本申請要求于2014年10月13日提交的題為“TECHNOLOGIES FOR DISTRIBUTED DETECTION OF SECURITY ANOMOLIES(用于對安全異常進行分布式檢測的技術)”美國實用新型專利申請序列號14/513,140的優(yōu)先權，并根據(jù)35U.S.C.§119(e)要求于2014年9月30日提交的題為“TECHNOLOGIES FOR DISTRIBUTED DETECTION OF SECURITY ANOMOLIES(用于對安全異常進行分布式檢測的技術)”的美國臨時申請序列號62/058,096的優(yōu)先權。

背景技術：

各種技術規(guī)范定義了網(wǎng)絡工作的方式并且服務由世界范圍的網(wǎng)絡運營商和服務提供商部署和管理。例如，規(guī)范定義了使用虛擬化平臺來遞送服務并且經(jīng)常服務內(nèi)的組成部分可以“鏈接”在一起。這種技術規(guī)范包括例如針對網(wǎng)絡功能虛擬化的歐洲電信標準學會的標準(ETSI NFV)。當網(wǎng)絡運營商在如由ETSI NFV當前定義的虛擬網(wǎng)絡功能模型上運行網(wǎng)絡功能和服務時，傳統(tǒng)上可用于物理聯(lián)網(wǎng)系統(tǒng)的很好定義的接口不再可用于流分組之間的分析。這樣，用于確保威脅被檢測到并作出響應以便例如防止訂戶訪問為具有較高特權級別的訂戶保留的關于網(wǎng)絡功能的服務的系統(tǒng)能力可以被顯著地抑制。

附圖說明

在附圖中，以示例的方式而非限制的方式來展示在本文中所描述的概念。為了說明的簡單和清晰起見，在附圖中所展示的元件不一定按比例繪制。在認為適當?shù)那闆r下，在附圖當中重復參考標號以表示相應或相似的元件。

圖1是一種用于對安全異常進行分布式檢測的系統(tǒng)的至少一個實施例的簡化框圖；

圖2是圖1的系統(tǒng)的主干網(wǎng)絡系統(tǒng)的至少一個實施例的簡化框圖；

圖3是圖2的主干網(wǎng)絡系統(tǒng)的服務器的至少一個實施例的簡化框圖；

圖4是圖3的服務器的環(huán)境的至少一個實施例的簡化框圖；

圖5至圖6是一種可由圖2的服務器執(zhí)行的用于對安全異常進行分布式檢測的方法的至少一個實施例的簡化流程圖；并且

圖7是一種可由圖2的安全服務器執(zhí)行的用于對安全異常進行分布式檢測的方法的至少一個實施例的簡化流程圖。

具體實施方式

雖然本公開的概念易于經(jīng)歷各種修改和替代形式，但是在附圖中已經(jīng)通過示例的方式來示出了其特定實施例并且將在本文中詳細地對其進行描述。然而，應當理解的是，并不旨在將本公開的概念限制于所公開的特定形式，而相反，意圖是覆蓋與本公開和所附權利要求書一致的所有修改型式、等效型式和替代型式。

在說明書中提到的“一個實施例”、“實施例”、“說明性施例”等指示所描述的實施例可以包括特定特征、結(jié)構或特性，但每一個實施例可能或者可能不一定包括該特定特征、結(jié)構或特性。此外，這種短語不一定指相同的實施例。此外，當關于實施例而描述了特定特征、結(jié)構或特性時，所認為的是，無論是否進行了明確描述，關于其他實施例來實現(xiàn)這種特征、結(jié)構或特性都在本領域技術人員的知識內(nèi)。另外，應當認識到，包括在采用“至少一個A、B和C”形式的列表中的項可意指(A)；(B)；(C)；(A和B)；(B和C)；(A和C)；或(A、B和C)。類似地，采用“A、B或C中的至少一者”形式列出的項可意指(A)；(B)；(C)；(A和B)；(B和C)；(A和C)；或(A、B和C)。

在一些情況下，可以在硬件、固件、軟件或其任意組合中實現(xiàn)所公開的實施例。所公開的實施例還可以被實現(xiàn)為一個或多個瞬態(tài)或非瞬態(tài)機器可讀(例如，計算機可讀)存儲介質(zhì)所攜帶或其上所存儲的指令，這些指令可以由一個或多個處理器讀取和執(zhí)行。機器可讀存儲介質(zhì)可以具體化為任何存儲設備、機制、或用于存儲或傳輸采用機器可讀形式的信息的其他物理結(jié)構(例如，易失性或非易失性存儲器、介質(zhì)盤或其他介質(zhì)設備)。

在附圖中，一些結(jié)構或方法特征可能以具體安排和/或順序示出。然而，應當理解的是，可以不需要這樣的具體安排和/或順序。相反，在一些實施例中，可以采用不同于在說明性圖中所示出的方式和/或順序來安排這種特征。另外，在具體的圖中包括結(jié)構性特征或方法特征并不意味著暗示在所有的實施例中都需要這個特征，并且在一些實施例中，可以不包括這個特征或者這個特征可以與其他特征組合。

現(xiàn)在參照圖1，一種用于對安全異常進行分布式檢測的系統(tǒng)100說明性地包括主干網(wǎng)絡系統(tǒng)102、回程網(wǎng)絡系統(tǒng)104、一個或多個塔式系統(tǒng)106、以及一個或多個用戶設備108。在說明性實施例中，用戶設備108借助于塔式系統(tǒng)106與回程網(wǎng)絡系統(tǒng)104進行通信，并且回程網(wǎng)絡系統(tǒng)104確保合適的數(shù)據(jù)分組被路由至主干網(wǎng)絡系統(tǒng)102以用于處理和/或進一步路由。應理解的是，主干網(wǎng)絡系統(tǒng)102、回程網(wǎng)絡系統(tǒng)104、塔式系統(tǒng)106以及用戶設備108中的每一者都可以被具體化為用于執(zhí)行本文描述的功能的任何合適的設備或設備集。在說明性實施例中，主干網(wǎng)絡系統(tǒng)102、回程網(wǎng)絡系統(tǒng)104和塔式系統(tǒng)106中的每一者使得能夠在用戶設備108和/或其他設備之間進行電信通信(例如，經(jīng)由互聯(lián)網(wǎng))。進一步地，主干網(wǎng)絡系統(tǒng)102、回程網(wǎng)絡系統(tǒng)104和塔式系統(tǒng)106可以包括任意數(shù)量的設備、網(wǎng)絡、路由器、交換機、計算機和/或其他介入設備，以根據(jù)具體實現(xiàn)方式促進其相應的功能。

在一些實施例中，主干網(wǎng)絡系統(tǒng)102可以被具體化為具有虛擬演進分組核心(vEPC)架構的基于網(wǎng)絡功能虛擬化(NFV)的長期演進(LTE)主干網(wǎng)絡。應理解的是，主干網(wǎng)絡系統(tǒng)102可以充當集中式網(wǎng)絡，并且在一些實施例中可以通信地耦合至另一個網(wǎng)絡(例如，互聯(lián)網(wǎng))。在說明性實施例中，回程網(wǎng)絡系統(tǒng)104包括(例如，經(jīng)由中間鏈路)將主干網(wǎng)絡系統(tǒng)102通信地耦合至塔式系統(tǒng)106、子網(wǎng)絡和/或邊緣網(wǎng)絡的一個或多個設備。在一些實施例中，回程網(wǎng)絡系統(tǒng)104可以被具體化為LTE回程網(wǎng)絡系統(tǒng)并且可以包括各種網(wǎng)絡，包括，例如，T1網(wǎng)絡、IP網(wǎng)絡、光網(wǎng)絡、ATM網(wǎng)絡、租用網(wǎng)絡和/或其他網(wǎng)絡。

