03-01 创新先进技术有限公司 跨机房可信计算集群形成及通信方法和装置
US11297100B2 (en) 2019-01-14 2022-04-05 Red Hat, Inc. Concealed monitor communications from a task in a trusted execution environment
US11023591B2 (en) * 2019-01-14 2021-06-01 Nxp B.V. Data processing system having distributed security controller with local control and method for securing the data processing system
US11128670B2 (en) * 2019-02-26 2021-09-21 Oracle International Corporation Methods, systems, and computer readable media for dynamically remediating a security system entity
US11431732B2 (en) * 2019-07-04 2022-08-30 Check Point Software Technologies Ltd. Methods and system for packet control and inspection in containers and meshed environments
EP4005183A4 (en) * 2019-11-08 2022-08-17 Samsung Electronics Co., Ltd. METHOD AND ELECTRONIC DEVICE FOR DETERMINING A SECURITY THREAT IN A RADIO ACCESS NETWORK
US11323354B1 (en) 2020-10-09 2022-05-03 Keysight Technologies, Inc. Methods, systems, and computer readable media for network testing using switch emulation
US11483227B2 (en) 2020-10-13 2022-10-25 Keysight Technologies, Inc. Methods, systems and computer readable media for active queue management
US11847205B1 (en) 2020-10-26 2023-12-19 T-Mobile Innovations Llc Trusted 5G network function virtualization of virtual network function elements embedded on a system-on-chip
US11949583B2 (en) * 2022-04-28 2024-04-02 Hewlett Packard Enterprise Development Lp Enforcing reference operating state compliance for cloud computing-based compute appliances
CN115134158B (zh) * 2022-07-04 2023-05-23 海南大学 充电桩云平台的访问管理方法和装置
US11853254B1 (en) 2022-10-07 2023-12-26 Keysight Technologies, Inc. Methods, systems, and computer readable media for exposing data processing unit (DPU) traffic in a smartswitch

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7096502B1 (en) * 2000-02-08 2006-08-22 Harris Corporation System and method for assessing the security posture of a network
WO2002003220A2 (en) * 2000-07-05 2002-01-10 Ernst & Young Llp Method and apparatus for providing computer services
US20120023572A1 (en) * 2010-07-23 2012-01-26 Q-Track Corporation Malicious Attack Response System and Associated Method
US7190678B2 (en) * 2002-10-28 2007-03-13 Cisco Technology, Inc. Arrangement for router attachments between roaming mobile routers in a clustered network
US7496818B1 (en) * 2003-02-27 2009-02-24 Marvell International Ltd. Apparatus and method for testing and debugging an integrated circuit
US7941855B2 (en) * 2003-04-14 2011-05-10 New Mexico Technical Research Foundation Computationally intelligent agents for distributed intrusion detection system and method of practicing same
KR20040102496A (ko) 2003-05-28 2004-12-08 (주)에이치인포메이션 오디오신호 출력 기능을 갖는 키버튼을 이용한 모바일게임시스템 및 방법
US8087057B2 (en) * 2004-04-28 2011-12-27 Echostar Technologies L.L.C. Television converter device including an internet protocol interface
KR100669240B1 (ko) * 2004-12-07 2007-01-15 한국전자통신연구원 평가규칙표기언어를 이용한 IPv6 네트워크 계층의보안성 평가 시스템 및 방법
US20070266433A1 (en) * 2006-03-03 2007-11-15 Hezi Moore System and Method for Securing Information in a Virtual Computing Environment
US20070271453A1 (en) * 2006-05-19 2007-11-22 Nikia Corporation Identity based flow control of IP traffic
US7793110B2 (en) * 2006-05-24 2010-09-07 Palo Alto Research Center Incorporated Posture-based data protection
US20140173731A1 (en) * 2007-07-27 2014-06-19 Redshift Internetworking, Inc. System and Method for Unified Communications Threat Management (UCTM) for Converged Voice, Video and Multi-Media Over IP Flows
US9369299B2 (en) * 2008-06-10 2016-06-14 Bradford Networks, Inc. Network access control system and method for devices connecting to network using remote access control methods
US8087067B2 (en) * 2008-10-21 2011-12-27 Lookout, Inc. Secure mobile platform system
EP2966888A1 (en) * 2009-03-05 2016-01-13 Interdigital Patent Holdings, Inc. Method and apparatus for h(e)nb integrity verification and validation
US20110161452A1 (en) * 2009-12-24 2011-06-30 Rajesh Poornachandran Collaborative malware detection and prevention on mobile devices
US9215236B2 (en) * 2010-02-22 2015-12-15 Avaya Inc. Secure, policy-based communications security and file sharing across mixed media, mixed-communications modalities and extensible to cloud computing such as SOA
US8392344B2 (en) * 2010-07-14 2013-03-05 Domanicom Corp. Systems, devices, and methods for providing multiple services to premises over communication networks
US8010992B1 (en) * 2010-07-14 2011-08-30 Domanicom Corp. Devices, systems, and methods for providing increased security when multiplexing one or more services at a customer premises
US9117083B2 (en) * 2011-02-14 2015-08-25 Blackberry Limited Managing booting of secure devices with untrusted software
JP5618886B2 (ja) * 2011-03-31 2014-11-05 株式会社日立製作所 ネットワークシステムおよび計算機振り分け装置、計算機振り分け方法
US9161249B1 (en) * 2011-07-07 2015-10-13 Symantec Corporation Systems and methods for performing internet site security analyses
US9767840B2 (en) * 2011-08-18 2017-09-19 Apple Inc. Securing protected content during video playback
US9317689B2 (en) * 2012-06-15 2016-04-19 Visa International Service Association Method and apparatus for secure application execution
US20140137188A1 (en) * 2012-11-14 2014-05-15 Domanicom Corporation Devices, systems, and methods for simultaneously delivering personalized/ targeted services and advertisements to end users
US20140270177A1 (en) * 2013-03-15 2014-09-18 Ernie Brickell Hardening inter-device secure communication using physically unclonable functions
US8955144B2 (en) * 2013-06-28 2015-02-10 Intel Corporation Protecting information processing system secrets from debug attacks
US9460286B1 (en) * 2013-12-19 2016-10-04 Amdocs Software Systems Limited System, method, and computer program for managing security in a network function virtualization (NFV) based communication network
CN103763309B (zh) * 2013-12-31 2018-03-30 曙光云计算集团有限公司 基于虚拟网络的安全域控制方法和系统
US9400885B2 (en) * 2014-01-10 2016-07-26 Bitdefender IPR Management Ltd. Computer security systems and methods using virtualization exceptions
US9473567B2 (en) * 2014-08-20 2016-10-18 At&T Intellectual Property I, L.P. Virtual zones for open systems interconnection layer 4 through layer 7 services in a cloud computing system
US9367343B2 (en) * 2014-08-29 2016-06-14 Red Hat Israel, Ltd. Dynamic batch management of shared buffers for virtual machines
US9705849B2 (en) * 2014-09-30 2017-07-11 Intel Corporation Technologies for distributed detection of security anomalies
US9560078B2 (en) * 2015-02-04 2017-01-31 Intel Corporation Technologies for scalable security architecture of virtualized networks
JP6449487B2 (ja) * 2015-04-30 2019-01-09 ホアウェイ・テクノロジーズ・カンパニー・リミテッド ソフトウェアセキュリティ検証方法、デバイス、およびシステム
US9578008B2 (en) * 2015-05-11 2017-02-21 Intel Corporation Technologies for secure bootstrapping of virtual network functions
US9742790B2 (en) * 2015-06-16 2017-08-22 Intel Corporation Technologies for secure personalization of a security monitoring virtual network function
US9825982B1 (en) * 2016-04-29 2017-11-21 Ciena Corporation System and method for monitoring network vulnerabilities
US20180341494A1 (en) * 2017-05-26 2018-11-29 Intel Corporation Accelerating network security monitoring

