Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6359766B2 - セキュリティ異常の分散検出のためのテクノロジー - Google Patents
[go: Go Back, main page]

JP6359766B2 - セキュリティ異常の分散検出のためのテクノロジー - Google Patents

セキュリティ異常の分散検出のためのテクノロジー Download PDF

Info

Publication number
JP6359766B2
JP6359766B2 JP2017516148A JP2017516148A JP6359766B2 JP 6359766 B2 JP6359766 B2 JP 6359766B2 JP 2017516148 A JP2017516148 A JP 2017516148A JP 2017516148 A JP2017516148 A JP 2017516148A JP 6359766 B2 JP6359766 B2 JP 6359766B2
Authority
JP
Japan
Prior art keywords
computing device
security
server
trusted
execution environment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017516148A
Other languages
English (en)
Other versions
JP2017534106A (ja
Inventor
スード,カピル
エー. エルギン,メスート
エー. エルギン,メスート
アール. ファスタベンド,ジョン
アール. ファスタベンド,ジョン
ウー,シネ
ビー. ショー,ジェフリー
ビー. ショー,ジェフリー
ジェイ. スケリー,ジュニア.ブライアン
ジェイ. スケリー,ジュニア.ブライアン
Original Assignee
インテル コーポレイション
インテル コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by インテル コーポレイション, インテル コーポレイション filed Critical インテル コーポレイション
Publication of JP2017534106A publication Critical patent/JP2017534106A/ja
Application granted granted Critical
Publication of JP6359766B2 publication Critical patent/JP6359766B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Debugging And Monitoring (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)

Description

関連米国特許出願の相互参照
本出願は、2014年10月13日に申請され、“TECHNOLOGIES FOR DISTRIBUTED DETECTION OF SECURITY ANOMOLIES”と題された米国特許出願第14/513,140号に対して優先を主張し、2014年9月30日に申請され、“TECHNOLOGIES FOR DISTRIBUTED DETECTION OF SECURITY ANOMOLIES”と題された米国仮出願第62/058,096号に対して35 U.S.C.§119(e)下で優先を主張する。
ネットワーク機能及びサービスが世界中でネットワークオペレータ及びサービスプロバイダにより展開され、管理される方法を、様々な技術仕様が定義している。例えば、仕様は、仮想化されたプラットフォームの仕様を定義してサービスを届け、しばしば、サービス内のコンポーネントが一緒に「チェーンにされる」ことがある。こうした技術仕様には、例えば、欧州電気通信標準化機構のネットワーク機能仮想化のための標準(European Telecommunication Standards Institute's standard for Network Functions Virtualization)(ETSI NFV)が含まれる。ネットワークオペレータが、ETSI NFVにより現在定義されるとおり仮想ネットワーク機能モデル上でネットワーク機能及びサービスを稼働させるとき、物理ネットワーキングシステムに対して従来利用可能な十分定義されたインターフェースは、インターフローパケット解析に対してもはや利用できない。そのようなものとして、脅威が検出されてそれに対して応答されることを確保するためのシステムの能力(例えば、ある加入者が、より高い特権レベルを有する加入者のために予約されたネットワーク機能上のサービスにアクセスするのを防止すること)は、大幅に抑制される可能性がある。
本明細書に説明される概念は、添付図面において、限定でなく例として示される。例示の簡素さ及び明りょうさのため、図内に示される要素は、必ずしも縮尺どおりに描かれていない。適切と考えられる場合、参照ラベルが複数図にわたり繰り返されて、対応する又は類似の要素を示す。
セキュリティ異常の分散検出のためのシステムの少なくとも1つの実施形態の、簡素化されたブロック図である。 図1のシステムのバックボーンネットワークシステムの少なくとも1つの実施形態の、簡素化されたブロック図である。 図2のバックボーンネットワークシステムのサーバの少なくとも1つの実施形態の、簡素化されたブロック図である。 図3のサーバの環境の少なくとも1つの実施形態の、簡素化されたブロック図である。 図2のサーバにより実行され得るセキュリティ異常の分散検出のための方法の少なくとも1つの実施形態の、簡素化されたフロー図である。 図2のサーバにより実行され得るセキュリティ異常の分散検出のための方法の少なくとも1つの実施形態の、簡素化されたフロー図である。 図2のセキュリティサーバにより実行され得るセキュリティ異常の分散検出のための方法の少なくとも1つの実施形態の、簡素化されたフロー図である。
本開示の概念は様々なモディフィケーション及び代替的な形式を受け入れる余地があり、そのうちの特定の実施形態が図面において例として示されており、本明細書において詳細に説明される。しかしながら、本開示の概念を開示される個別の形式に限定する意図はなく、しかし反対に、本発明は本開示及び別記の請求項に矛盾しないすべてのモディフィケーション、均等物、及び代替物をカバーすることが理解されるべきである。
明細書における「1つの実施形態」、「一実施形態」、「一例示的実施形態」等に対する参照は、説明される実施形態が個別の特徴、構造、又は特性を含み得ることを示すが、あらゆる実施形態が必ず上記個別の特徴、構造、又は特性を含むこともあればそうでないこともある。さらに、こうした表現は、必ずしも同じ実施形態を参照していない。さらに、個別の特徴、構造、又は特性が一実施形態と関連して説明されるとき、明示的に説明されているかそうでないかに関わらず、上記特徴、構造、又は特性を他の実施形態と関連して達成することは当業者の知識内であると考えられる。さらに、「少なくとも1つのA、B、及びC」の形式のリストに含まれるアイテムは、(A)、(B)、(C)、(A及びB)、(B及びC)、(A及びC)、又は(A、B、及びC)を意味し得ることが十分理解されるべきである。同様に、「A、B、又はCのうち少なくとも1つ」の形式で列挙されるアイテムは、(A)、(B)、(C)、(A及びB)、(B及びC)、(A又はC)、又は(A、B、及びC)を意味し得る。
開示される実施形態は、いくつかの場合、ハードウェア、ファームウェア、ソフトウェア、又はこれらのうち任意の組み合わせにおいて実装することができる。開示される実施形態は、さらに、1つ以上の一時的又は非一時的マシン読取可能(例えば、コンピュータ読取可能)記憶媒体により担体され又は該記憶媒体上に記憶された命令として実装されてもよく、上記命令は、1つ以上のプロセッサにより読み出され、実行されることができる。マシン読取可能記憶媒体は、マシンにより読取可能な形式において情報を記憶し又は送信する任意の記憶装置、メカニズム、又は他の物理構造として具現化することができる(例えば、揮発性又は不揮発性のメモリ、媒体ディスク、又は他の媒体装置)。
図面において、いくつかの構造的な又は方法の特徴が、特定の配置及び/又は順序付けにおいて示されることがある。しかしながら、こうした配置及び/又は順序付けは必要とされない可能性があることが十分理解されるべきである。むしろ、いくつかの実施形態において、こうした特徴が、例示される図に示されるのとは異なる仕方及び/又は順序で配置され得る。さらに、個別の図内に構造的又は方法の特徴を含めることは、その特徴がすべての実施形態において必要とされることを暗に示すものではなく、いくつかの実施形態において、含まれないことがあり、あるいは他の特徴と組み合わせられてもよい。
次に図1を参照すると、セキュリティ異常の分散検出(distributed detection)のためのシステム100が、バックボーンネットワークシステム102、バックホールネットワークシステム104、1つ以上のタワーシステム106、及び1つ以上の加入者装置108を例示的に含む。例示的な実施形態において、加入者装置108は、タワーシステム106によってバックホールネットワークシステム104と通信し、バックホールネットワークシステム104は、適切なデータパケットが処理及び/又はさらなるルーティングのためにバックボーンネットワークシステム102に対してルーティングされることを確保する。バックボーンネットワークシステム102、バックホールネットワークシステム104、タワーシステム106、及び加入者装置108は、本明細書において説明される機能を実行する任意の適切な装置又は装置の集合として具現化されてよいことが十分理解されるべきである。例示的な実施形態において、バックボーンネットワークシステム102、バックホールネットワークシステム104、及びタワーシステム106の各々が、加入者装置108及び/又は他の装置間における(例えば、インターネットを通じた)電気通信を可能にする。さらに、バックボーンネットワークシステム102、バックホールネットワークシステム104、及びタワーシステム106は、任意数の装置、ネットワーク、ルータ、スイッチ、コンピュータ、及び/又は他の介在装置を含み、その対応する機能を個別の実装に依存して容易にすることができる。
いくつかの実施形態において、バックボーンネットワークシステム102は、ネットワーク機能仮想化(Network Function Virtualization)(NFV)ベースのロングタームエボリューション(LTE)バックボーンネットワークとして、仮想進化型パケットコア(Virtual Evolved Packet Core)(vEPC)アーキテクチャを有して具現化されることができる。バックボーンシステム102は、集中型ネットワークとしての機能を果たすことができ、いくつかの実施形態において、別のネットワーク(例えば、インターネット)に通信可能に結合されてもよい。例示的な実施形態において、バックホールネットワークシステム104は、バックボーンネットワーク102をタワーシステム106、サブネットワーク、及び/又はエッジネットワークに(例えば、中間リンクを介して)通信可能に結合する1つ以上の装置を含む。いくつかの実施形態において、バックホールネットワークシステム104は、LTEバックホールネットワークシステムの機能を果たすことができ、様々なネットワークを含んでよく、例えば、T1、IP、光、ATM、リース、及び/又は他のネットワークが含まれる。
タワーシステム106は、通信装置、例えば、モバイルコンピューティング装置(例えば、モバイルフォン)及び/又は他の加入者装置108に、互いに及び/又は他のリモート装置と通信することを許可するように構成されたハードウェアを含む。そのようにすることにおいて、タワーシステム106は、加入者装置108がバックホールネットワークシステム104と通信することを可能にする。いくつかの実施形態において、タワーシステム106のうち1つ以上が、加入者装置108(例えば、モバイルコンピューティング装置ハンドセット)のうち1つ以上と直接的又は間接的に通信するように構成された進化型ノード(eNodeB)を含み、あるいはその他の方法で該進化型ノードとして具現化されることができる。さらに、タワーシステム106は、個別の実施形態に依存して、基地局(base transceiver station)(BTS)又は別のステーション/システムを含み、あるいは上記としての機能を果たしてもよい。加入者装置108は、本明細書に説明される機能を実行することができる任意タイプのコンピューティング装置として具現化されることができる。例えば、LTEバックホール及びバックボーンシステムが利用される実施形態において、加入者装置108は、モバイルコンピューティング装置(例えば、スマートフォン)として具現化されることができ、セルラーネットワークを利用するように構成されることができる。
下記で詳細に説明されるとおり、システム100は、様々な仮想ネットワーク機能を利用することと同時に、脅威(threats)が(例えば、インターフローパケット解析(inter-flow packet analysis)を介して)検出され、それに対して行動されることを確保することができる。さらに、システム100は、トラステッドエグゼキューション環境(Trusted Execution Environment)(TEE)を用いて仮想プラットフォーム上で、強化された、細粒度の(fine-grain)セキュリティ検査能力を提供することができる。下記で説明されるとおり、例示的な実施形態において、TEEは、セキュアエンクレーブ、例えばIntel(登録商標)ソフトウェアガードエクステンションズ(Software Guard Extensions)(SGX)などとして確立される。しかしがら、他の実施形態において、TEEはその他の方法で、例えば、マネージアビリティエンジン(Manageability Engine)(ME)、トラステッドプラットフォームモジュール(trusted platform module)(TPM)、イノベーションエンジン(Innovation Engine)(IE)、セキュアパーティション、別個のプロセッサコア、及び/又はその他の方法で確立されるものとして、確立され、あるいは具現化されてもよい。
ネットワーク機能仮想化(NVF)環境において、非仮想化環境についての従来の十分定義されたインターフェースは一般に利用不可能であり、NFVシステムは、複数の仮想ネットワーク機能(VNF)を含んでよく、その各々は1つ以上の仮想ネットワーク機能コンポーネント(VNFC)を含んでよいことが十分理解されるべきである。VNF及び/又はVNFCは、様々な異なるメカニズムを用いて互いに通信することができ、該メカニズムには、例えば、共有メモリ、閉じられたOS若しくはハイパーバイザ固有のアプリケーションプログラミングインターフェース(API)、ネットワーク仮想スイッチテストアクセスポイント(TAP)、及び/又は他のメカニズムが含まれる。さらに、いくつかの実施形態において、イントラVNF及び/又はイントラVNFトラフィックが、例えばインターネットプロトコルセキュリティ(IPsec)又はセキュアソケットレイヤ(SSL)を用いて、暗号化されることができる。そのようなものとして、従来のメカニズムは、従来のネットワーク検査システムが仮想化環境におけるすべてのトラフィックに対して明りょうな可視性を有して効率的に動作するための一貫性のある方法を提供できないことが、十分理解されるべきである。
しかしながら、例示的な実施形態において、システム100は、TEEの能力を用いて(例えば、マイクロコード(ucode)、ハードウェア命令、及び/又は他のメカニズムと関連して)仮想化システムにわたりパケット及び/又はフローを検査するように構成される。例えば、下記で説明されるとおり、システム100の各サーバ又はプラットフォームは、プラットフォームセキュリティポリシーインスペクタ(inspector)の役割を仮定するプラットフォーム固有TEEを含むことができる。詳細に、プラットフォーム固有TEEは、ネットワークMAC/イーサネット(登録商標)及び/又は他のネットワーク/通信インターフェースから(例えば、インターIP(inter-IP)サイドチャネルメカニズムをとおして)来るすべてのパケット(すなわち、進入及び/又は退出)を検査することができる。さらに、プラットフォーム固有TEEは、ハイパーバイザ(例えば、仮想マシンモニタ)特権に基づいて共有メモリ及び/又は独自APIを(proprietary APIs)検査し、定義されたAPI(例えば、HECIインターフェース)を用いてTEEと通信することができる。プラットフォーム固有TEEは、さらに又は別法として、署名され及びアンチロールバック保護されたマイクロコード(ucode)パッチ上で呼び出される、より高い特権に基づいて、ローカルの及び共有されたプロセッサ(例えば、CPU)とSoCキャッシュメモリとを検査してもよい。いくつかの実施形態において、プラットフォーム固有TEEは、保護されたインターVNFC(inter-VNFC)及びインターVNF(inter-VNF)トラフィックを監視することに対して、TEEベースのインターVNFCトンネルキーを使用する。さらに又は別法として、プラットフォーム固有TEEは、様々な仮想スイッチインターフェースへの及びTAPへのハイパーバイザアクセスを使用して、トラフィックデータにアクセスすることができる。
いくつかの実施形態において、TEEは、プラットフォーム上で複数のソースから情報を収集することができ、従来のシステムにおいてなされるよりもかなりより詳細な仕方でそのようにできることが十分理解されるべきである。例えば、TEEは、ポリシーにより構成可能であって、すべての又は選択されたパケット、ネットワークフローを監視し、パケット修正を追跡し、かつ/あるいは他の監視機能を実行することができる。TEEは、収集されたデータに対して高度なヒューリスティック(heuristics)を稼働させ、個別のポリシーに依存して脅威情報を保有することができる。さらに、TEEは、ポリシー及び/又は受信した是正命令(remediation instructions)に基づいて、1つ以上の是正措置(remediation actions)をとることができる(例えば、特定のフローをブロックすること、パケットをコピーすること等)。いくかの実施形態において、TEEは、例外及び/又は脅威ヒューリスティックを、(例えば、NFV分散脅威検出セキュリティシステム上の)指名された(nominated)TEEに伝えることができ、指名されたTEEは、システム全体のセキュリティ脅威ヒューリスティック/解析を実行することができる。いくつかの実施形態において、他のTEEがさらなる(例えば、より広いスケールの)解析のために指名されたTEEにセキュリティ情報を送信するように分散脅威検出システムが設計されるという意味で、TEEは「指名される」ことが十分理解されるべきである。下記で説明されるとおり、いくつかの実施形態において、指名されたTEEは、セキュリティサーバ及び/又は分散脅威検出セキュリティシステムに含まれることができる。さらに、いくつかの実施形態において、複数のTEEが、システム全体又はサブシステム全体のセキュリティ脅威解析を実行するように指名されてもよく、これらTEEは、階層的に配置されてもよい。例えば、一実施形態において、第1の指名されたTEEは、第1のサブシステム内のサーバの対応するTEEから受信される情報に基づいて、第1のサブシステムのセキュリティ脅威解析を実行することができ、第2の指名されたTEEは、第2のサブシステム内のサーバの対応するTEEから受信される情報に基づいて、第2のサブシステムのセキュリティ脅威解析を実行することができ、以下同様である。上記サブシステムTEE(例えば、第1及び第2の指名されたTEE)の各々は、その解析及び/又はさらなる情報を「より高い」仮想レベルにおける別の指名されたTEEに提供して、より低いレベルの指名されたTEEから受信される情報に基づいて完全なシステム全体(又は、より大きいサブシステム全体)のセキュリティ脅威解析を実行することができる。当然ながら、指名されたTEE及び/又は階層レベルの数は、個別の実施形態に依存して変動してよい。
TEEの階層能力は、ローカルの是正措置が制定されることを可能にし、同時に、複数のプラットフォームにわたるVNFとVNFCとに及ぶフローについてのシステム全体の脅威検出及び是正を可能にすることができる。いくつかの実施形態において、TEEは、すべてのコード及びデータを含め保護され、(例えば、TPM又は仮想TPMを用いて)署名検証及び測定においてのみロードされることができる。さらに、TEEは、ルートキーにより承認された、署名検証された第三者検証(third party verification)(TPV)コードを稼働させる能力を有して、TPV及び/又は他のベンダを有効にしてもよい。本明細書において説明される通信のインターフェースは、例えば、SoC又はプロセッサ内のインターIP通信(IPC)、装置ドライバモデル(例えば、HECIインターフェース)、仮想LANアタッチメント、インターコンポーネント(inter-component)インタラクションのための既存のプロトコル(例えば、PECI、SMBUS等)を含んでもよいことが十分理解されるべきである。他の実施形態において、コンポーネントは、例えば、TLS保護されたHTTPSのウェブベースのREST APIを通じて通信してもよい。さらに、いくつかの実施形態において、システム100は、プラットフォームの、ハイパーバイザの、及びクラウドOSの中立的な仕方で実装されてもよいことが十分理解されるべきである。
次に図2を参照すると、例示的な実施形態において、バックボーンネットワークシステム102は、1つ以上のVNF202、1つ以上のサーバ204、及びセキュリティサーバ206を含む。さらに、いくつかの実施形態において、バックボーンネットワークシステム102は、是正サーバ(remediation server)208及び/又はオーケストレータ(orchestrators)210を含む。1つのセキュリティサーバ206、1つの是正サーバ208、及び1つのオーケストレータ210が図2に例示的に示されるが、バックボーンネットワークシステム102は、他の実施形態において任意数のセキュリティサーバ206、是正サーバ208、及び/又はオーケストレータ210を含んでよい。例えば、いくつかのセキュリティサーバ206が含まれてもよく、これらセキュリティサーバの各々が、階層の及び分散された脅威検出について本明細書に説明されるとおりに指名されたTEEを含んでもよい。いくつかの実施形態において、サーバ204及びセキュリティサーバ206の各々が、同様のハードウェア、ソフトウェア、及び/又はファームウェアコンポーネントを含んでよいことが十分理解されるべきである。さらに、いくつかの実施形態において、セキュリティサーバ206は、セキュリティサーバ206が本明細書に説明されるとおりの指名されたTEEを含むことを除き、サーバ204の1つとして具現化されてもよい。
次に図3を参照すると、システム102のサーバ204、206の一例示的な実施形態が示される。図示されるとおり、例示的なサーバ204、206は、プロセッサ310、入力/出力(“I/O”サブシステム)312、メモリ314、データ記憶装置316、通信回路318、及び1つ以上の周辺装置320を含む。さらに、いくつかの実施形態において、サーバ204、206は、セキュリティコプロセッサ322を含むことができる。当然ながら、サーバ204、206は、他の実施形態において、他の又はさらなるコンポーネント、例えば、典型的なコンピューティング装置内で一般に見られるもの(例えば、様々な入力/出力装置、及び/又は他のコンポーネント)などを含んでもよい。さらに、いくつかの実施形態において、例示的なコンポーネントのうち1つ以上が、別のコンポーネントに組み込まれ、あるいはその他の方法で別のコンポーネントの一部分を形成してもよい。例えば、メモリ314又はその一部が、いくつかの実施形態においてプロセッサ310に組み込まれてもよい。
プロセッサ310は、本明細書に説明される機能を実行することができる任意タイプのプロセッサとして具現化されることができる。例えば、プロセッサ310は、シングル若しくはマルチコアプロセッサ、デジタルシグナルプロセッサ、マイクロコントローラ、又は他のプロセッサ若しくは処理/制御回路として具現化されてもよい。図示されるとおり、プロセッサ310は、1つ以上のキャッシュメモリ324を含むことができる。メモリ314は、本明細書に説明される機能を実行することができる任意タイプの揮発性又は不揮発性のメモリ又はデータ記憶装置として具現化されてよいことが十分理解されるべきである。動作において、メモリ314は、サーバ204、206の動作の間に使用される様々なデータ及びソフトウェアを記憶することができ、例えば、オペレーティングシステム、アプリケーション、プログラム、ライブラリ、及びドライバなどである。メモリ314は、I/Oサブシステム312を介してプロセッサ310に通信可能に結合され、I/Oサブシステム312は、サーバ204、206のプロセッサ310、メモリ314、及び他のコンポーネントとの入力/出力動作を容易にする回路及び/又はコンポーネントとして具現化されることができる。例えば、I/Oサブシステム312は、メモリコントローラハブ、入力/出力制御ハブ、ファームウェア装置、通信リンク(すなわち、ポイントツーポイントリンク、バスリンク、ワイヤ、ケーブル、光ガイド、印刷回路板トレース等)、及び/又は他のコンポーネント及びサブシステムとして具現化され、あるいはその他の方法で上記を含み、入力/出力動作を容易にすることができる。いくつかの実施形態において、I/Oサブシステム312は、システムオンチップ(SoC)の一部分を形成し、サーバ204、206のプロセッサ310、メモリ314、及び他のコンポーネントとともに、単一の集積回路チップ上に組み込まれることができる。
データ記憶装置316は、短期又は長期の記憶に対して構成された任意タイプの1つ又は複数の装置として具現化されることができ、例えば、メモリデバイス及び回路、メモリカード、ハードディスクドライブ、ソリッドステートドライブ、または他のデータ記憶装置などである。データ記憶装置316及び/又はメモリ314は、サーバ204、206の動作の間、本明細書に説明される機能を実行するのに有用な様々なデータを記憶することができる。
通信回路318は、サーバ204、206、及び他のリモート装置の間でネットワークを通じた通信を可能にすることができる任意の通信回路、装置、又はこれらの集合として具現化されることができる。通信回路318は、任意の1つ以上の通信テクノロジー(例えば、無線又は有線通信)と関連プロトコル(例えば、イーサネット、Bluetooth(登録商標)、Wi‐Fi(登録商標)、WiMAX(登録商標)等)とを使用して、上記通信を達成するように構成されることができる。いくつかの実施形態において、通信回路318は、セルラー通信回路及び/又は他の長距離無線通信回路を含む。
周辺装置320は、任意数のさらなる周辺又はインターフェース装置、例えば、スピーカ、マイクロフォン、さらなる記憶装置などを含むことができる。周辺装置320に含まれる個別の装置は、例えば、サーバ204、206のタイプ及び/又は意図された使用法に依存してよい。
セキュリティコプロセッサ322は、含まれる場合、セキュリティ機能、暗号機能を実行し及び/又は信頼された実行環境を確立することができる任意のハードウェアコンポーネント又は回路として具現化されることができる。例えば、いくつかの実施形態において、セキュリティコプロセッサ322は、トラステッドプラットフォームモジュール(TPM)又は帯域外(out-of-band)プロセッサとして具現化されてもよい。さらに、いくつかの実施形態において、セキュリティコプロセッサ322は、リモート装置(例えば、他のサーバ204、206の対応するセキュリティコプロセッサ322)との帯域外通信リンクを確立することができる。
図2に戻ると、図示されるとおり、バックボーンネットワークシステム102は、1つ以上の仮想ネットワーク機能(VNF)202を含み、VNFの各々は、1つ以上の仮想ネットワーク機能コンポーネント(VNFC)212を含むことができる。VNF202は、任意の適切な仮想ネットワーク機能として具現化されてよく、同様に、VNFC212は、任意の適切なVNFコンポーネントとして具現化されてよいことが十分理解されるべきである。例えば、いくつかの実施形態において、VNF202は、セキュリティゲートウェイ(SGW)、パケットデータネットワークゲートウェイ(PNG)、請求機能、及び/又は他の仮想ネットワーク機能を含んでもよい。いくつかの実施形態において、個別のVNF202が複数のサブインスタンスを有してもよく、サブインスタンスは同じサーバ204、206又は異なるサーバ204、206上で実行することができる。換言すると、仮想化されるとき、個別のサーバ204、206にコロケートされた物理ハードウェアにより従来扱われるネットワーク機能が、サーバ204、206のうち1つ以上にわたりVNF202として分散されることができる。例示的な実施形態において、VNFC212は、1つ以上のVNF202の機能性を届けるために協働する処理及び/又はインスタンスである。例えば、いくつかの実施形態において、VNFC212は、VNF202のサブモジュールである。VNF202と同様に、VNFC212が1つ以上のサーバ204、206にわたり分散されてもよいことが十分理解されるべきである。さらに、個別のVNFC212が複数のサーバ204、206にわたり分散され、単一のサーバ204、206上に確立されるVNF202の一部を依然として形成してもよいことが十分理解されるべきである。