塔式系統(tǒng)106包括被配置成用于準許通信設備(例如，移動計算設備(例如，移動電話))和/或其他用戶設備108與另一個和/或其他遠程設備進行通信的硬件。在這樣做時，塔式系統(tǒng)106使得用戶設備108能夠與回程網(wǎng)絡系統(tǒng)104進行通信。在一些實施例中，一個或多個塔式系統(tǒng)106可以包括或以其他方式具體化為演進型基站(eNodeB)，所述eNodeB被配置成用于與一個或多個用戶設備108(例如，移動計算設備手持機)直接地或間接地進行通信。進一步地，根據(jù)具體實施例，塔式系統(tǒng)106可以包括或充當例如基站收發(fā)站(BTS)或另一個站/系統(tǒng)。用戶設備108可以被具體化為能夠執(zhí)行本文描述的功能的任何類型的計算設備。例如，在利用LTE回程和主干系統(tǒng)的實施例中，用戶設備108可以被具體化為移動計算設備(例如，智能電話)并且可以被配置成用于利用蜂窩網(wǎng)路。

如以下詳細所述，系統(tǒng)100可以利用各種虛擬網(wǎng)絡功能，同時確保威脅被檢測到并且(例如，經(jīng)由流分組間分析)對所述威脅采取動作。另外，系統(tǒng)100可以使用可信執(zhí)行環(huán)境(TEE)在虛擬平臺上提供增強的且細粒度安全檢查能力。如下所述，在說明性實施例中，TEE被建立為安全區(qū)域，如，軟件防護擴展(SGX)。然而，在其他實施例中，TEE可以以其他方式被建立或具體化為例如管理引擎(ME)、可信平臺模塊(TPM)、創(chuàng)新引擎(IE)、安全分區(qū)、單獨的處理器核，和/或以其他方式建立。

應理解的是，在網(wǎng)絡功能虛擬化(NVF)環(huán)境中，傳統(tǒng)的很好定義的非虛擬化環(huán)境接口通常不可用并且NFV系統(tǒng)可以包括多個虛擬網(wǎng)絡功能(VNF)，其中每個VNF可以包括一個或多個虛擬網(wǎng)絡功能部件(VNFC)。VNF和/或VNFC可以使用各種不同的機制與彼此通信，包括，例如，共享存儲器、關閉的OS或管理程序特定的應用程序編程接口(API)、網(wǎng)絡虛擬交換機測試接入點(TAP)、和/或其他機制。進一步地，在一些實施例中，可以使用例如互聯(lián)網(wǎng)安全協(xié)議(IPsec)或安全套接字層(SSL)來對VNF內(nèi)和/或VNF內(nèi)流量進行加密。這樣，應理解的是，傳統(tǒng)機制可能不提供一致的方式由傳統(tǒng)網(wǎng)絡檢查系統(tǒng)以針對虛擬化環(huán)境中的所有流量的清晰可見性高效地操作。

然而，在說明性實施例中，系統(tǒng)100被配置成用于使用TEE的能力(例如，結(jié)合微代碼(ucode)、硬件指令和/或其他機制)跨虛擬化系統(tǒng)檢查分組和/或流。例如，如下所述，系統(tǒng)100的每個服務器或平臺可以包括充當平臺安全策略檢查器角色的平臺特定的TEE。具體地，平臺特定的TEE可以(例如，通過IP側(cè)信道間機制)檢查來自(即，進入和/或外出)于網(wǎng)絡MAC/以太網(wǎng)和/或其他網(wǎng)絡/通信接口的所有分組。另外，平臺特定的TEE可以使用定義的API(例如，HECI接口)基于管理程序(例如，虛擬機監(jiān)視器)特權以及與TEE的通信檢查共享存儲器和/或?qū)Ｓ肁PI。平臺特定的TEE可以另外或替代性地基于在有符號且反回退的受保護微代碼(ucode)補丁上調(diào)用的更高特權來檢查本地和共享處理器(例如，CPU)以及SoC緩沖存儲器。在一些實施例中，平臺特定的TEE使用基于TEE的VNFC隧道間密鑰來監(jiān)測受保護的VNFC內(nèi)和VNF內(nèi)流量。另外或替代性地，平臺特定的TEE可以使用接入各虛擬交換機接口和TAP的管理程序來訪問流量數(shù)據(jù)。

應理解的是，在一些實施例中，TEE可以在平臺上從多個源收集信息并且可以用比傳統(tǒng)系統(tǒng)中所使用的方式詳細得多的方式這樣做。例如，TEE可以根據(jù)策略被配置成用于監(jiān)測所有或所選的分組、網(wǎng)絡流、跟蹤包修改，和/或執(zhí)行其他監(jiān)測功能。TEE可以在所收集的數(shù)據(jù)上運行高級啟發(fā)，并且根據(jù)具體策略保留威脅信息。進一步地，TEE可以基于策略和/或所接收的補救指令(例如，封鎖特定的流、復制分組等)采取一個或多個補救動作。在一些實施例中，TEE可以將異議和/或威脅啟發(fā)傳達至被提名的TEE(例如，在NFV分布式威脅檢測安全系統(tǒng)上)，其可以執(zhí)行系統(tǒng)范圍的安全威脅啟發(fā)/分析。應理解的是，在一些實施例中，TEE“被提名”，其意義為：分布式威脅檢測系統(tǒng)被設計從而使得其他TEE將安全信息傳輸至所述提名的TEE以用于進一步(例如，更寬范圍的)分析。如下所述，在一些實施例中，經(jīng)提名的TEE可以包括在安全服務器和/或分布式威脅檢測安全系統(tǒng)中。進一步地，在一些實施例中，多個TEE可以被提名以執(zhí)行系統(tǒng)范圍的或子系統(tǒng)范圍的安全威脅分析，并且TEE可以按層級安排。例如，在實施例中，第一提名的TEE可以基于從第一子系統(tǒng)中的服務器的相應TEE接收的信息執(zhí)行第一子系統(tǒng)的安全威脅分析，并且第二提名的TEE可以基于從第二子系統(tǒng)中的服務器的相應TEE接收的信息執(zhí)行第二子系統(tǒng)的安全威脅分析，等等。那些子系統(tǒng)TEE(例如，第一和第二提名TEE)中的每個TEE可以將其分析和/或附加信息提供至處于“更高”層級處的另一個提名的TEE，以基于從較低級別提名的TEE接收的信息執(zhí)行全系統(tǒng)范圍(或更大子系統(tǒng)范圍)安全威脅分析。當然，經(jīng)提名的TEE的數(shù)量和/或?qū)蛹壙梢愿鶕?jù)具體的實施例變化。

應理解的是，TEE的分層能力可以允許制定本地補救動作并且同時使能能夠針對跨多個平臺跨越VNF和VNFC的流進行系統(tǒng)范圍的威脅檢測和補救。在一些實施例中，TEE可以被保護(包括所有代碼和數(shù)據(jù))，并且僅基于簽名驗證和測量結(jié)果(例如，使用TPM或虛擬TPM)被加載。進一步地，TEE可以具有用于運行由用于啟用TPV和/或其他供應商的根密鑰授權的簽名驗證的第三方驗證(TPV)代碼的能力。應理解的是，本文描述的用于通信的接口可以包括例如在SoC或處理器內(nèi)的IP間通信(IPC)、設備驅(qū)動器模型(例如，HECI接口)、虛擬LAN附件、用于部件間交互的現(xiàn)有協(xié)議(例如，PECI、SMBUS等)。在其他實施例中，所述部件可以例如在TLS保護的基于HTTPS網(wǎng)頁的REST API之上進行通信。應進一步理解的是，在一些實施例中，系統(tǒng)100可以用平臺方式、管理程序方式和云OS中性方式來實現(xiàn)。