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11251976B2 (en) 2019-02-26 2022-02-15 Advanced New Technologies Co., Ltd. Data security processing method and terminal thereof, and server

Also Published As

Publication number Publication date
KR101992547B1 (ko) 2019-06-24
JP6359766B2 (ja) 2018-07-18
US10469451B2 (en) 2019-11-05
EP3202096A4 (en) 2018-06-06
US9705849B2 (en) 2017-07-11
EP3745653C0 (en) 2023-09-06
EP4246896A2 (en) 2023-09-20
TWI712291B (zh) 2020-12-01
EP3745653A1 (en) 2020-12-02
US20160094573A1 (en) 2016-03-31
EP3202096A1 (en) 2017-08-09
KR20170038190A (ko) 2017-04-06
JP2017534106A (ja) 2017-11-16
CN106716952A (zh) 2017-05-24
TW201626773A (zh) 2016-07-16
US20170111382A1 (en) 2017-04-20
EP3202096B1 (en) 2022-05-11
EP4246896A3 (en) 2023-12-20
EP3745653B1 (en) 2023-09-06
WO2016053514A1 (en) 2016-04-07
CN106716952B (zh) 2020-11-10
TW201824837A (zh) 2018-07-01

Similar Documents

Publication Publication Date Title
TWI606711B (zh) 用於安全異常的分散式偵測之技術
US11533341B2 (en) Technologies for scalable security architecture of virtualized networks
USRE48411E1 (en) Technologies for secure inter-virtual network function communication
US10367840B2 (en) Technologies for secure personalization of a security monitoring virtual network function
CN108351937B (zh) 计算设备
US20070150559A1 (en) Method and apparatus for dynamic provisioning of an access control policy in a controller hub
CN112491545A (zh) 一种可信的混合云管理平台、接入方法及系统
Zhou et al. All your VMs are disconnected: Attacking hardware virtualized network
US20240179122A1 (en) Method and system for managing traffic packets
Varghese et al. Trust Assessment Policy Manager in Cloud Computing-Cloud Service Provider's Perspective

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees