软件定义网络中的异常检测制造技术

通信系统的网络装置基于分组特征对包含分组的流量流进行分类(201)。网络装置向集群节点提供(202)流量流中包含的分组的副本，并且控制集群节点基于分组的特征来选择(203)至少一个检测器节点并且向所选择的检测器节点转发(204)所述副本以基于所述副本查明分组是否是恶意的。响应于从检测器节点接收(207)关于流量流的流指示，网络装置控制(209)交换节点对流量流执行(210)至少一个流控制动作，该动作包括流移除、流修改和流安装中的一个或多个。

Anomaly Detection in Software Definition Networks

Network devices of communication systems classify traffic flows containing packets based on packet characteristics (201). The network device provides a copy of the packet contained in (202) traffic flow to the cluster node, and controls the cluster node to select (203) at least one detector node based on the characteristics of the packet and forward (204) the copy to the selected detector node to find out whether the packet is malicious based on the copy. In response to receiving (207) flow instructions on traffic flow from the detector node, the network device control (209) switching node performs (210) at least one flow control action on traffic flow, which includes one or more of the flow removal, flow modification and flow installation.

【技术实现步骤摘要】
【国外来华专利技术】软件定义网络中的异常检测
本专利技术涉及通信。
技术介绍
诸如云计算等新网络技术带来了新的安全挑战。在云计算基础设施中，安全威胁及其检测和防御机制几乎与常规网络中的那些类似。但是，将这些机制应用于诸如软件定义网络(SDN)和网络功能虚拟化(NFV)等新的元素是一项挑战。虽然诸如安全区域和分组、通过虚拟机(VM)隔离应用程序和许可等不同的解决方案可以用于这些元素，但是网络中仍然需要入侵检测系统(IDS)作为防御解决方案。IDS实时地监测网络流量，并且将所接收的分组模式与已知模式进行比较以检测网络流量中的异常情况。
技术实现思路
根据一个方面，提供了独立权利要求的主题。在从属权利要求中限定了实施例。在附图和以下描述中更详细地阐述了实施方式的一个或多个示例。根据说明书和附图以及权利要求，其他特征将是显而易见的。附图说明在下文中，将参考附图借助于优选实施例更详细地描述本专利技术，其中图1示出了可以应用本专利技术的实施例的无线通信系统；图2和3示出了根据本专利技术的实施例的异常检测过程的信令图；图4是示出根据第一示例性实施例的异常检测的示意图；图5是示出根据第一示例性实施例的异常检测的流程图；图6是示出根据第二示例性实施例的异常检测的示意图；图7是示出根据第二示例性实施例的异常检测的流程图；图8、9、10、11、12、13、14和15示出了示例性实施例；图16示出了根据实施例的装置的框图。具体实施方式下面的实施例是示例性的。虽然说明书可以在若干位置提及“一”、“一个”或“一些”实施例，但是这并不一定表示每个这样的引用都是针对相同的实施例，或者该特征仅适用于单个实施例。不同实施例的单个特征还可以被组合以提供其他实施例。此外，词语“包含”和“包括”应当被理解为不将所描述的实施例限制为仅由已经提到的那些特征组成，并且这些实施例还可以包含未具体提及的特征/结构。所描述的实施例可以在无线电系统中实现，诸如在以下中的至少一个中：基于基本宽带码分多址(W-CDMA)的通用移动电信系统(UMTS，3G)、高速分组接入(HSPA)、长期演进(LTE)、高级LTE和/或5G系统。然而，本实施例不限于这些系统。然而，实施例不限于作为示例给出的系统，但是本领域技术人员可以将该解决方案应用于具有必要属性的其他通信系统。合适的通信系统的一个示例是5G系统，如上面所列出的。