現(xiàn)在參照圖2，在說明性實施例中，主干網(wǎng)絡系統(tǒng)102包括一個或多個VNF 202、一個或多個服務器204、以及安全服務器206。另外，在一些實施例中，主干網(wǎng)絡系統(tǒng)102包括補救服務器208和/或編排器210。盡管在圖2中說明性地示出了僅一個安全服務器206、一個補救服務器208以及一個編排器210，但是在其他實施例中主干網(wǎng)絡系統(tǒng)102可以包括任意數(shù)量的安全服務器206、補救服務器208和/或編排器210。例如，若干安全服務器206可以被包括，其中每個安全服務器可以包括如在此針對層級和分布式威脅檢測所描述的經(jīng)提名的TEE。應理解的是，在一些實施例中，服務器204和安全服務器206中的每一個都可以包括類似的硬件、軟件和/或固件部件。進一步地，在一些實施例中，安全服務器206可以被具體化為服務器204之一，除了包括如在此所述的經(jīng)提名的TEE的安全服務器206之外。

現(xiàn)在參照圖3，示出了系統(tǒng)102的服務器204、206的說明性實施例。如所示，說明性服務器204、206包括處理器310、輸入/輸出(“I/O”)子系統(tǒng)312、存儲器314、數(shù)據(jù)存儲設備316、通信電路318、以及一個或多個外圍設備320。另外，在某些實施例中，服務器204、206可以包括安全協(xié)處理器322。當然，在其他實施例中，服務器204、206可以包括其他或附加的部件，諸如在典型的計算設備中常見的那些部件(例如，各種輸入/輸出設備和/或其他部件)。另外，在某些實施例中，說明性部件中的一個或多個說明性部件可以結(jié)合在另一部件中，或以其他方式形成其一部分。例如，在某些實施例中，存儲器314或其部分可以結(jié)合在處理器310中。

處理器310可以具體化為能夠執(zhí)行在本文中所描述的功能的任何類型的處理器。例如，處理器310可以具體化為(多個)單核或多核處理器、數(shù)字信號處理器、微控制器、或其他處理器或處理/控制電路。如所示，處理器310可以包括一個或多個緩沖存儲器324。應理解的是，存儲器314可以具體化為能夠執(zhí)行在本文中所描述的功能的任何類型的易失性或非易失性存儲器或數(shù)據(jù)存儲設備。在操作中，存儲器314可以存儲在對服務器204、206的操作期間所使用的各種數(shù)據(jù)和軟件，如操作系統(tǒng)、應用、程序、庫、和驅(qū)動程序。存儲器314經(jīng)由I/O子系統(tǒng)312通信地耦合至處理器310，所述子系統(tǒng)可以具體化為電路和/或部件以促進處理器310、存儲器314、和服務器204、206的其他部件的輸入/輸出操作。例如，I/O子系統(tǒng)312可以具體化為或以其他方式包括用于促進輸入/輸出操作的存儲器控制器中樞、輸入/輸出控制中樞、固件設備、通信鏈路(即，點到點鏈路、總線鏈路、線、電纜、光導、印刷電路板跡線等)和/或其他部件和子系統(tǒng)。在一些實施例中，I/O子系統(tǒng)312可以形成片上系統(tǒng)(SoC)的一部分并且可以與服務器204、206的處理器310、存儲器314以及其他部件一起被結(jié)合在單個集成電路芯片上。

數(shù)據(jù)存儲設備316可以具體化為被配置成用于對數(shù)據(jù)進行短期或長期存儲的任何類型的一種或多種設備，如例如，存儲器設備和電路、存儲器卡、硬盤驅(qū)動器、固態(tài)驅(qū)動器或其他數(shù)據(jù)存儲設備。數(shù)據(jù)存儲設備316和/或存儲器314可以存儲在服務器204、206的操作期間對執(zhí)行本文所述的功能有用的各種數(shù)據(jù)。

通信電路318可以具體化為能夠使能通過網(wǎng)絡108在服務器204、206與其他遠程設備之間實現(xiàn)通信的任何通信電路、設備或其集合。通信電路318可以被配置成用于使用任何一項或多項通信技術(例如，無線或有線通信)和相關聯(lián)的協(xié)議(例如，以太網(wǎng)、WiMAX等)來實現(xiàn)這種通信。在一些實施例中，通信電路318包括蜂窩通信電路和/或其他遠程無線通信電路。

外圍設備320可以包括任何數(shù)量的附加外圍或接口設備，諸如揚聲器、麥克風、附加存儲設備等等。包括在外圍設備320中的具體設備可以取決于例如服務器204、206的類型和/或預期用途。

安全協(xié)處理器322(如果包括的話)可以具體化為能夠執(zhí)行安全功能、密碼功能和/或建立可信執(zhí)行環(huán)境的任何(多個)硬件部件或電路。例如，在一些實施例中，安全協(xié)處理器322可以具體化為可信平臺模塊(TPM)或帶外處理器。另外，在一些實施例中，安全協(xié)處理器322可以建立與遠程設備(例如，其他服務器204、206的相應安全協(xié)處理器322)的帶外通信鏈路。

返回參照圖2，如所示，主干網(wǎng)絡系統(tǒng)102包括一個或多個虛擬網(wǎng)絡功能(VNF)202，其中每個VNF可以包括一個或多個虛擬網(wǎng)絡功能部件(VNFC)212。應理解的是，VNF 202可以被具體化為任何合適的虛擬網(wǎng)絡功能；類似地，VNFC 212可以被具體化為任何合適的VNF部件。例如，在一些實施例中，VNF 202可以包括安全網(wǎng)關(SGW)、分組數(shù)據(jù)網(wǎng)絡網(wǎng)關(PNG)、計費功能和/或其他虛擬網(wǎng)絡功能。在一些實施例中，特定的VNF 202可以具有多個子實例，所述子實例可以在相同的服務器204、206或不同的服務器204、206上執(zhí)行。換言之，當被虛擬化時，傳統(tǒng)上由與特定服務器204、206共同定位的物理硬件處理的網(wǎng)絡功能可以跨一個或多個服務器204、206分布為VNF 202。在說明性實施例中，VNFC 212是合作以傳遞一個或多個VNF 202的功能的過程和/或?qū)嵗?。例如，在一些實施例中，VNFC 212是VNF 202的子模塊。類似于VNF 202，應理解的是，VNFC 212可以跨一個或多個服務器204、206分布。進一步地，應理解的是，特定的VNFC 212可以跨多個服務器204、206分布并且仍形成在單個服務器204、206上建立的VNF 202的一部分。

如本文所描述的，在說明性實施例中，一個或多個服務器204、206的VNF202可以例如經(jīng)由一個或多個VNF間通信機制在NVF間通信網(wǎng)絡240之上彼此進行通信。類似地，一個或多個服務器204、206的VNFC 212可以例如經(jīng)由一個或多個VNFC間通信機制在NVFC間通信網(wǎng)絡242之上彼此進行通信。應理解的是，VNF間和VNFC間通信機制可以被具體化為被配置成用于使能VNF間和/或VNFC間通信的任何合適的機制。例如，在一些實施例中，VNF 202和/或VNFC 212可以使用敞開式交換機利用管理程序和分組分析、基于標準格式的格式化分組、共享存儲器(例如，由管理程序保存的物理/虛擬存儲器)和/或其他合適的機制來與彼此進行通信。在說明性實施例中，服務器204、206的在其上特定的VNF 202或VNFC 212正執(zhí)行的TEE被配置成用于(直接地或間接地)讀取與特定的VNF 202或VNFC 212相關聯(lián)的VNF間或VNFC間通信。