本明細書において説明されるとき、例示的な実施形態において、1つ以上のサーバ204、206のVNF202は、例えば、1つ以上のインターVNF通信メカニズムを介してインターVNF通信ネットワーク240を通じて、互いに通信することができる。同様に、1つ以上のサーバ204、206のVNFC212は、例えば、1つ以上のインターVNFC通信メカニズムを介してインターVNFC通信ネットワーク242を通じて、互いに通信することができる。インターVNF及びインターVNFC通信メカニズムは、インターVNF及び/又はインターVNFC通信を可能にするように構成された任意の適切なメカニズムとして具現化されてよいことが十分理解されるべきである。例えば、いくつかの実施形態において、VNF202及び/又はVNFC212は、ハイパーバイザ及びパケット構文解析、標準フォーマットに基づき整形されたパケット、共有メモリ(例えば、ハイパーバイザにより予約された物理/仮想メモリ)、及び/又は他の適切なメカニズムを有するオープンスイッチを用いて互いに通信することができる。例示的な実施形態において、個別のVNF202又はVNFC212が実行されているサーバ204、206のTEEは、上記個別のVNF202又はVNFC212に関連付けられたインターVNF及びインターVNFC通信を(直接的又は間接的に)読み出すように構成される。
VNF202は、サービスチェーンへのパケットを処理できることが十分理解されるべきである。しかしながら、動作の間、1つ以上の実行時脅威がシステムに注入される可能性があり、このことは、パケット又はフローのセットが個別のポリシーにより必要とされるとおりサービスチェーン全体によって処理されるのを、妨げる可能性がある。そのようなものとして、サーバ204、206のTEEは、異常、及び異常なVNF実行時挙動を識別するのに利用することができ、上記異常及び挙動には、例えば、悪意のあるTCPsyncフラッド、パケット廃棄、フロー切断、アプリケーションレベルポリシーの違反、及び他の潜在的なセキュリティ脅威などが含まれる。そのようなものとして、TEEは、サーバのセキュリティポリシーインスペクタとしての役割を仮定することができる。
図2の例示的な実施形態において、サーバ204の各々は、ハイパーバイザ214、メモリ314、キャッシュ324、1つ以上のエンジン220、1つ以上のネットワークインターフェース222、及び信頼された実行環境224を含む。さらに、ハイパーバイザ214は、1つ以上のAPI226、仮想スイッチ(vSwitch)228、1つ以上の暗号化トンネル230、及び共有メモリ232を含む。当然ながら、サーバ204は、いくつかの実施形態においてさらなるコンポーネントを含んでもよく、こうしたコンポーネントは、説明の明りょうさのために省略される。
ハイパーバイザ214又は仮想マシンモニタは、対応するサーバ204上で1つ以上の仮想マシン(VM)を稼働させる。そのようなものとして、ハイパーバイザ214は、様々な仮想化されたハードウェアリソース(例えば、仮想メモリ、仮想オペレーティングシステム、仮想ネットワーキングコンポーネント等)を確立し、かつ/あるいは利用することができる。ハイパーバイザ214及び/又はサーバ204に含まれる個別のAPI226は、個別のサーバ204に依存して一般に変動し得る。いくつかの実施形態において、API226は1つ以上の独自APIを含む。いくつかの実施形態において、API226は、(例えば、VNF202に関連付けられた)パケットに対するアクセスを提供することができ、そのため、上記パケットはTEE224により解析されることができる。仮想スイッチ228を利用して、ネットワークポリシーを強制し(enforce)、かつ/あるいは措置を強制することができる(例えば、パケットを廃棄する、フローを監視する、ディープインスペクションを実行する、是正措置を実行する等)。例えば、仮想スイッチ216は、システム102内の仮想マシン(VM)のネットワーキングを許可することができる。下記で説明されるとおり、いくつかの実施形態において、サーバ204は、(例えば、セキュリティサーバ206との、VNF202間の、及び/又はVNFC212間の通信について、)セキュア通信のための暗号化トンネル218を確立することができる。いくつかの実施形態において、暗号化トンネル218は、(例えば、対応する暗号化キーに対するアクセスによって、暗号化された形式で又は暗号化されていない形式で)サーバ204のTEEによって読み出されることができる。さらに、いくつかの実施形態において、1つ以上のVM、VNF202、及び/又はVNFC212は、共有メモリ232を利用することができる。例えば、いくつかの実施形態において、VNF202及びVNFC212は、共有メモリ232を利用して互いに通信することができる。共有メモリ232は、個別の実施形態に依存して物理メモリ及び/又は仮想メモリを含んでよいことが十分理解されるべきである。例示的な実施形態において、個別のサーバ204のTEE224は、該サーバ204のAPI226、仮想スイッチ228、暗号化トンネル230、及び共有メモリ232の各々にアクセスして、1つ以上のパケット/フローのセキュリティ脅威解析についてデータを取り出すことができる。さらに、TEE224は、こうした解析のためにインターVNF及びインターVNFC通信にアクセスすることができる。
上記で説明されたとおり、サーバ204は、メモリ314、キャッシュ324、エンジン220、ネットワークインターフェース222、及びTEE224を含む。メモリ314は、本明細書に説明される機能を実行することができる任意タイプの揮発性又は不揮発性のメモリ又はデータ記憶装置として具現化されてよいことが十分理解されるべきである。さらに、いくつかの実施形態において、メモリ314は、ソフトウェア定義されたストレージを含んでもよい。1つ以上のエンジン220は、セキュリティ評価を準備することにおいてTEE224及び/又はセキュリティサーバ206に対して有用なデータを生成する任意のハードウェア、ファームウェア、及び/又はソフトウェアコンポーネントとして具現化されることができる。例えば、エンジン220は、SoC、グラフィックスエンジン、セキュリティエンジン、オーディオエンジン、暗号モジュール、TPM、コプロセッサ、通信リンク若しくはチャネル、スイッチ、及び/又は、データを処理し又はその他の方法で扱うように構成された別のエンジンを含むことができる。ネットワークインターフェース222は、データパケットのネットワーキング処理に関連付けられた任意のインターフェースとして具現化されることができる。例えば、いくつかの実施形態において、ネットワークインターフェース222は、ネットワークMAC/イーサネットインターフェース、ソフトウェア定義されたネットワーキングモジュール、及び/又は別のネットワークインターフェースを含む。
上記で指摘されたとおり、例示的な実施形態において、TEE224は、セキュアエンクレーブ、例えば、インテルソフトウェアガードエクステンションズ(SGX)などとして確立される。しかしながら、他の実施形態において、TEE224はその他の方法で、例えば、マネージアビリティエンジン(Manageability Engine)(ME)、トラステッドプラットフォームモジュール(trusted platform module)(TPM)、イノベーションエンジン(Innovation Engine)(IE)、セキュアパーティション、別個のプロセッサコア、及び/又はその他の方法で確立されるものとして、確立されてもよい。例えば、いくつかの実施形態において、TEE224は、セキュリティコプロセッサ322として具現化され、あるいはセキュリティコプロセッサ322によって確立されてもよい。本明細書において論じられるとき、TEE224は、サーバ204の様々なコンポーネントからデータを取り出すように構成され、上記データは、セキュリティ解析を行うのに使用されることができる。いくつかの実施形態において、TEE224は、取り出されたデータに基づいてローカルのセキュリティ解析を実行することができる。さらに、例示的な実施形態において、TEE224は、セキュリティ脅威評価データ(すなわち、収集されたデータ、及び/又は解析結果)を、セキュリティサーバ206の対応するTEE224に(すなわち、指名されたTEE224に)送信する。例示的な実施形態において、TEE224は、帯域外通信ネットワークを通じて互いに通信してもよいことが十分理解されるべきである。
本明細書において論じられるとき、セキュリティサーバ206の指名されたTEE224は、システム全体(又は、より広いサブシステム全体)のセキュリティ評価を実行する。いくつかの実施形態において、セキュリティサーバ206は、是正サーバ208と通信して、セキュリティ評価に関連付けられた是正命令(すなわち、サーバ204により実行されるべき適切な措置)を要求することができる。図2に示されるとおり、是正サーバ208は、クラウドコンピューティング環境234内に含まれることができ、その場合、是正サーバ208は、オーケストレータ210と協議して(consult)、適切な是正措置/命令を決定することができる。是正サーバ208及びオーケストレータ210は、本明細書に説明される機能を実行することができる任意のサーバ又はコンピューティング装置として具現化されることができる。さらに、是正サーバ208及びオーケストレータ210は、上記で説明されたサーバ204、206のコンポーネントと同様のコンポーネント、及び/又は、サーバにおいて一般に見られるコンポーネント、例えば、プロセッサ、メモリ、I/Oサブシステム、データ記憶装置、周辺装置などを含んでもよく、上記コンポーネントは、説明の明りょうさのために図2には示されない。
次に図4を参照すると、使用において、サーバ204、206のうち1つ以上が、セキュリティ異常の分散検出のための環境400を確立する。サーバ204、206の例示的な環境400は、セキュリティモジュール402、信頼された実行環境モジュール404、通信モジュール406、セキュリティ脅威データベース408、1つ以上のポリシー410(例えば、セキュリティ及び/又は構成ポリシー)、及びヒューリスティックコード(heuristic code)412を含む。環境400のモジュールの各々は、ハードウェア、ソフトウェア、ファームウェア、又はこれらの組み合わせとして具現化されることができる。さらに、いくつかの実施形態において、例示的なモジュールのうち1つ以上が別のモジュールの一部分を形成してもよく、かつ/あるいは、例示的なモジュールのうち1つ以上がスタンドアロンの又は独立したモジュールとして具現化されてもよい。例えば、環境400のモジュール、ロジック、及び他のコンポーネントの各々が、サーバ204、206のプロセッサ310の一部分を形成し、あるいはその他の方法で該プロセッサ310により確立されてもよい。
セキュリティモジュール402は、サーバ206のための様々なセキュリティ機能を実行するように構成される。例えば、セキュリティモジュール402は、暗号キー、署名、ハッシュの生成及び検証を扱い、かつ/あるいは他の暗号機能を実行することができる。
信頼された実行環境モジュール404は、サーバ204、206内で、信頼された実行環境(例えば、TEE224)又はその他のセキュア環境を確立する。上記で説明されたとおり、TEE224は、別のサーバ204、206の対応するTEE224との信頼された関係を確立することができる。例えば、そのようにすることにおいて、TEE224は、暗号キー交換を実行することができる。いくつかの実施形態において、TEE224は、確立された暗号化された及び/又はその他のセキュアなトンネルを通じて互いに通信することができる。上記で説明されたとおり、いくつかの実施形態において、TEE224は、帯域外通信チャネル(すなわち、対応するサーバ204、206間における一般の通信チャネルとは別個の通信チャネル)を通じて互いに通信することができる。例えば、サーバ204のうち1つについてのTEE224が、セキュリティサーバ206のTEE224との信頼された関係を確立することができる。さらに、上記で説明されたとおり、TEE224は、VNFC‐VNFC及びVNF‐VNFネットワークのパケットを読み出し、メモリ314、キャッシュ324、エンジン220、及び/又はネットワークインターフェース222からデータ取り出すことができる。さらに、いくつかの実施形態において、TEEモジュール404は、サーバ204、206のヒューズ(fuses)、メモリ314、データ記憶装置316、及び/又は他のハードウェアコンポーネントを読み出して、サーバ204、206の個別のポリシー410(例えば、構成又はセキュリティポリシー)を決定する。さらに、TEEモジュール404は、取り出された情報に基づいてサーバ204、206の1つ以上のパケットのセキュリティ評価を実行して、例えば、パケットがセキュリティ脅威を引き起こすかどうかを決定することができる。そのようにすることにおいて、TEE404は、セキュリティ脅威データベース408からデータを取り出し、あるいはその他の方法で、取り出されたセキュリティ脅威評価データをセキュリティ脅威データベース408に相関させることができる。サーバ204のうち1つがローカルのセキュリティ脅威評価を実行してもよく、セキュリティサーバ206がシステム全体の(又は、より広いサブシステム全体の)セキュリティ脅威評価を実行してもよいことが十分理解されるべきである。そのようなものとして、上記サーバ204、206のセキュリティ脅威データベース408は、対応するデータを含むことができる。いくつかの実施形態において、TEEモジュール404は、1つ以上のパケットのセキュリティを評価することにおいてヒューリスティックコード412を利用することができる。いくつかの実施形態において、ヒューリスティックコード412は、(VM又はセキュアコンテナ内で)疑わしい命令が実行されなくてはならないパラメータ及び/又はコンテキストを識別する。さらに又は別法として、ヒューリスティックコード412は、悪意のあるコード署名、ホワイトリスト、ブラックリストを識別し、かつ/あるいはその他の方法で、TEEモジュールによって1つ以上のパケット/命令のセキュリティを評価することにおいて有用なデータを含むことができる。