假定5G中的网络架构将与高级LTE的网络架构非常相似。5G可能使用多输入多输出(MIMO)天线，比LTE的当前网络部署(所谓的小小区概念)更多的基站或节点，包括与较小的局域接入节点协同操作的宏站点并且可能还采用各种无线电技术以获取更好的覆盖范围和增强的数据速率。5G可能包含多种无线电接入技术(RAT)，每种技术都针对某些用例和/或频谱进行了优化。应当理解，未来的网络将最有可能利用网络功能虚拟化(NFV)，NFV是一种网络架构概念，其提出将网络节点功能虚拟化为“构建块”或可以在操作上连接或链接在一起以提供服务的实体。虚拟化网络功能(VNF)可以包括使用标准或通用类型服务器而不是定制硬件来运行计算机程序代码的一个或多个虚拟机。还可以使用云计算或云数据存储。在无线电通信中，这可以表示节点操作要至少部分在可操作地耦合到远程无线电头端的服务器、主机或节点中执行。节点操作还可以被分布在多个服务器、节点或主机之间。还应当理解，核心网络操作与基站操作之间的劳动分配可以与LTE的不同，甚至不存在。可能要使用的其他一些技术进步是软件定义网络(SDN)、大数据和全IP，这可能会改变网络被构建和管理的方式。图1示出了可以应用本专利技术的实施例的蜂窝通信系统的示例。诸如第三代合作伙伴项目(3GPP)的长期演进(LTE)、高级LTE(LTE-A)或预测的未来5G解决方案等蜂窝无线电通信网络通常由提供小区100的至少一个网络元件(诸如网络元件110)组成。每个小区可以是例如宏小区、微小区、毫微微小区或微微小区。网络元件110可以是如LTE和LTE-A中的演进节点B(eNB)、或者能够控制无线电通信和管理小区内的无线电资源的任何其他装置。对于5G解决方案，实施方式可以类似于LTE-A，如上所述。网络元件110可以被称为基站或接入节点。蜂窝通信系统可以由网络元件110、112、114(例如，eNB)的无线电接入网络组成，每个网络元件控制相应的小区100、102、104。网络元件110至114各自可以控制宏小区100至104来为终端设备120提供广域覆盖。网络元件110至114也可以被称为接入节点，因为它们为终端设备120提供对诸如互联网的其他网络的无线接入。另外，一个或多个局域接入节点116可以被布置在控制宏小区100至104的网络元件110、112、114的控制区域内。局域接入节点116可以在子小区106内提供无线接入，子小区106可以被包括在宏小区100内。子小区的示例可以包括微小区、微微小区和/或毫微微小区。通常，子小区在宏小区内提供热点。局域接入节点116的操作可以由网络元件110控制，在网络元件110的控制区域下提供有子小区。网络元件110和其他网络元件112至116可以支持双连接(DC)，其中终端设备120已经与和主eNB网络元件和辅eNB网络元件相关联的小区建立了多个连接。网络元件110可以采用载波聚合，其中终端设备112被分配有来自多个分量载波的资源，多个分量载波可以在连续频带上或在非连续频带上。一个网络元件110可以提供一个分量载波，例如，主分量载波，而另一网络元件116可以提供另一分量载波，例如，辅分量载波。操作主分量载波的网络元件110可以在所有分量载波上执行资源调度，或者每个网络元件110、116可以控制其操作的分量载波的调度。或者，网络元件110可以提供一个分量载波(例如，主分量载波)以及另一分量载波(例如，辅分量载波)。在通信网络中的多个eNB的情况下，eNB可以利用如在LTE中指定的X2接口彼此连接。网络元件之间的其他通信方法也是可能的。网络元件110至116还可以经由S1接口被连接到演进分组核心(EPC)130，更具体地，连接到移动性管理实体(MME)132和系统架构演进网关(SAE-GW)134。图1的无线电系统可以支持机器类型通信(MTC)。MTC可以使得能够为大量具有MTC能力的设备(诸如至少一个终端设备120)提供服务。至少一个终端设备120可以包括移动电话、智能电话、平板电脑、膝上型电脑以及用于与诸如MTC网络等无线电通信网络的用户通信的其他设备。与MTC方案相比，这些设备可以提供进一步的功能，诸如用于语音、视频和/或数据传输的通信链路。然而，在MTC的角度来说，至少一个终端设备120可以被理解为MTC设备。至少一个终端设备120还可以包括另一具有MTC能力的设备，仅举几个示例，诸如提供位置、加速度和/或温度信息的传感器设备。IDS设备被设计为实时处理网络流量；然而，成本和高处理时间对于处理流量负载来说是挑战。将SDN的动态性和可编程性与IDS的流量过滤相结合为移动网络运营商支持可伸缩、冗余和可靠的异常检测。移动网络正朝着具有可编程和自适应特性的云计算演进。这带来了额外的安全挑战并且增加了安全攻击面。由于SDN的可编程性，如果攻击者获得对SDN控制器的访问权，则攻击者可以利本文档来自技高网...