應理解的是，VNF 202可以將分組處理成服務鏈。然而，在操作過程中，一個或多個運行時威脅可以被注入系統(tǒng)中，其可以規(guī)避一組分組或流被整個服務鏈處理，如由特定的策略所要求的那樣。這樣，服務器204、206的TEE可以用于識別這種異常以及異常的VNF運行時行為，包括，例如，惡意TCP同步洪泛、丟包、流斷開、違反應用級別策略以及其他可能的安全威脅。這樣，TEE可以充當服務器的安全策略檢查器的角色。

在圖2的說明性實施例中，服務器204中的每一個包括管理程序214、存儲器314、緩存324、一個或多個引擎220、一個或多個網(wǎng)絡接口222以及可信執(zhí)行環(huán)境224。另外，管理程序214包括一個或多個API 226、虛擬交換機(v交換機)228、一個或多個加密隧道230、以及共享存儲器232。當然，服務器204在一些實施例中可以包括附加部件，所述部件為了描述簡潔被省略。

管理程序214或虛擬機監(jiān)視器在相應的服務器204上運行一個或多個虛擬機(VM)。這樣，管理程序214可以建立和/或利用各種虛擬化硬件資源(例如，虛擬存儲器、虛擬操作系統(tǒng)、虛擬聯(lián)網(wǎng)部件等)。包括在管理程序214和/或服務器204中的特定API 226通常可以根據(jù)特定的服務器204變化。在一些實施例中，API 226包括一個或多個專有API。在一些實施例中，API 226可以提供對(例如，與特定VNF 202相關聯(lián)的)分組的訪問，從而使得它們可以由TEE 224分析。虛擬交換機228可以用于強制執(zhí)行網(wǎng)絡策略和/或強制執(zhí)行動作(例如，丟包、監(jiān)測流、執(zhí)行深度檢查、執(zhí)行補救動作等)。例如，虛擬交換機216可以準許系統(tǒng)102中的虛擬機(VM)聯(lián)網(wǎng)。如下所述，在一些實施例中，服務器204可以建立加密隧道218以用于安全通信(例如，用于在VNF 202之間和/或在VNFC 212之間與安全服務器206進行通信)。在一些實施例中，加密隧道218可以由服務器204的TEE 224讀取(例如，借助于訪問相應的加密密鑰以加密形式或以非加密形式)。另外，在一些實施例中，一個或多個VM、VNF 202和/或VNFC 212可以利用共享存儲器232。例如，在一些實施例中，VNF 202和VNFC 212可以利用共享存儲器232與彼此進行通信。應理解的是，根據(jù)具體實施例，共享存儲器232可以包括物理存儲器和/或虛擬存儲器。在說明性實施例中，特定服務器204的TEE 224可以訪問所述服務器204的API 226、虛擬交換機228、加密隧道230以及共享存儲器232中的每一個，以便檢索針對一個或多個分組/流的安全威脅分析的數(shù)據(jù)。另外，TEE 224可以訪問用于這種分析的VNF間和VNFC間通信。

如上所述，服務器204包括存儲器314、緩存324、引擎220、網(wǎng)絡接口222以及TEE 224。應理解的是，存儲器314可以具體化為能夠執(zhí)行在本文中所描述的功能的任何類型的易失性或非易失性存儲器或數(shù)據(jù)存儲設備。進一步地，在一些實施例中，存儲器314可以包括軟件定義的存儲。所述一個或多個引擎220可以被具體化為任何硬件、固件和/或軟件部件，所述部件在準備安全評估的過程中生成對TEE 224和/或安全服務器206有用的數(shù)據(jù)。例如，引擎220可以包括SoC、圖形引擎、安全引擎、音頻引擎、加密模塊、TPM、協(xié)處理器、通信鏈路或信道、交換機、和/或被配置成用于處理或以其他方式處理數(shù)據(jù)的另一個引擎。網(wǎng)絡接口222可以被具體化為與數(shù)據(jù)分組的聯(lián)網(wǎng)過程相關聯(lián)的任何接口。例如，在一些實施例中，網(wǎng)絡接口222包括網(wǎng)絡MAC/以太網(wǎng)接口、軟件定義的聯(lián)網(wǎng)模塊、和/或另一個網(wǎng)絡接口。

如以上所指示的，在說明性實施例中，TEE 224被建立為安全區(qū)域，如，軟件防護擴展(SGX)。然而，在其他實施例中，TEE 224可以以其他方式被建立為例如管理引擎(ME)、可信平臺模塊(TPM)、創(chuàng)新引擎(IE)、安全分區(qū)、單獨的處理器核，和/或以其他方式建立。例如，在一些實施例中，可以借助于安全協(xié)處理器322實施或建立TEE 224。如本文所討論的，TEE 224被配置成用于從服務器204的各部件檢索數(shù)據(jù)，所述TEE 224可以用于執(zhí)行安全分析。在一些實施例中，TEE 224可以基于所檢索的數(shù)據(jù)執(zhí)行本地安全分析。進一步地，在說明性實施例中，TEE 224將安全威脅評估數(shù)據(jù)(即，所收集的數(shù)據(jù)和/或分析結(jié)果)傳輸至安全服務器206的相應TEE 224(即，至提名的TEE 224)。應理解的是，在說明性實施例中，TEE 224可以經(jīng)由帶外通信網(wǎng)絡彼此進行通信。

如本文所討論的，安全服務器206的經(jīng)提名的TEE 224執(zhí)行系統(tǒng)范圍的(或更大子系統(tǒng)范圍的)安全評估。在一些實施例中，安全服務器206可以與補救服務器208進行通信以請求與安全評估相關聯(lián)的補救指令(即，有待由服務器204執(zhí)行的合適動作)。如圖2中所示，補救服務器208可以被包括在云計算環(huán)境234內(nèi)，在這種情況下，補救服務器208可以與編排器210協(xié)商以確定合適的補救動作/指令。補救服務器208和編排器210可以被具體化為能夠執(zhí)行本文描述的功能的任何服務器或計算設備。進一步地，補救服務器208和編排器210可以包括與上述服務器204、206的部件和/或服務器中常見的部件(如，處理器、存儲器、I/O子系統(tǒng)、數(shù)據(jù)存儲設備、外圍設備等等)類似的部件，所述部件為了描述簡潔未在圖2中展示。

現(xiàn)在參照圖4，在使用中，一個或多個服務器204、206建立用于對安全異常進行分布式檢測的環(huán)境400。服務器204、206的說明性環(huán)境400包括安全模塊402、可信執(zhí)行環(huán)境模塊404、通信模塊406、安全威脅數(shù)據(jù)庫408、一個或多個策略410(例如，安全和/或配置策略)、以及啟發(fā)式代碼412。環(huán)境400中的每個模塊都可以具體化為硬件、軟件、固件或其組合。另外，在一些實施例中，一個或多個說明性模塊可以形成另一個模塊的一部分和/或一個或多個說明性模塊可以被具體化為一個單獨的或獨立的模塊。例如，環(huán)境400的模塊、邏輯和其他部件中的每一者可以形成服務器204、206的處理器310的一部分或另外由計算設備的處理器來建立。

安全模塊402被配置成用于執(zhí)行服務器206的各種安全功能。例如，安全模塊402可以處理生成和驗證加密密鑰、簽名、散列、和/或執(zhí)行其他加密功能。

