Network devices of communication systems classify traffic flows containing packets based on packet characteristics (201). The network device provides a copy of the packet contained in (202) traffic flow to the cluster node, and controls the cluster node to select (203) at least one detector node based on the characteristics of the packet and forward (204) the copy to the selected detector node to find out whether the packet is malicious based on the copy. In response to receiving (207) flow instructions on traffic flow from the detector node, the network device control (209) switching node performs (210) at least one flow control action on traffic flow, which includes one or more of the flow removal, flow modification and flow installation.
【技术实现步骤摘要】
【国外来华专利技术】软件定义网络中的异常检测
本专利技术涉及通信。
技术介绍
诸如云计算等新网络技术带来了新的安全挑战。在云计算基础设施中,安全威胁及其检测和防御机制几乎与常规网络中的那些类似。但是,将这些机制应用于诸如软件定义网络(SDN)和网络功能虚拟化(NFV)等新的元素是一项挑战。虽然诸如安全区域和分组、通过虚拟机(VM)隔离应用程序和许可等不同的解决方案可以用于这些元素,但是网络中仍然需要入侵检测系统(IDS)作为防御解决方案。IDS实时地监测网络流量,并且将所接收的分组模式与已知模式进行比较以检测网络流量中的异常情况。
技术实现思路
根据一个方面,提供了独立权利要求的主题。在从属权利要求中限定了实施例。在附图和以下描述中更详细地阐述了实施方式的一个或多个示例。根据说明书和附图以及权利要求,其他特征将是显而易见的。附图说明在下文中,将参考附图借助于优选实施例更详细地描述本专利技术,其中图1示出了可以应用本专利技术的实施例的无线通信系统;图2和3示出了根据本专利技术的实施例的异常检测过程的信令图;图4是示出根据第一示例性实施例的异常检测的示意图;图5是示出根据第一示例性实施例的异常检测的流程图;图6是示出根据第二示例性实施例的异常检测的示意图;图7是示出根据第二示例性实施例的异常检测的流程图;图8、9、10、11、12、13、14和15示出了示例性实施例;图16示出了根据实施例的装置的框图。具体实施方式下面的实施例是示例性的。虽然说明书可以在若干位置提及“一”、“一个”或“一些”实施例,但是这并不一定表示每个这样的引用都是针对相同的实施例,或者该特征仅适用于单个实施例。不 ...
【技术保护点】
1.一种方法,包括在网络设备中执行以下步骤:基于分组特征对包含分组的流量流进行分类;向集群节点提供流量流中包含的分组的副本;控制所述集群节点基于所述分组的所述特征来选择至少一个检测器节点,并且向所选择的所述检测器节点转发所述副本以基于所述副本来查明所述分组是否是恶意的;以及响应于从所述检测器节点接收关于所述流量流的流指示,控制交换节点对所述流量流执行至少一个流控制动作,所述动作包括流移除、流修改和流安装中的一个或多个。
【技术特征摘要】
【国外来华专利技术】2016.08.10 EP EP161835151.一种方法,包括在网络设备中执行以下步骤:基于分组特征对包含分组的流量流进行分类;向集群节点提供流量流中包含的分组的副本;控制所述集群节点基于所述分组的所述特征来选择至少一个检测器节点,并且向所选择的所述检测器节点转发所述副本以基于所述副本来查明所述分组是否是恶意的;以及响应于从所述检测器节点接收关于所述流量流的流指示,控制交换节点对所述流量流执行至少一个流控制动作,所述动作包括流移除、流修改和流安装中的一个或多个。2.一种方法,包括在网络设备中执行以下步骤:从交换节点获取流量流中包含的分组的副本;检查分组特征;基于所述分组特征,在一个或多个检测器节点中选择至少一个检测器节点,所述至少一个检测器节点能够基于所述副本来检查所述分组是否是恶意的;以及向所选择的所述检测器节点转发所述副本以用于检查所述分组是否是恶意的。3.一种方法,包括在网络设备中执行以下步骤:经由集群节点从交换节点获取分组的副本;基于所述副本来检查所述分组是否是恶意的;以及如果基于所述检查而检测到所述分组是恶意的,则向控制节点指示对应的流量流。4.一种方法,包括在网络设备中执行以下步骤:基于分组特征对包含分组的流量流进行分类;向集群节点提供流量流的样本;针对所述样本的特征,从所述集群节点接收关于在所述集群节点中选择的一个或多个检测器节点的信息;控制交换节点基于从所述集群节点提取的规则来向所选择的所述检测器节点转发所述流量流以查明所述流量流中包含的分组是否是恶意的;以及响应于从所述检测器节点接收到关于所述流量流的流指示,控制所述交换节点对所述流量流执行至少一个流控制动作,所述动作包括流移除、流修改和流安装中的一个或多个。5.一种方法,包括在网络设备中执行以下步骤:从交换节点获取流量流的样本;检查所述样本的特征;基于所述检查,在一个或多个检测器节点中选择能够检查分组是否是恶意的至少一个检测器...
【专利技术属性】
技术研发人员:M·蒙氏扎德,V·卡特里,K·K·哈托尼,A·卡里欧拉,
申请(专利权)人:诺基亚通信公司,
类型:发明
国别省市:芬兰,FI
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。