通信モジュール406は、適切なネットワークをとおしたサーバ204、206、及びリモート装置の間の通信を扱う。例えば、上記で論じられたとおり、サーバ204、206のTEE224は、帯域外通信チャネルを通じて又は暗号化されたトンネルを介して互いに通信することができる。
次に図5〜図6を参照すると、使用において、サーバ204は、セキュリティ異常の分散検出のための方法500を実行することができる。例示的な方法500はブロック502で始まり、ブロック502において、サーバが、セキュリティサーバ206との信頼された関係を確立する。上記で論じられたとおり、いくつかの実施形態において、セキュリティサーバ206は、システム全体の又はサブシステム全体のセキュリティ解析を実行するのに選択され又は「指名された」TEE224を含む、サーバ204のうち1つとして具現化されることができる。他の実施形態において、セキュリティサーバ206は、サーバ204とは別個のサーバとして具現化されてもよい。信頼された関係を確立することにおいて、サーバ204は、ブロック504においてセキュリティサーバ206との間で暗号キーを交換してもよく、かつ/あるいはブロック506において信頼のルート(root of trust)及び/又はヒューズキーを使用してもよいことが十分理解されるべきである。例えば、サーバ204及び/又はセキュリティサーバ206は、サーバ204、206、又はより詳細にはサーバ204、206のハードウェアコンポーネント(例えば、セキュリティコプロセッサ322)に対して(例えば、暗号法的に)結び付けられた暗号キー又は識別を含むことができる。
ブロック508において、サーバ204は、セキュアにブートする。そのようにすることにおいて、サーバ204は、その構成ポリシーをブロック510において(例えば、サーバ204のセキュアな不揮発メモリから)取り出す。いくつかの実施形態において、構成ポリシーは、サーバ204の動作に関連付けられた実行パラメータ、コンテキスト情報、及び/又は他の情報を示すことができる。例えば、いくつかの実施形態において、構成ポリシーを利用して、サーバ204の様々なハードウェア、ファームウェア、及び/又はソフトウェアコンポーネントに関してTEE224に通知することができる。
ブロック512において、サーバ204は、セキュリティサーバ206との信頼されたトンネルを確立する。そのようにすることにおいて、サーバ204は、その存続(aliveness)をブロック514において広告する(advertise)ことができる。そのようにするために、サーバ204は、セキュリティサーバ206と通信して、サーバ204が動作していることをセキュリティサーバ206に知らせることができる。例えば、サーバ204は、ハートビート信号をセキュリティサーバ206に送信することができる。さらに、いくつかの実施形態において、サーバ204は、その存続を周期的又は連続的に広告することができる。さらに又は別法として、ブロック516において、サーバ204は、そのセキュリティポリシー及び/又はヒューリスティックコードを(例えば、ヒューリスティックセキュリティアルゴリズムを適用してパケットデータを解析するのに使用するために)セキュリティサーバ206に送信することができる。いくつかの実施形態において、サーバ204がセキュリティポリシー全体を送信してもよく、一方で、他の実施形態において、セキュリティサーバ206が様々なサーバ204のためのセキュリティポリシーを維持してもよく、したがって、サーバ204はセキュリティポリシー全体でなくセキュリティポリシーに対する直近の更新だけをセキュリティサーバ206に提供してもよい。さらに、いくつかの実施形態において、セキュリティサーバ204は、セキュリティの評価における使用のためにサーバ204にヒューリスティックコードを送信してもよい。
ブロック518において、サーバ204は、サーバ204の実行時状況(runtime posture)(例えば、コンテキスト及び/又は状態情報)を決定する。そのようにすることにおいて、ブロック520において、サーバ204は、サーバ204の1つ以上のVNF202の実行時状況を決定することができる。例えば、サーバ204は、サーバ204の現在のコンテキストを、VNF202、VNFC212、及び/又はVMに応じて決定することができる。ブロック522において、サーバ204は、ハイパーバイザ214をとおしてVNFC‐VNFC及び/又はVNF‐VNFネットワークの1つ以上のパケットを読み出す。詳細には、サーバ204は、仮想スイッチ228及び/又はネットワークインターフェース222をとおしてVNFC‐VNFC及び/又はVNF‐VNFネットワークの1つ以上のパケットを読み出すことができる。ブロック524において、サーバ204は、サーバ204のメモリ314、232、及び/又はキャッシュ324から、VNFC及び/又はVNF処理実行状態に関連付けられた1つ以上のパケットを読み出す。図6のブロック526において、サーバ204は、サーバ204のマイクロコード(ucode)及び/又はBIOSをとおしてサーバアクセスを可能にする。そのようにすることにおいて、ブロック528において、サーバ204は、サーバ204のヒューズ及び/又は状態を読み出して、サーバ204のポリシー(例えば、セキュリティポリシー)を決定することができる。
ブロック530において、サーバ204は、サーバ204のローカル脅威評価を実行することができる。サーバ204は、サーバ204に対して取り出され又はその他の方法でアクセス可能なポリシー、ヒューリスティックコード、実行時状況、パケット、及び/又は他の情報を利用できることが十分理解されるべきである。いくつかの実施形態において、サーバ204は、1つ以上のヒューリスティックアルゴリズムを実行してセキュリティ脅威評価を行う。ブロック534において、サーバ204は、セキュリティ脅威評価データをセキュリティサーバ206に報告する。そのようにすることにおいて、サーバ204は、サーバ204により収集された生データ、ローカルセキュリティ評価データ、及び/又はサーバ204により生成された中間データを送信することができる。
特定の実施形態に依存して、サーバ204は、ブロック536においてセキュリティサーバ206又は是正サーバ208からネットワークフロー/パケットについての是正措置命令を受信することができる。例えば、本明細書において論じられるとおり、セキュリティサーバ206は、システム全体の脅威解析を実行し及び/又は是正サーバ208からの支援を要求して、いずれかの特定の是正措置がサーバ204により実行されるべきであるかどうかを決定することができる。いずれもあてはまらない場合、サーバ204は、いくつかの実施形態においてセキュリティサーバ206から応答を受信しなくてもよい。当然ながら、いくつかの実施形態において、サーバ204は、セキュリティ是正措置を実行するかどうかを独立して決定することができる。ブロック538において、サーバ204は、ネットワークポリシー及び/又は是正措置を強制する。いくつかの実施形態において、サーバ204は、仮想スイッチ228及び/又はネットワークインターフェース222によってそのようにすることができる。特定の是正措置は、特定のセキュリティ脅威及び/又は特定の実施形態に依存して変動する可能性がある。例えば、ブロック540において、サーバ204は、是正命令に基づいて1つ以上のネットワークパケットを廃棄することができる。ブロック542において、サーバ204は、1つ以上のネットワークフローを監視することができる。例えば、いくつかの実施形態において、セキュリティサーバ206又は是正サーバ208は、サーバ204に、脅威解析に基づいてセキュリティリスクを引き起こす可能性がある特定クラスのネットワークフローを監視するように命令することができる。さらに、ブロック544において、サーバ204は、是正命令に基づいて1つ以上のネットワークパケットのディープパケットインスペクションを実行することができる。当然ながら、サーバ204は、特定の実施形態に依存して幅広い種類の他の是正措置を実行してよい。
次に図7を参照すると、使用において、セキュリティサーバ206は、セキュリティ異常の分散検出のための方法700を実行することができる。例示的な方法700は図7のブロック702で始まり、ブロック702において、セキュリティサーバ206は、サーバ204のうち1つとの信頼された関係を確立する。上記で説明されたとおり、そのようにすることにおいて、セキュリティサーバ206は、ブロック704においてサーバ204との暗号キー交換を実行し、かつ/あるいはブロック706において信頼のルート及び/又はヒューズキーを利用してもよい。例えば、相互的な(bilateral)信頼が確立される実施形態において、サーバ204とセキュリティサーバ206との双方が、信頼のルート(例えば、暗号法的に結び付けられたキー又は識別子)を含む。ブロック710において、セキュリティサーバ206は、上記で説明されたとおり、サーバ204との信頼されたトンネルを確立する。そのようにすることにおいて、セキュリティサーバ206は、ブロック710においてサーバ204からセキュリティポリシー更新及び/又はヒューリスティックコードを受信することができる。さらに又は別法として、セキュリティサーバ204は、(例えば、セキュリティを評価することにおける使用のために)ヒューリスティックコードをサーバ204に送信してもよい。さらに、ブロック712において、セキュリティサーバ206は、受信した情報に基づいてサーバ204からセキュリティ脅威評価データを受信する。上記で論じられたとおり、サーバ204は、サーバ204により収集された生データ、ローカルセキュリティ評価データ、及び/又はサーバ204により生成された中間データをセキュリティサーバ206に送信して、セキュリティサーバ206がシステム全体の又はサブシステム全体のセキュリティ評価を行うことを可能にすることができる。
ブロック714において、セキュリティサーバ206は、セキュリティ脅威評価データをセキュリティ脅威データベース408に相関させて、解析されたパケットがサーバ204に対するセキュリティ脅威を引き起こすかどうかを決定する。いくつかの実施形態において、セキュリティサーバ206は、(例えば、VM内における)パケットの実行を、状況、セキュリティ及び構成ポリシー、コンテキスト、ヒューリスティックコード、及び/又はサーバ204の動作に関する他の情報に基づいてシミュレートすることができる。さらに又は別法として、セキュリティサーバ206は、パケットを、様々なマルウェア(例えば、ウィルス)署名、ホワイトリスト、ブラックリスト、及び/又は他のデータと比較して、パケットが安全であるかどうかを決定してもよい。
ブロック716において、セキュリティサーバ206は、セキュリティ脅威が識別されたかどうかを決定する。そうである場合、セキュリティサーバ206は、ブロック718において是正措置を決定する。そのようにするために、ブロック720において、セキュリティサーバ206は、是正サーバ208からの是正決定を要求することができる。こうした実施形態において、是正サーバ208は、システム全体の(例えば、クラウドベースの)セキュリティ評価を実行し、及び/又はその他の方法で、サーバ204により実行されるべき是正措置を決定して、セキュリティ脅威に関連付けられた損害を是正し(remedy)、あるいは最小化することができる。上記で論じられたとおり、いくつかの実施形態において、是正サーバ208は、クラウドコンピューティング環境234内のオーケストレータ210と協働して、上記決定を行うことができる。是正サーバ208が協議を受ける(consulted)場合、ブロック722において、セキュリティサーバ206は、対応する是正命令を是正サーバ208から受信することができる。他の実施形態において、是正サーバ208は、命令をサーバ204に直接送信してもよい。当然ながら、いくつかの実施形態において、セキュリティサーバ206は、是正解析を独自で実行してもよい。ブロック724において、セキュリティサーバ206は、是正命令をサーバ204に送信することができる。