可信執(zhí)行環(huán)境模塊404建立可信執(zhí)行環(huán)境(例如，TEE 224)或者另外在服務器204、206內(nèi)的安全環(huán)境。如上所述，TEE 224可以與另一個服務器204、206的相應TEE 224建立可信關系。例如，在這樣做時，TEE 224可以執(zhí)行密鑰交換。在一些實施例中，TEE 224可以經(jīng)由建立的加密的和/或另外安全的隧道彼此進行通信。如上所述，在一些實施例中，TEE 224可以經(jīng)由帶外通信信道(即，與相應服務器204、206之間的公共通信信道分離的通信信道)彼此進行通信。例如，服務器204之一的TEE 224可以與安全服務器206的TEE 224建立可信關系。進一步地，如上所述，TEE 224可以讀取VNFC-VNFC網(wǎng)絡和VNF-VNF網(wǎng)絡的分組，從存儲器314、緩存324、引擎220和/或網(wǎng)絡接口222檢索數(shù)據(jù)。進一步地，在一些實施例中，TEE模塊404對服務器204、206的熔絲、存儲器314、數(shù)據(jù)存儲設備316和/或其他硬件部件進行讀取，以確定服務器204、206的特定策略410(例如，配置或安全策略)。另外，TEE模塊404可以基于檢索的信息執(zhí)行服務器204、206的一個或多個分組的安全評估，以判定例如分組是否造成了安全威脅。在這樣做時，TEE模塊404可以從安全威脅數(shù)據(jù)庫408檢索數(shù)據(jù)或以其他方式將檢索的安全威脅評估數(shù)據(jù)與安全威脅數(shù)據(jù)庫408進行關聯(lián)。應理解的是，服務器204之一可以執(zhí)行本地安全威脅評估并且安全服務器206可以執(zhí)行系統(tǒng)范圍的(或更大子系統(tǒng)范圍)安全威脅評估。這樣，那些服務器204、206的安全威脅數(shù)據(jù)庫408可以包括相應的數(shù)據(jù)。在一些實施例中，TEE模塊404在評估一個或多個分組的安全性的過程中可以利用啟發(fā)式代碼412。在一些實施例中，啟發(fā)式代碼412識別在其中有問題的指令應被執(zhí)行的參數(shù)和/或背景(例如，在VM或安全容器中)。另外或替代性地，啟發(fā)式代碼412可以識別惡意代碼簽名、白名單、黑名單和/或以其他方式包括在評估一個或多個分組/指令的安全性的過程中對TEE模塊有用的數(shù)據(jù)。

通信模塊406通過合適的網(wǎng)絡處理服務器204、206與遠程設備之間的通信。例如，如上所討論的，服務器204、206的TEE 224可以經(jīng)由帶外通信信道或經(jīng)由加密隧道彼此進行通信。

現(xiàn)在參照圖5至圖6，在使用中，服務器204可以執(zhí)行用于對安全異常進行分布式檢測的方法500。說明性方法500開始于框502，其中，服務器與安全服務器206建立可信關系。如以上所討論的，在一些實施例中，安全服務器206可以被具體化為服務器204之一，所述服務器包括已被選擇或“命名”用于執(zhí)行系統(tǒng)范圍的或子系統(tǒng)范圍的安全分析的TEE 224。在其他實施例中，安全服務器206可以被具體化為與服務器204分離的服務器。應理解的是，在建立可信關系的過程中，服務器204可以在框504中與安全服務器206交換密碼密鑰和/或可以在框506中使用可信根(root of trust)和/或熔絲密鑰。例如，服務器204和/或安全服務器206可以包括(例如，加密地)綁定至服務器204、206或更具體地服務器204、206的硬件部件(例如，安全協(xié)處理器322)的密碼密鑰或標識。

在框508中，服務器204安全地引導。在這樣做時，在框510中，服務器204(例如，從服務器204的安全非易失性存儲器)檢索其配置策略。在一些實施例中，配置策略可以指示執(zhí)行參數(shù)、上下文信息和/或與服務器204的操作相關聯(lián)的其他信息。例如，在一些實施例中，配置策略可以用于通知關于服務器204的硬件、固件和/或軟件部件的TEE 224。

在框512中，服務器204與安全服務器206建立可信隧道。在這樣做時，在框514中，服務器204可以播發(fā)其活性。為了這樣做，服務器204可以與安全服務器206進行通信以通知安全服務器206所述服務器204是操作的。例如，服務器204可以將心跳信號傳輸至安全服務器206。進一步地，在一些實施例中，服務器204可以周期性地或連續(xù)地播發(fā)其活性。另外或替代性地，在框516中，服務器204可以將其安全策略和/或啟發(fā)式代碼(例如，用于應用啟發(fā)安全算法以分析分組數(shù)據(jù))傳輸至安全服務器206。在一些實施例中，服務器204可以傳輸整個安全策略，而在其他實施例中，安全服務器206可以維持各服務器204的安全策略，從而使得服務器204可以為安全服務器206僅提供安全策略的最新更新而不是整個安全策略。進一步地，在一些實施例中，安全服務器204可以將啟發(fā)式代碼傳輸至服務器204以用于評估安全性。

在框518中，服務器204確定服務器204的運行時姿態(tài)(例如，上下文信息和/或狀態(tài)信息)。在這樣做時，在框420中，服務器204可以確定服務器204的一個或多個VNF 202的運行時姿態(tài)。例如，服務器204可以根據(jù)VNF 202、VNFC 212和/或VM確定服務器204的當前上下文。在框422，服務器204通過管理程序214讀取VNFC-VNFC和/或VNF-VNF網(wǎng)絡的一個或多個分組。具體地，服務器204可以通過虛擬交換機228和/或網(wǎng)絡接口222讀取VNFC-VNFC和/或VNF-VNF網(wǎng)絡的一個或多個分組。在框524中，服務器204從服務器204的存儲器314、232和/或緩存324中讀取與VNFC和/或VNF進程執(zhí)行狀態(tài)相關聯(lián)的一個或多個分組。在圖6的框526中，服務器204通過服務器204的微代碼(ucode)和/或BIOS使能服務器訪問。在這樣做時，在框528中，服務器204可以讀取服務器204的熔絲和/或狀態(tài)以確定服務器204的策略(例如，安全策略)。

在框530中，服務器204可以執(zhí)行對服務器204的本地威脅評估。應理解的是，服務器204可以利用檢索的或以其他方式可由服務器204訪問的策略、啟發(fā)式代碼、運行時姿態(tài)、分組和/或其他信息。在一些實施例中，服務器204執(zhí)行一個或多個啟發(fā)式算法以執(zhí)行安全威脅評估。在框534中，服務器204將安全威脅評估數(shù)據(jù)上報至安全服務器206。在這樣做時，服務器204可以傳輸由服務器204收集的原始數(shù)據(jù)、本地安全評估數(shù)據(jù)、和/或由服務器204生成的中間數(shù)據(jù)。

根據(jù)具體實施例，在框536中，服務器204可以從安全服務器206或補救服務器208接收針對網(wǎng)絡流/分組的補救動作指令。例如，如本文所討論的，安全服務器206可以執(zhí)行系統(tǒng)范圍的威脅分析和/或從補救服務器208請求援助以判定是否應該由服務器204執(zhí)行任何特定的補救動作。若否，則在一些實施例中，服務器204可以不接收來自安全服務器206的響應。當然，在一些實施例中，服務器204可以獨立地判定是否執(zhí)行安全補救動作。在框538中，服務器204強制執(zhí)行網(wǎng)絡策略和/或任何補救動作。在一些實施例中，服務器204可以借助于虛擬交換機228和/或網(wǎng)絡接口222這樣做。具體的補救動作可以根據(jù)具體的安全威脅和/或具體的實施例變化。例如，在框540中，服務器204可以基于補救指令丟棄一個或多個網(wǎng)路分組。在框542中，服務器204可以監(jiān)測一個或多個網(wǎng)絡流。例如，在一些實施例中，安全服務器206或補救服務器208可以基于威脅分析指導服務器204監(jiān)測可能造成安全風險的特定類別的網(wǎng)絡流。進一步地，在框544中，服務器204可以基于補救指令執(zhí)行一個或多個網(wǎng)路分組的深度分組檢查。當然，服務器204可以根據(jù)具體實施例執(zhí)行廣泛的各種其他補救動作。