【技术保护点】
1.一种方法，包括在网络设备中执行以下步骤：基于分组特征对包含分组的流量流进行分类；向集群节点提供流量流中包含的分组的副本；控制所述集群节点基于所述分组的所述特征来选择至少一个检测器节点，并且向所选择的所述检测器节点转发所述副本以基于所述副本来查明所述分组是否是恶意的；以及响应于从所述检测器节点接收关于所述流量流的流指示，控制交换节点对所述流量流执行至少一个流控制动作，所述动作包括流移除、流修改和流安装中的一个或多个。

【技术特征摘要】
【国外来华专利技术】2016.08.10 EP EP161835151.一种方法，包括在网络设备中执行以下步骤：基于分组特征对包含分组的流量流进行分类；向集群节点提供流量流中包含的分组的副本；控制所述集群节点基于所述分组的所述特征来选择至少一个检测器节点，并且向所选择的所述检测器节点转发所述副本以基于所述副本来查明所述分组是否是恶意的；以及响应于从所述检测器节点接收关于所述流量流的流指示，控制交换节点对所述流量流执行至少一个流控制动作，所述动作包括流移除、流修改和流安装中的一个或多个。2.一种方法，包括在网络设备中执行以下步骤：从交换节点获取流量流中包含的分组的副本；检查分组特征；基于所述分组特征，在一个或多个检测器节点中选择至少一个检测器节点，所述至少一个检测器节点能够基于所述副本来检查所述分组是否是恶意的；以及向所选择的所述检测器节点转发所述副本以用于检查所述分组是否是恶意的。3.一种方法，包括在网络设备中执行以下步骤：经由集群节点从交换节点获取分组的副本；基于所述副本来检查所述分组是否是恶意的；以及如果基于所述检查而检测到所述分组是恶意的，则向控制节点指示对应的流量流。4.一种方法，包括在网络设备中执行以下步骤：基于分组特征对包含分组的流量流进行分类；向集群节点提供流量流的样本；针对所述样本的特征，从所述集群节点接收关于在所述集群节点中选择的一个或多个检测器节点的信息；控制交换节点基于从所述集群节点提取的规则来向所选择的所述检测器节点转发所述流量流以查明所述流量流中包含的分组是否是恶意的；以及响应于从所述检测器节点接收到关于所述流量流的流指示，控制所述交换节点对所述流量流执行至少一个流控制动作，所述动作包括流移除、流修改和流安装中的一个或多个。5.一种方法，包括在网络设备中执行以下步骤：从交换节点获取流量流的样本；检查所述样本的特征；基于所述检查，在一个或多个检测器节点中选择能够检查分组是否是恶意的至少一个检测器...

【专利技术属性】
技术研发人员：M·蒙氏扎德，V·卡特里，K·K·哈托尼，A·卡里欧拉，
申请(专利权)人：诺基亚通信公司，
类型：发明
国别省市：芬兰,FI