本明細書において開示されるテクノロジーの例示が下記で提供される。テクノロジーの一実施形態が下記で説明される例のうち任意の1つ以上又は任意の組み合わせを含んでよい。
例1は、セキュリティ異常の分散検出のためのコンピューティング装置を含み、当該コンピューティング装置は、(i)セキュリティサーバとの信頼された関係を確立し、(ii)上記信頼された関係の確立に応答して、インター仮想ネットワーク機能ネットワークとインター仮想ネットワーク機能コンポーネントネットワークとのうち少なくとも1つの、1つ以上のパケットを受信し、(iii)上記1つ以上のパケットのセキュリティ脅威評価を実行する、信頼された実行環境モジュールと、上記セキュリティ脅威評価を上記セキュリティサーバに送信する通信モジュールと、を備える。
例2は、例1に記載の構成要件を含み、上記信頼された関係を確立することは、上記セキュリティサーバの対応する信頼された実行環境モジュールとの上記信頼された関係を確立することを含む。
例3は、例1及び2のうちいずれか1つに記載の構成要件を含み、上記セキュリティ脅威評価を送信することは、当該コンピューティング装置の上記信頼された実行環境モジュールと上記セキュリティサーバの上記対応する信頼された実行環境モジュールとの間で確立される帯域外通信チャネルを通じて、上記セキュリティサーバの上記対応する信頼された実行環境モジュールに上記セキュリティ脅威評価を送信することを含む。
例4は、例1〜3のうちいずれか1つに記載の構成要件を含み、上記信頼された関係を確立することは、上記セキュリティサーバとの間で暗号キーを交換することを含む。
例5は、例1〜4のうちいずれか1つに記載の構成要件を含み、上記信頼された関係を確立することは、当該コンピューティング装置の信頼のルート又はヒューズキーのうち少なくとも1つを利用することを含む。
例6は、例1〜5のうちいずれか1つに記載の構成要件を含み、上記信頼された実行環境モジュールはさらに、上記信頼された関係に基づいて上記セキュリティサーバとの信頼されたトンネルを確立する。
例7は、例1〜6のうちいずれか1つに記載の構成要件を含み、上記信頼されたトンネルを確立することは、当該コンピューティング装置のセキュリティポリシーを上記セキュリティサーバに送信することをさらに含む。
例8は、例1〜7のうちいずれか1つに記載の構成要件を含み、上記信頼されたトンネルを確立することは、当該コンピューティング装置のヒューリスティックコードを上記セキュリティサーバに送信することを含む。
例9は、例1〜8のうちいずれか1つに記載の構成要件を含み、上記信頼されたトンネルを確立することは、上記セキュリティサーバからヒューリスティックコードを受信することをさらに含む。
例10は、例1〜9のうちいずれか1つに記載の構成要件を含み、上記信頼された実行環境モジュールはさらに、上記信頼された関係の確立に応答して当該コンピューティング装置をブートする。
例11は、例1〜10のうちいずれか1つに記載の構成要件を含み、当該コンピューティング装置をブートすることは、当該コンピューティング装置の構成ポリシーを取り出すことを含む。
例12は、例1〜11のうちいずれか1つに記載の構成要件を含み、上記信頼された実行環境モジュールはさらに、当該コンピューティング装置の実行時状況を決定し、上記セキュリティ脅威評価を実行することは、上記実行時状況に基づいて上記1つ以上のパケットの上記セキュリティ脅威評価を実行することを含む。
例13は、例1〜12のうちいずれか1つに記載の構成要件を含み、当該コンピューティング装置の上記実行時状況を決定することは、当該コンピューティング装置の仮想ネットワーク機能の実行時状況を決定することを含む。
例14は、例1〜13のうちいずれか1つに記載の構成要件を含み、上記通信モジュールはさらに、上記セキュリティサーバから上記1つ以上のパケットについての是正措置命令を受信する。
例15は、例1〜14のうちいずれか1つに記載の構成要件を含み、上記信頼された実行環境モジュールはさらに、上記是正措置命令に対応する是正措置を強制する。
例16は、コンピューティング装置によるセキュリティ異常の分散検出のための方法を含み、当該方法は、上記コンピューティング装置により、セキュリティサーバとの信頼された関係を確立することと、上記コンピューティング装置により、上記信頼された関係を確立することに応答して、インター仮想ネットワーク機能ネットワークとインター仮想ネットワーク機能コンポーネントネットワークとのうち少なくとも1つの、1つ以上のパケットを受信することと、上記コンピューティング装置により、上記1つ以上のパケットのセキュリティ脅威評価を実行することと、上記コンピューティング装置により、上記セキュリティ脅威評価を上記セキュリティサーバに送信することと、を含む。
例17は、例16に記載の構成要件を含み、上記信頼された関係を確立することは、上記セキュリティサーバの対応する信頼された実行環境モジュールとの上記信頼された関係を確立することを含む。
例18は、例16及び17のうちいずれか1つに記載の構成要件を含み、上記セキュリティ脅威評価を送信することは、上記コンピューティング装置の上記信頼された実行環境モジュールと上記セキュリティサーバの上記対応する信頼された実行環境モジュールとの間で確立される帯域外通信チャネルを通じて、上記セキュリティサーバの上記対応する信頼された実行環境モジュールに上記セキュリティ脅威評価を送信することを含む。
例19は、例16〜18のうちいずれか1つに記載の構成要件を含み、上記信頼された関係を確立することは、上記セキュリティサーバとの間で暗号キーを交換することを含む。
例20は、例16〜19のうちいずれか1つに記載の構成要件を含み、上記信頼された関係を確立することは、当該コンピューティング装置の信頼のルート又はヒューズキーのうち少なくとも1つを利用することを含む。
例21は、例16〜20のうちいずれか1つに記載の構成要件を含み、上記コンピューティング装置により、上記信頼された関係に基づいて上記セキュリティサーバとの信頼されたトンネルを確立することをさらに含む。
例22は、例16〜21のうちいずれか1つに記載の構成要件を含み、上記信頼されたトンネルを確立することは、上記コンピューティング装置のセキュリティポリシーを上記セキュリティサーバに送信することをさらに含む。
例23は、例16〜22のうちいずれか1つに記載の構成要件を含み、上記信頼されたトンネルを確立することは、上記コンピューティング装置のヒューリスティックコードを上記セキュリティサーバに送信することを含む。
例24は、例16〜23のうちいずれか1つに記載の構成要件を含み、上記信頼されたトンネルを確立することは、上記セキュリティサーバからヒューリスティックコードを受信することをさらに含む。
例25は、例16〜24のうちいずれか1つに記載の構成要件を含み、上記信頼された関係を確立することに応答して上記コンピューティング装置をブートすることをさらに含む。
例26は、例16〜25のうちいずれか1つに記載の構成要件を含み、上記コンピューティング装置をブートすることは、上記コンピューティング装置の構成ポリシーを取り出すことを含む。
例27は、例16〜26のうちいずれか1つに記載の構成要件を含み、上記コンピューティング装置により、上記コンピューティング装置の実行時状況を決定することをさらに含み、上記セキュリティ脅威評価を実行することは、上記実行時状況に基づいて上記1つ以上のパケットの上記セキュリティ脅威評価を実行することを含む。
例28は、例16〜27のうちいずれか1つに記載の構成要件を含み、上記コンピューティング装置の上記実行時状況を決定することは、上記コンピューティング装置の仮想ネットワーク機能の実行時状況を決定することを含む。
例29は、例16〜28のうちいずれか1つに記載の構成要件を含み、上記コンピューティング装置により、上記セキュリティサーバから上記1つ以上のパケットについての是正措置命令を受信することをさらに含む。
例30は、例16〜29のうちいずれか1つに記載の構成要件を含み、上記コンピューティング装置により、上記是正措置命令に対応する是正措置を強制することをさらに含む。
例31は、プロセッサと複数の命令を記憶したメモリとを備えたコンピューティング装置を含み、上記命令は、上記プロセッサにより実行されるときに、例16〜30のうちいずれか1つに記載の方法を上記コンピューティング装置に実行させる。
例31は、複数の命令を記憶した1つ以上のマシン読取可能記憶媒体を含み、上記命令は、コンピューティング装置により実行されるときに、例16〜30のうちいずれか1つに記載の方法を上記コンピューティング装置に実行させる。
例33は、セキュリティ異常の分散検出のためのコンピューティング装置を含み、当該コンピューティング装置は、セキュリティサーバとの信頼された関係を確立する手段と、上記信頼された関係の確立に応答して、インター仮想ネットワーク機能ネットワークとインター仮想ネットワーク機能コンポーネントネットワークとのうち少なくとも1つの、1つ以上のパケットを受信する手段と、上記1つ以上のパケットのセキュリティ脅威評価を実行する手段と、上記セキュリティ脅威評価を上記セキュリティサーバに送信する手段と、を備える。
例34は、例33に記載の構成要件を含み、上記信頼された関係を確立する手段は、上記セキュリティサーバの対応する信頼された実行環境モジュールとの上記信頼された関係を確立する手段を含む。
例35は、例33及び34のうちいずれか1つに記載の構成要件を含み、上記セキュリティ脅威評価を送信する手段は、当該コンピューティング装置の上記信頼された実行環境モジュールと上記セキュリティサーバの上記対応する信頼された実行環境モジュールとの間で確立される帯域外通信チャネルを通じて、上記セキュリティサーバの上記対応する信頼された実行環境モジュールに上記セキュリティ脅威評価を送信する手段を含む。
例36は、例33〜35のうちいずれか1つに記載の構成要件を含み、上記信頼された関係を確立する手段は、上記セキュリティサーバとの間で暗号キーを交換する手段を含む。
例37は、例33〜36のうちいずれか1つに記載の構成要件を含み、上記信頼された関係を確立する手段は、当該コンピューティング装置の信頼のルート又はヒューズキーのうち少なくとも1つを利用する手段を含む。
例38は、例33〜37のうちいずれか1つに記載の構成要件を含み、上記信頼された関係に基づいて上記セキュリティサーバとの信頼されたトンネルを確立する手段をさらに含む。
例39は、例33〜38のうちいずれか1つに記載の構成要件を含み、上記信頼されたトンネルを確立する手段は、当該コンピューティング装置のセキュリティポリシーを上記セキュリティサーバに送信する手段を含む。
例40は、例33〜39のうちいずれか1つに記載の構成要件を含み、上記信頼されたトンネルを確立する手段は、当該コンピューティング装置のヒューリスティックコードを上記セキュリティサーバに送信する手段を含む。
例41は、例33〜40のうちいずれか1つに記載の構成要件を含み、上記信頼されたトンネルを確立する手段は、上記セキュリティサーバからヒューリスティックコードを受信する手段を含む。
例42は、例33〜41のうちいずれか1つに記載の構成要件を含み、上記信頼された関係の確立に応答して当該コンピューティング装置をブートする手段をさらに含む。
例43は、例33〜42のうちいずれか1つに記載の構成要件を含み、当該コンピューティング装置をブートする手段は、当該コンピューティング装置の構成ポリシーを取り出す手段を含む。
例44は、例33〜43のうちいずれか1つに記載の構成要件を含み、当該コンピューティング装置の実行時状況を決定する手段をさらに含み、上記セキュリティ脅威評価を実行する手段は、上記実行時状況に基づいて上記1つ以上のパケットの上記セキュリティ脅威評価を実行する手段を含む。
例45は、例33〜44のうちいずれか1つに記載の構成要件を含み、当該コンピューティング装置の上記実行時状況を決定する手段は、当該コンピューティング装置の仮想ネットワーク機能の実行時状況を決定する手段を含む。
例46は、例33〜45のうちいずれか1つに記載の構成要件を含み、上記セキュリティサーバから上記1つ以上のパケットについての是正措置命令を受信する手段をさらに含む。
例47は、例33〜46のうちいずれか1つに記載の構成要件を含み、上記是正措置命令に対応する是正措置を強制する手段をさらに含む。
例48は、セキュリティ異常の分散検出のためのセキュリティサーバを含み、当該セキュリティサーバは、コンピューティング装置との信頼された関係を確立する信頼された実行環境モジュールと、上記コンピューティング装置から、上記コンピューティング装置のインター仮想ネットワーク機能ネットワークとインター仮想ネットワーク機能コンポーネントネットワークとのうち少なくとも1つの、1つ以上のパケットのセキュリティ脅威評価を受信する通信モジュールと、を備え、上記信頼された実行環境モジュールはさらに、上記セキュリティ脅威評価を当該セキュリティサーバのセキュリティ脅威データベースに相関させて、上記1つ以上のパケットがセキュリティ脅威を引き起こすかを決定する。
例49は、例48に記載の構成要件を含み、上記信頼された関係を確立することは、上記コンピューティング装置の対応する信頼された実行環境モジュールとの上記信頼された関係を確立することを含む。
例50は、例48及び49のうちいずれか1つに記載の構成要件を含み、上記セキュリティ脅威評価を受信することは、当該セキュリティサーバの上記信頼された実行環境モジュールと上記コンピューティング装置の上記対応する信頼された実行環境モジュールとの間で確立される帯域外通信チャネルを通じて、上記コンピューティング装置の上記対応する信頼された実行環境モジュールから上記セキュリティ脅威評価を受信することを含む。
例51は、例48〜50のうちいずれか1つに記載の構成要件を含み、上記信頼された関係を確立することは、上記コンピューティング装置との間で暗号キーを交換することを含む。
例52は、例48〜51のうちいずれか1つに記載の構成要件を含み、上記信頼された実行環境モジュールはさらに、上記信頼された関係に基づいて上記コンピューティング装置との信頼されたトンネルを確立する。
例53は、例48〜52のうちいずれか1つに記載の構成要件を含み、上記信頼されたトンネルを確立することは、上記コンピューティング装置のセキュリティポリシーを上記コンピューティング装置から受信することをさらに含む。
例54は、例48〜53のうちいずれか1つに記載の構成要件を含み、上記信頼されたトンネルを確立することは、上記コンピューティング装置のヒューリスティックコードを上記コンピューティング装置から受信することをさらに含む。
例55は、例48〜54のうちいずれか1つに記載の構成要件を含み、上記信頼されたトンネルを確立することは、ヒューリスティックコードを上記コンピューティング装置に送信することをさらに含む。
例56は、例48〜55のうちいずれか1つに記載の構成要件を含み、上記信頼された実行環境モジュールはさらに、上記セキュリティ脅威評価の上記セキュリティ脅威データベースとの相関に基づいたセキュリティ脅威の識別に応答して是正措置を決定する。
例57は、例48〜56のうちいずれか1つに記載の構成要件を含み、上記是正措置を決定することは、是正サーバからの是正決定を要求することと、上記是正サーバから上記是正決定に関連付けられた是正命令を受信することと、を含む。
例58は、例48〜57のうちいずれか1つに記載の構成要件を含み、上記通信モジュールはさらに、上記是正命令を上記コンピューティング装置に送信する。
例59は、セキュリティサーバによるセキュリティ異常の分散検出のための方法を含み、当該方法は、上記セキュリティサーバにより、コンピューティング装置との信頼された関係を確立することと、上記セキュリティサーバにより上記コンピューティング装置から、上記コンピューティング装置のインター仮想ネットワーク機能ネットワークとインター仮想ネットワーク機能コンポーネントネットワークとのうち少なくとも1つの、1つ以上のパケットのセキュリティ脅威評価を受信することと、上記セキュリティサーバにより、上記セキュリティ脅威評価を上記セキュリティサーバのセキュリティ脅威データベースに相関させて、上記1つ以上のパケットがセキュリティ脅威を引き起こすかを決定することと、を含む。
例60は、例59に記載の構成要件を含み、上記信頼された関係を確立することは、上記コンピューティング装置の対応する信頼された実行環境モジュールとの上記信頼された関係を確立することを含む。
例61は、例59及び60のうちいずれか1つに記載の構成要件を含み、上記セキュリティ脅威評価を受信することは、上記セキュリティサーバの上記信頼された実行環境モジュールと上記コンピューティング装置の上記対応する信頼された実行環境モジュールとの間で確立される帯域外通信チャネルを通じて、上記コンピューティング装置の上記対応する信頼された実行環境モジュールから上記セキュリティ脅威評価を受信することを含む。
例62は、例59〜61のうちいずれか1つに記載の構成要件を含み、上記信頼された関係を確立することは、上記コンピューティング装置との間で暗号キーを交換することを含む。
例63は、例59〜62のうちいずれか1つに記載の構成要件を含み、上記セキュリティサーバにより、上記信頼された関係に基づいて上記コンピューティング装置との信頼されたトンネルを確立することをさらに含む。
例64は、例59〜63のうちいずれか1つに記載の構成要件を含み、上記信頼されたトンネルを確立することは、上記コンピューティング装置のセキュリティポリシーを上記コンピューティング装置から受信することをさらに含む。
例65は、例59〜64のうちいずれか1つに記載の構成要件を含み、上記信頼されたトンネルを確立することは、上記コンピューティング装置のヒューリスティックコードを上記コンピューティング装置から受信することをさらに含む。
例66は、例59〜65のうちいずれか1つに記載の構成要件を含み、上記信頼されたトンネルを確立することは、ヒューリスティックコードを上記コンピューティング装置に送信することをさらに含む。
例67は、例59〜66のうちいずれか1つに記載の構成要件を含み、上記セキュリティサーバにより、上記セキュリティ脅威評価の上記セキュリティ脅威データベースとの相関に基づいてセキュリティ脅威を識別することに応答して是正措置を決定することをさらに含む。
例68は、例59〜67のうちいずれか1つに記載の構成要件を含み、上記是正措置を決定することは、是正サーバからの是正決定を要求することと、上記是正サーバから上記是正決定に関連付けられた是正命令を受信することと、を含む。
例69は、例59〜68のうちいずれか1つに記載の構成要件を含み、上記セキュリティサーバにより、上記是正命令を上記コンピューティング装置に送信することをさらに含む。
例70は、プロセッサと複数の命令を記憶したメモリとを備えたセキュリティサーバを含み、上記命令は、上記プロセッサにより実行されるときに、例59〜69のうちいずれか1つに記載の方法を上記セキュリティサーバに実行させる。
例71は、複数の命令を記憶した1つ以上のマシン読取可能記憶媒体を含み、上記命令は、セキュリティサーバにより実行されるときに、例59〜69のうちいずれか1つに記載の方法を上記セキュリティサーバに実行させる。
例72は、セキュリティ異常の分散検出のためのセキュリティサーバを含み、当該セキュリティサーバは、コンピューティング装置との信頼された関係を確立する手段と、上記コンピューティング装置から、上記コンピューティング装置のインター仮想ネットワーク機能ネットワークとインター仮想ネットワーク機能コンポーネントネットワークとのうち少なくとも1つの、1つ以上のパケットのセキュリティ脅威評価を受信する手段と、上記セキュリティ脅威評価を当該セキュリティサーバのセキュリティ脅威データベースに相関させて、上記1つ以上のパケットがセキュリティ脅威を引き起こすかを決定する手段と、を備える。
例73は、例72に記載の構成要件を含み、上記信頼された関係を確立する手段は、上記コンピューティング装置の対応する信頼された実行環境モジュールとの上記信頼された関係を確立する手段を含む。
例74は、例72及び73のうちいずれか1つに記載の構成要件を含み、上記セキュリティ脅威評価を受信する手段は、当該セキュリティサーバの上記信頼された実行環境モジュールと上記コンピューティング装置の上記対応する信頼された実行環境モジュールとの間で確立される帯域外通信チャネルを通じて、上記コンピューティング装置の上記対応する信頼された実行環境モジュールから上記セキュリティ脅威評価を受信する手段を含む。
例75は、例72〜74のうちいずれか1つに記載の構成要件を含み、上記信頼された関係を確立する手段は、上記コンピューティング装置との間で暗号キーを交換する手段を含む。
例76は、例72〜75のうちいずれか1つに記載の構成要件を含み、上記信頼された関係に基づいて上記コンピューティング装置との信頼されたトンネルを確立する手段をさらに含む。
例77は、例72〜76のうちいずれか1つに記載の構成要件を含み、上記信頼されたトンネルを確立する手段は、上記コンピューティング装置のセキュリティポリシーを上記コンピューティング装置から受信する手段をさらに含む。
例78は、例72〜77のうちいずれか1つに記載の構成要件を含み、上記信頼されたトンネルを確立する手段は、上記コンピューティング装置のヒューリスティックコードを上記コンピューティング装置から受信する手段をさらに含む。
例79は、例72〜78のうちいずれか1つに記載の構成要件を含み、上記信頼されたトンネルを確立する手段は、ヒューリスティックコードを上記コンピューティング装置に送信する手段をさらに含む。
例80は、例72〜79のうちいずれか1つに記載の構成要件を含み、上記セキュリティ脅威評価の上記セキュリティ脅威データベースとの相関に基づいたセキュリティ脅威の識別に応答して是正措置を決定する手段をさらに含む。
例81は、例72〜80のうちいずれか1つに記載の構成要件を含み、上記是正措置を決定する手段は、是正サーバからの是正決定を要求する手段と、上記是正サーバから上記是正決定に関連付けられた是正命令を受信する手段と、を含む。
例82は、例72〜81のうちいずれか1つに記載の構成要件を含み、上記是正命令を上記コンピューティング装置に送信する手段をさらに含む。