現(xiàn)在參照圖7，在使用中，安全服務器206可以執(zhí)行用于安全異常分布式檢測的方法700。說明性方法700開始于圖7的框702，其中，安全服務器206建立與服務器204之一的可信關系。如上所述，在這樣做時，安全服務器206可以在框704中執(zhí)行與服務器204的密鑰交換和/或在框706中利用可信根和/或熔絲密鑰。例如，在建立雙向信任的實施例中，服務器204和安全服務器206兩者都包括可信根(例如，加密綁定的密鑰或標識符)。在框710中，安全服務器206與服務器204建立可信隧道，如上所述。在這樣做時，在框710中，安全服務器206可以從服務器204接收安全策略更新和/或啟發(fā)式代碼。另外或替代性地，安全服務器204可以將啟發(fā)式代碼傳輸至服務器204(例如，以用于評估安全性)。進一步地，在框712中，安全服務器206基于所接收的信息從服務器204接收安全威脅評估數(shù)據(jù)。如以上所討論的，服務器204可以將由服務器204收集的原始數(shù)據(jù)、本地安全評估數(shù)據(jù)和/或由服務器204生成的中間數(shù)據(jù)傳輸至安全服務器206以啟用安全服務器206來執(zhí)行系統(tǒng)范圍的或子系統(tǒng)范圍的安全評估。

在框714中，安全服務器206將安全威脅評估數(shù)據(jù)與安全威脅數(shù)據(jù)庫408進行關聯(lián)以判定(多個)經(jīng)分析的分組是否對服務器204造成安全威脅。在一些實施例中，安全服務器206可以基于姿態(tài)、安全和配置策略、上下文、啟發(fā)式代碼和/或關于服務器204的操作的其他信息(例如，在VM中)模擬分組的執(zhí)行。另外或替代性地，安全服務器206可以將分組與各種惡意軟件(例如，病毒)簽名、白名單、黑名單和/或其他數(shù)據(jù)進行比較以判定分組是否安全。

在框716中，安全服務器206判定是否已經(jīng)識別出安全威脅識別。若是，則在框718中，安全服務器206確定補救動作。為了這樣做，在框720中，安全服務器206可以從補救服務器208請求補救確定。在這種實施例中，補救服務器208可以執(zhí)行系統(tǒng)范圍的(例如，基于云的)安全評估和/或以其他方式確定有待由服務器204執(zhí)行以補救與安全威脅相關聯(lián)的損害或使其最小化的補救動作。如以上所討論的，在一些實施例中，補救服務器208可以在云計算環(huán)境234中與編排器210合作以作出這種確定。如果補救服務器208被咨詢，則在框722中，安全服務器206可以從補救服務器208接收相應的補救指令。在其他實施例中，補救服務器208可以將所述指令直接傳輸至服務器204。當然，在一些實施例中，安全服務器206可以對其自己執(zhí)行補救分析。在框724中，安全服務器206可以將補救指令傳輸至服務器204。

示例

以下提供了在本文中所公開的技術的說明性示例。所述技術的實施例可以包括以下所描述的示例中的任何一個或多個示例及其任何組合。

示例1包括一種用于對安全異常進行分布式檢測的計算設備，所述計算設備包括：可信執(zhí)行環(huán)境模塊，所述可信執(zhí)行環(huán)境模塊用于:(i)與安全服務器建立可信關系；(ii)響應于所述可信關系的建立而讀取虛擬網(wǎng)絡功能間網(wǎng)絡(inter-virtual network function network)或虛擬網(wǎng)絡功能部件間網(wǎng)絡(inter-virtual network function component network)中至少一者的一個或多個分組；以及(iii)執(zhí)行對所述一個或多個分組的安全威脅評估；以及通信模塊，所述通信模塊用于將所述安全威脅評估傳輸至所述安全服務器。

示例2包括如示例1所述的主題，并且其中，建立所述可信關系包括與所述安全服務器的相應的可信執(zhí)行環(huán)境模塊建立所述可信關系。

示例3包括如示例1和2中任一項所述的主題，并且其中，傳輸所述安全威脅評估包括：通過在所述計算設備的所述可信執(zhí)行環(huán)境模塊與所述安全服務器的所述相應的可信執(zhí)行環(huán)境模塊之間建立的帶外通信信道，將所述安全威脅評估傳輸至所述安全服務器的所述相應的可信執(zhí)行環(huán)境模塊。

示例4包括如示例1-3中任一項所述的主題，并且其中，建立所述可信關系包括：與所述安全服務器交換密鑰。

示例5包括如示例1-4中任一項所述的主題，并且其中，建立所述可信關系包括：利用所述計算設備的可信根或熔絲密鑰中的至少一者。

示例6包括如示例1-5中任一項所述的主題，并且其中，所述可信執(zhí)行環(huán)境模塊進一步用于：基于所述可信關系與所述安全服務器建立可信隧道。

示例7包括如示例1-6中任一項所述的主題，并且其中，建立所述可信隧道進一步包括：將所述計算設備的安全策略傳輸至所述安全服務器。

示例8包括如示例1-7中任一項所述的主題，并且其中，建立所述可信隧道進一步包括：將所述計算設備的啟發(fā)式代碼傳輸至所述安全服務器。

示例9包括如示例1-8中任一項所述的主題，并且其中，建立所述可信隧道進一步包括：從所述安全服務器接收啟發(fā)式代碼。

示例10包括如示例1-9中任一項所述的主題，并且其中，所述可信執(zhí)行環(huán)境模塊進一步用于：響應于所述可信關系的建立而引導所述計算設備。

示例11包括如示例1-10中任一項所述的主題，并且其中，引導所述計算設備包括：檢索所述計算設備的配置策略。

示例12包括如示例1-11中任一項所述的主題，并且其中，所述可信執(zhí)行環(huán)境模塊進一步用于：確定所述計算設備的運行時姿態(tài)；并且其中，執(zhí)行所述安全威脅評估包括：基于所述運行時姿態(tài)，執(zhí)行對所述一個或多個分組的所述安全威脅評估。

示例13包括如示例1-12中任一項所述的主題，并且其中，確定所述計算設備的所述運行時姿態(tài)包括：確定所述計算設備的虛擬網(wǎng)絡功能的運行時姿態(tài)。

示例14包括如示例1-13中任一項所述的主題，并且其中，所述通信模塊進一步用于：從所述安全服務器接收用于所述一個或多個分組的補救動作指令。

示例15包括如示例1-14中任一項所述的主題，并且其中，所述可信執(zhí)行環(huán)境模塊進一步用于：強制執(zhí)行與所述補救動作指令相對應的補救動作。

示例16包括一種用于由計算設備對安全異常進行分布式檢測的方法，所述方法包括：由所述計算設備與安全服務器建立可信關系；由所述計算設備響應于建立了所述可信關系而讀取虛擬網(wǎng)絡功能間網(wǎng)絡或虛擬網(wǎng)絡功能部件間網(wǎng)絡中至少一者的一個或多個分組；由所述計算設備執(zhí)行對所述一個或多個分組的安全威脅評估；以及由所述計算設備將所述安全威脅評估傳輸至所述安全服務器。

示例17包括如示例16所述的主題，并且其中，建立所述可信關系包括：與所述安全服務器的相應可信執(zhí)行環(huán)境模塊建立所述可信關系。

示例18包括如示例16和17中任一項所述的主題，并且其中，傳輸所述安全威脅評估包括：通過在所述計算設備的所述可信執(zhí)行環(huán)境模塊與所述安全服務器的所述相應的可信執(zhí)行環(huán)境模塊之間建立的帶外通信信道，將所述安全威脅評估傳輸至所述安全服務器的所述相應的可信執(zhí)行環(huán)境模塊。

示例19包括如示例16-18中任一項所述的主題，并且其中，建立所述可信關系包括：與所述安全服務器交換密鑰。

示例20包括如示例16-19中任一項所述的主題，并且其中，建立所述可信關系包括：利用所述計算設備的可信根或熔絲密鑰中的至少一者。

示例21包括如示例16-20中任一項所述的主題，并且進一步包括：由所述計算設備基于所述可信關系與所述安全服務器建立可信隧道。

示例22包括如示例16-21中任一項所述的主題，并且其中，建立所述可信隧道包括：將所述計算設備的安全策略傳輸至所述安全服務器。

示例23包括如示例16-22中任一項所述的主題，并且其中，建立所述可信隧道包括：將所述計算設備的安全策略傳輸至所述安全服務器。

示例24包括如示例16-23中任一項所述的主題，并且其中，建立所述可信隧道包括：從所述安全服務器接收啟發(fā)式代碼。

示例25包括如示例16-24中任一項所述的主題，并且進一步包括：響應于建立了所述可信關系而引導所述計算設備。

示例26包括如示例16-25中任一項所述的主題，并且其中，引導所述計算設備包括：檢索所述計算設備的配置策略。

示例27包括如示例16-26中任一項所述的主題，并且進一步包括：由所述計算設備確定所述計算設備的運行時姿態(tài)。并且其中，執(zhí)行所述安全威脅評估包括：基于所述運行時姿態(tài)，執(zhí)行對所述一個或多個分組的所述安全威脅評估。

示例28包括如示例16-27中任一項所述的主題，并且其中，確定所述計算設備的所述運行時姿態(tài)包括：確定所述計算設備的虛擬網(wǎng)絡功能的運行時姿態(tài)。

示例29包括如示例16-28中任一項所述的主題，并且進一步包括：由所述計算設備從所述安全服務器接收用于所述一個或多個分組的補救動作指令。

示例30包括如示例16-29中任一項所述的主題，并且進一步包括：由所述計算設備強制執(zhí)行與所述補救動作指令相對應的補救動作。

示例31包括一種計算設備，所述計算設備包括：處理器；以及存儲器，所述存儲器具有存儲于其中的多條指令，這些指令當被所述處理器執(zhí)行時致使所述計算設備執(zhí)行示例16-30中任一項所述的方法。

示例32包括一種或多種機器可讀存儲介質(zhì)，所述一種或多種機器可讀存儲介質(zhì)包括存儲于其上的多條指令，所述指令響應于被計算設備執(zhí)行而使所述計算設備執(zhí)行如示例16至30中任一項所述的方法。

示例33包括一種用于對安全異常進行分布式檢測的計算設備，所述計算設備包括：用于與安全服務器建立可信關系的裝置；用于響應于所述可信關系的建立而讀取虛擬網(wǎng)絡功能間網(wǎng)絡或虛擬網(wǎng)絡功能部件間網(wǎng)絡中至少一者的一個或多個分組的裝置；用于執(zhí)行對所述一個或多個分組的安全威脅評估的裝置；以及用于將所述安全威脅評估傳輸至所述安全服務器的裝置。

示例34包括如示例33所述的主題，并且其中，所述用于建立所述可信關系的裝置包括：用于與所述安全服務器的相應可信執(zhí)行環(huán)境模塊建立所述可信關系的裝置。

示例35包括如示例33和34中任一項所述的主題，并且其中，所述用于傳輸所述安全威脅評估的裝置包括：用于通過在所述計算設備的所述可信執(zhí)行環(huán)境模塊與所述安全服務器的所述相應的可信執(zhí)行環(huán)境模塊之間建立的帶外通信信道將所述安全威脅評估傳輸至所述安全服務器的所述相應的可信執(zhí)行環(huán)境模塊的裝置。

示例36包括如示例33-35中任一項所述的主題，并且其中，所述用于建立所述可信關系的裝置包括：用于與所述安全服務器交換密鑰的裝置。

示例37包括如示例33-36中任一項所述的主題，并且其中，所述用于建立所述可信關系的裝置包括：用于利用所述計算設備的可信根或熔絲密鑰中的至少一者的裝置。

示例38包括如示例33-37中任一項所述的主題，并且進一步包括：用于基于所述可信關系與所述安全服務器建立可信隧道的裝置。

示例39包括如示例33-38中任一項所述的主題，并且其中，所述用于建立所述可信隧道的裝置包括：用于將所述計算設備的安全策略傳輸至所述安全服務器的裝置。

示例40包括如示例33-39中任一項所述的主題，并且其中，所述用于建立所述可信隧道的裝置包括：用于將所述計算設備的啟發(fā)式代碼傳輸至所述安全服務器的裝置。

示例41包括如示例33-40中任一項所述的主題，并且其中，所述用于建立所述可信隧道的裝置包括：用于從所述安全服務器接收啟發(fā)式代碼的裝置。

示例42包括如示例33-41中任一項所述的主題，并且進一步包括：用于響應于所述可信關系的建立而引導所述計算設備的裝置。

示例43包括如示例33-42中任一項所述的主題，并且其中，所述用于引導所述計算設備的裝置包括：用于檢索所述計算設備的配置策略的裝置。

示例44包括如示例33-43中任一項所述的主題，并且進一步包括：用于確定所述計算設備的運行時姿態(tài)的裝置；并且其中，所述用于執(zhí)行所述安全威脅評估的裝置包括：用于基于所述運行時姿態(tài)執(zhí)行對所述一個或多個分組的所述安全威脅評估的裝置。

示例45包括如示例33-44中任一項所述的主題，并且其中，所述用于確定所述計算設備的所述運行時姿態(tài)的裝置包括：用于確定所述計算設備的虛擬網(wǎng)絡功能的運行時姿態(tài)的裝置。

示例46包括如示例33-45中任一項所述的主題，并且進一步包括：用于從所述安全服務器接收用于所述一個或多個分組的補救動作指令的裝置。

示例47包括如示例33-46中任一項所述的主題，并且進一步包括：用于強制執(zhí)行與所述補救動作指令相對應的補救動作的裝置。

示例48包括一種用于對安全異常進行分布式檢測的安全服務器，所述安全服務器包括：可信執(zhí)行環(huán)境模塊，所述可信執(zhí)行環(huán)境模塊用于與計算設備建立可信關系；以及通信模塊，所述通信模塊用于從所述計算設備接收所述計算設備的虛擬網(wǎng)絡功能間網(wǎng)絡或虛擬網(wǎng)絡功能部件間網(wǎng)絡中至少一者的一個或多個分組的安全威脅評估；其中，所述可信執(zhí)行環(huán)境模塊進一步用于：將所述安全威脅評估與所述安全服務器的安全威脅數(shù)據(jù)庫進行關聯(lián)以判定所述一個或多個分組是否造成安全威脅。