Claims (26)

  1. セキュリティ異常の分散検出のためのコンピューティング装置であって、
    (i)セキュリティサーバとの信頼された関係を確立し、(ii)前記信頼された関係の確立に応答して、インター仮想ネットワーク機能ネットワークとインター仮想ネットワーク機能コンポーネントネットワークとのうち少なくとも1つの、1つ以上のパケットを受信し、(iii)前記1つ以上のパケットのセキュリティ脅威評価を実行する、信頼された実行環境モジュールと、
    前記セキュリティ脅威評価を前記セキュリティサーバに送信する通信モジュールと、
    を備えたコンピューティング装置。
  2. 前記信頼された関係を確立することは、前記セキュリティサーバの対応する信頼された実行環境モジュールとの前記信頼された関係を確立することを含む、請求項1に記載のコンピューティング装置。
  3. 前記セキュリティ脅威評価を送信することは、当該コンピューティング装置の前記信頼された実行環境モジュールと前記セキュリティサーバの前記対応する信頼された実行環境モジュールとの間で確立される帯域外通信チャネルを通じて、前記セキュリティサーバの前記対応する信頼された実行環境モジュールに前記セキュリティ脅威評価を送信することを含む、請求項2に記載のコンピューティング装置。
  4. 前記信頼された関係を確立することは、前記セキュリティサーバとの間で暗号キーを交換することを含む、請求項1に記載のコンピューティング装置。
  5. 前記信頼された関係を確立することは、当該コンピューティング装置の信頼のルート又はヒューズキーのうち少なくとも1つを利用することを含む、請求項1に記載のコンピューティング装置。
  6. 前記信頼された実行環境モジュールはさらに、前記信頼された関係に基づいて前記セキュリティサーバとの信頼されたトンネルを確立する、請求項1に記載のコンピューティング装置。
  7. 前記信頼されたトンネルを確立することは、当該コンピューティング装置のセキュリティポリシーを前記セキュリティサーバに送信することをさらに含む、請求項6に記載のコンピューティング装置。
  8. 前記信頼されたトンネルを確立することは、当該コンピューティング装置のヒューリスティックコードを前記セキュリティサーバに送信することを含む、請求項6に記載のコンピューティング装置。
  9. 前記信頼されたトンネルを確立することは、前記セキュリティサーバからヒューリスティックコードを受信することをさらに含む、請求項6に記載のコンピューティング装置。
  10. 前記信頼された実行環境モジュールはさらに、前記信頼された関係の確立に応答して当該コンピューティング装置をブートする、請求項1に記載のコンピューティング装置。
  11. 当該コンピューティング装置をブートすることは、当該コンピューティング装置の構成ポリシーを取り出すことを含む、請求項10に記載のコンピューティング装置。
  12. 前記信頼された実行環境モジュールはさらに、当該コンピューティング装置の実行時状況を決定し、
    前記セキュリティ脅威評価を実行することは、前記実行時状況に基づいて前記1つ以上のパケットの前記セキュリティ脅威評価を実行することを含む、請求項1に記載のコンピューティング装置。
  13. 当該コンピューティング装置の前記実行時状況を決定することは、当該コンピューティング装置の仮想ネットワーク機能の実行時状況を決定することを含む、請求項12に記載のコンピューティング装置。
  14. 前記通信モジュールはさらに、前記セキュリティサーバから前記1つ以上のパケットについての是正措置命令を受信する、請求項1に記載のコンピューティング装置。
  15. 前記信頼された実行環境モジュールはさらに、前記是正措置命令に対応する是正措置を強制する、請求項14に記載のコンピューティング装置。
  16. コンピューティング装置によるセキュリティ異常の分散検出のための方法であって、
    前記コンピューティング装置により、セキュリティサーバとの信頼された関係を確立することと、
    前記コンピューティング装置により、前記信頼された関係を確立することに応答して、インター仮想ネットワーク機能ネットワークとインター仮想ネットワーク機能コンポーネントネットワークとのうち少なくとも1つの、1つ以上のパケットを受信することと、
    前記コンピューティング装置により、前記1つ以上のパケットのセキュリティ脅威評価を実行することと、
    前記コンピューティング装置により、前記セキュリティ脅威評価を前記セキュリティサーバに送信することと、
    を含む方法。
  17. 前記信頼された関係を確立することは、前記セキュリティサーバの対応する信頼された実行環境モジュールとの前記信頼された関係を確立することを含む、請求項16に記載の方法。
  18. 前記セキュリティ脅威評価を送信することは、前記コンピューティング装置の前記信頼された実行環境モジュールと前記セキュリティサーバの前記対応する信頼された実行環境モジュールとの間で確立される帯域外通信チャネルを通じて、前記セキュリティサーバの前記対応する信頼された実行環境モジュールに前記セキュリティ脅威評価を送信することを含む、請求項17に記載の方法。
  19. 前記コンピューティング装置により、前記コンピューティング装置の仮想ネットワーク機能の実行時状況を決定すること、をさらに含み、
    前記セキュリティ脅威評価を実行することは、前記実行時状況に基づいて前記1つ以上のパケットの前記セキュリティ脅威評価を実行することを含む、請求項16に記載の方法。
  20. 前記コンピューティング装置により、前記セキュリティサーバから前記1つ以上のパケットについての是正措置命令を受信することと、
    前記コンピューティング装置により、前記是正措置命令に対応する是正措置を強制することと、
    をさらに含む請求項16に記載の方法。
  21. コンピューティング装置に請求項16乃至20のうちいずれか1項に記載の方法を実行させるコンピュータプログラム。
  22. セキュリティ異常の分散検出のためのセキュリティサーバであって、
    コンピューティング装置との信頼された関係を確立する信頼された実行環境モジュールと、
    前記コンピューティング装置から、前記コンピューティング装置のインター仮想ネットワーク機能ネットワークとインター仮想ネットワーク機能コンポーネントネットワークとのうち少なくとも1つの、1つ以上のパケットのセキュリティ脅威評価を受信する通信モジュールと、
    を備え、
    前記信頼された実行環境モジュールはさらに、前記セキュリティ脅威評価を当該セキュリティサーバのセキュリティ脅威データベースに相関させて、前記1つ以上のパケットがセキュリティ脅威を引き起こすかを決定する、
    セキュリティサーバ。
  23. 前記信頼された関係を確立することは、前記コンピューティング装置の対応する信頼された実行環境モジュールとの前記信頼された関係を確立することを含み、
    前記セキュリティ脅威評価を受信することは、当該セキュリティサーバの前記信頼された実行環境モジュールと前記コンピューティング装置の前記対応する信頼された実行環境モジュールとの間で確立される帯域外通信チャネルを通じて、前記コンピューティング装置の前記対応する信頼された実行環境モジュールから前記セキュリティ脅威評価を受信することを含む、請求項22に記載のセキュリティサーバ。
  24. 前記信頼された実行環境モジュールはさらに、前記セキュリティ脅威評価の前記セキュリティ脅威データベースとの相関に基づいたセキュリティ脅威の識別に応答して是正措置を決定する、請求項22に記載のセキュリティサーバ。
  25. 前記是正措置を決定することは、
    是正サーバからの是正決定を要求することと、
    前記是正サーバから前記是正決定に関連付けられた是正命令を受信することと、
    を含み、
    前記通信モジュールはさらに、前記是正命令を前記コンピューティング装置に送信する、請求項24に記載のセキュリティサーバ。
  26. 請求項21に記載のコンピュータプログラムを記憶したコンピュータ読取可能記憶媒体。
JP2017516148A 2014-09-30 2015-08-26 セキュリティ異常の分散検出のためのテクノロジー Active JP6359766B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201462058096P 2014-09-30 2014-09-30
US62/058,096 2014-09-30
US14/513,140 2014-10-13
US14/513,140 US9705849B2 (en) 2014-09-30 2014-10-13 Technologies for distributed detection of security anomalies
PCT/US2015/046909 WO2016053514A1 (en) 2014-09-30 2015-08-26 Technologies for distributed detection of security anomalies