示例49包括如示例48所述的主題，并且其中，建立所述可信關系包括：與所述計算設備的相應可信執(zhí)行環(huán)境模塊建立所述可信關系。

示例50包括如示例48和49中任一項所述的主題，并且其中，接收所述安全威脅評估包括：通過在所述安全服務器的所述可信執(zhí)行環(huán)境模塊與所述計算設備的所述相應的可信執(zhí)行環(huán)境模塊之間建立的帶外通信信道，從所述計算設備的所述相應的可信執(zhí)行環(huán)境模塊接收所述安全威脅評估。

示例51包括如示例48-50中任一項所述的主題，并且其中，建立所述可信關系包括：與所述計算設備交換密鑰。

示例52包括如示例48-51中任一項所述的主題，并且其中，所述可信執(zhí)行環(huán)境模塊進一步用于：基于所述可信關系，與所述計算設備建立可信隧道。

示例53包括如示例48-52中任一項所述的主題，并且其中，建立所述可信隧道進一步包括：從所述計算設備接收所述計算設備的安全策略。

示例54包括如示例48-53中任一項所述的主題，并且其中，建立所述可信隧道進一步包括：從所述計算設備接收所述計算設備的安全策略。

示例55包括如示例48-54中任一項所述的主題，并且其中，建立所述可信隧道進一步包括：將啟發(fā)式代碼傳輸至所述計算設備。

示例56包括如示例48-55中任一項所述的主題，并且其中，所述可信執(zhí)行環(huán)境模塊進一步用于：響應于基于所述安全威脅評估與所述安全威脅數(shù)據(jù)庫的關聯(lián)對安全威脅的識別而確定補救動作。

示例57包括如示例48-56中任一項所述的主題，并且其中，確定所述補救動作包括：從補救服務器請求補救確定；以及從所述補救服務器接收與所述補救確定相關聯(lián)的補救指令。

示例58包括如示例48-57中任一項所述的主題，并且其中，所述通信模塊進一步用于：將所述補救指令傳輸至所述計算設備。

示例59包括一種用于由安全服務器對安全異常進行分布式檢測的方法，所述方法包括：由所述安全服務器與計算設備建立可信關系；由所述安全服務器從所述計算設備接收所述計算設備的虛擬網(wǎng)絡功能間網(wǎng)絡或虛擬網(wǎng)絡功能部件間網(wǎng)絡中至少一者的一個或多個分組的安全威脅評估；以及由所述安全服務器將所述安全威脅評估與所述安全服務器的安全威脅數(shù)據(jù)庫進行關聯(lián)以判定所述一個或多個分組是否造成安全威脅。

示例60包括如示例59所述的主題，并且其中，建立所述可信關系包括：與所述計算設備的相應可信執(zhí)行環(huán)境模塊建立所述可信關系。

示例61包括如示例59和60中任一項所述的主題，并且其中，接收所述安全威脅評估包括：通過在所述安全服務器的所述可信執(zhí)行環(huán)境模塊與所述計算設備的所述相應的可信執(zhí)行環(huán)境模塊之間建立的帶外通信信道，從所述計算設備的所述相應的可信執(zhí)行環(huán)境模塊接收所述安全威脅評估。

示例62包括如示例59-61中任一項所述的主題，并且其中，建立所述可信關系包括：與所述計算設備交換密鑰。

示例63包括如示例59-62中任一項所述的主題，并且進一步包括：由所述安全服務器基于所述可信關系與所述計算設備建立可信隧道。

示例64包括如示例59-63中任一項所述的主題，并且其中，建立所述可信隧道進一步包括：從所述計算設備接收所述計算設備的安全策略。

示例65包括如示例59-64中任一項所述的主題，并且其中，建立所述可信隧道進一步包括：從所述計算設備接收所述計算設備的啟發(fā)式代碼。

示例66包括如示例59-65中任一項所述的主題，并且其中，建立所述可信隧道進一步包括：將啟發(fā)式代碼傳輸至所述計算設備。

示例67包括如示例59-66中任一項所述的主題，并且進一步包括：由所述安全服務器響應于基于所述安全威脅評估與所述安全威脅數(shù)據(jù)庫的關聯(lián)對安全威脅的識別而確定補救動作。

示例68包括如示例59-67中任一項所述的主題，并且其中，確定所述補救動作包括：從補救服務器請求補救確定；以及從所述補救服務器接收與所述補救確定相關聯(lián)的補救指令。

示例69包括如示例59-68中任一項所述的主題，并且進一步包括：由所述安全服務器將所述補救指令傳輸至所述計算設備。

示例70包括一種安全服務器，所述安全服務器包括：處理器；以及存儲器，所述存儲器具有存儲于其中的多條指令，所述指令當被所述處理器執(zhí)行時致使所述安全服務器執(zhí)行示例59-69中任一項所述的方法。

示例71包括一種或多種機器可讀存儲介質(zhì)，所述一種或多種機器可讀存儲介質(zhì)包括存儲于其上的多條指令，所述指令響應于被安全服務器執(zhí)行而使所述安全服務器執(zhí)行如示例59-69中任一項所述的方法。

示例72包括一種用于對安全異常進行分布式檢測的安全服務器，所述安全服務器包括：用于與計算設備建立可信關系的裝置；用于從所述計算設備接收所述計算設備的虛擬網(wǎng)絡功能間網(wǎng)絡或虛擬網(wǎng)絡功能部件間網(wǎng)絡中至少一者的一個或多個分組的安全威脅評估的裝置；以及用于由所述安全服務器將所述安全威脅評估與所述安全服務器的安全威脅數(shù)據(jù)庫進行關聯(lián)以判定所述一個或多個分組是否造成安全威脅的裝置。

示例73包括如示例72所述的主題，并且其中，所述用于建立所述可信關系的裝置包括：用于與所述計算設備的相應可信執(zhí)行環(huán)境模塊建立所述可信關系的裝置。

示例74包括如示例72和73中任一項所述的主題，并且其中，所述用于接收所述安全威脅評估的裝置包括：用于通過在所述安全服務器的所述可信執(zhí)行環(huán)境模塊與所述計算設備的所述相應的可信執(zhí)行環(huán)境模塊之間建立的帶外通信信道從所述計算設備的所述相應的可信執(zhí)行環(huán)境模塊接收所述安全威脅評估的裝置。

示例75包括如示例72-74中任一項所述的主題，并且其中，所述用于建立所述可信關系的裝置包括：用于與所述計算設備交換密鑰的裝置。

示例76包括如示例72-75中任一項所述的主題，并且進一步包括：用于基于所述可信關系與所述計算設備建立可信隧道的裝置。

示例77包括如示例72-76中任一項所述的主題，并且其中，所述用于建立所述可信隧道的裝置包括：用于從所述計算設備接收所述計算設備的安全策略的裝置。

示例78包括如示例72-77中任一項所述的主題，并且其中，所述用于建立所述可信隧道的裝置包括：用于從所述計算設備接收所述計算設備的啟發(fā)式代碼的裝置。

示例79包括如示例72-78中任一項所述的主題，并且其中，所述用于建立所述可信隧道的裝置進一步包括：用于將啟發(fā)式代碼傳輸至所述計算設備的裝置。

示例80包括如示例72-79中任一項所述的主題，并且進一步包括：用于響應于基于所述安全威脅評估與所述安全威脅數(shù)據(jù)庫的關聯(lián)對安全威脅的識別而確定補救動作的裝置。

示例81包括如示例72-80中任一項所述的主題，并且其中，所述用于確定所述補救動作的裝置包括：用于從補救服務器請求補救確定的裝置；以及用于從所述補救服務器接收與所述補救確定相關聯(lián)的補救指令的裝置。

示例82包括如示例72-81中任一項所述的主題，并且進一步包括：用于將所述補救指令傳輸至所述計算設備的裝置。