Publications (2)

Publication Number Publication Date
JP2017534106A JP2017534106A (ja) 2017-11-16
JP6359766B2 true JP6359766B2 (ja) 2018-07-18

Family

ID=55585738

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017516148A Active JP6359766B2 (ja) 2014-09-30 2015-08-26 セキュリティ異常の分散検出のためのテクノロジー

Country Status (7)

Country Link
US (2) US9705849B2 (ja)
EP (3) EP3745653B1 (ja)
JP (1) JP6359766B2 (ja)
KR (1) KR101992547B1 (ja)
CN (1) CN106716952B (ja)
TW (2) TWI712291B (ja)
WO (1) WO2016053514A1 (ja)

Families Citing this family (51)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9578664B1 (en) 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
US9705849B2 (en) * 2014-09-30 2017-07-11 Intel Corporation Technologies for distributed detection of security anomalies
US10303879B1 (en) * 2014-11-06 2019-05-28 Amazon Technologies, Inc. Multi-tenant trusted platform modules
US10496974B2 (en) * 2015-03-25 2019-12-03 Intel Corporation Secure transactions with connected peripherals
CN104899524B (zh) * 2015-05-25 2018-11-27 上海兆芯集成电路有限公司 中央处理器和验证主机板数据的方法
US9686240B1 (en) 2015-07-07 2017-06-20 Sprint Communications Company L.P. IPv6 to IPv4 data packet migration in a trusted security zone
US9749294B1 (en) 2015-09-08 2017-08-29 Sprint Communications Company L.P. System and method of establishing trusted operability between networks in a network functions virtualization environment
US10628764B1 (en) * 2015-09-15 2020-04-21 Synack, Inc. Method of automatically generating tasks using control computer
US10542115B1 (en) 2015-10-01 2020-01-21 Sprint Communications Company L.P. Securing communications in a network function virtualization (NFV) core network
US9811686B1 (en) 2015-10-09 2017-11-07 Sprint Communications Company L.P. Support systems interactions with virtual network functions in a trusted security zone
US9781016B1 (en) 2015-11-02 2017-10-03 Sprint Communications Company L.P. Dynamic addition of network function services
US10135702B2 (en) 2015-11-12 2018-11-20 Keysight Technologies Singapore (Holdings) Pte. Ltd. Methods, systems, and computer readable media for testing network function virtualization (NFV)
US9967165B2 (en) * 2015-12-07 2018-05-08 Keysight Technologies Singapore (Holdings) Pte. Ltd. Methods, systems, and computer readable media for packet monitoring in a virtual environment
EP3282671B1 (en) * 2016-07-29 2021-07-21 Rohde & Schwarz GmbH & Co. KG A method and apparatus for testing a security of communication of a device under test
US20180088977A1 (en) * 2016-09-28 2018-03-29 Mark Gray Techniques to determine and mitigate latency in virtual environments
US10250498B1 (en) 2016-10-03 2019-04-02 Sprint Communications Company L.P. Session aggregator brokering of data stream communication
KR102802837B1 (ko) * 2016-12-20 2025-05-07 삼성전자주식회사 사용자 단말 장치 및 그의 제어 방법
EP3563286A1 (en) * 2016-12-30 2019-11-06 British Telecommunications Public Limited Company Attack signature generation
EP3563543B1 (en) 2016-12-30 2022-04-06 British Telecommunications public limited company Data breach detection
WO2018122050A1 (en) * 2016-12-30 2018-07-05 British Telecommunications Public Limited Company Historic data breach detection
US10691514B2 (en) * 2017-05-08 2020-06-23 Datapipe, Inc. System and method for integration, testing, deployment, orchestration, and management of applications
US10567359B2 (en) * 2017-07-18 2020-02-18 International Business Machines Corporation Cluster of secure execution platforms
US10348488B1 (en) 2017-08-25 2019-07-09 Sprint Communications Company L.P. Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network
US10944650B2 (en) * 2018-03-29 2021-03-09 Fortinet, Inc. Programmable, policy-based efficient wireless sniffing networks in WIPS (wireless intrusion prevention systems)
US12406280B2 (en) 2018-04-30 2025-09-02 Affle (India) Limited Method and system for hardware and software based user identification for advertisement fraud detection
US11157952B2 (en) * 2018-04-30 2021-10-26 Affle (India) Limited Method and system for creating decentralized repository of fraud IPs and publishers using blockchain
EP4716172A2 (en) * 2018-06-01 2026-03-25 Huawei Technologies Co., Ltd. Multiple server-architecture cluster for providing a virtual network function
US11398968B2 (en) 2018-07-17 2022-07-26 Keysight Technologies, Inc. Methods, systems, and computer readable media for testing virtualized network functions and related infrastructure
US10826943B2 (en) * 2018-08-21 2020-11-03 At&T Intellectual Property I, L.P. Security controller
US12288222B2 (en) 2018-10-15 2025-04-29 Affle (India) Limited Method and system for application installation and detection of fraud in advertisement
US11263318B2 (en) * 2018-11-05 2022-03-01 Red Hat, Inc. Monitoring a process in a trusted execution environment to identify a resource starvation attack
US12346432B2 (en) * 2018-12-31 2025-07-01 Intel Corporation Securing systems employing artificial intelligence
CN110034925B (zh) * 2019-01-07 2022-03-01 创新先进技术有限公司 跨机房可信计算集群形成及通信方法和装置
US11297100B2 (en) 2019-01-14 2022-04-05 Red Hat, Inc. Concealed monitor communications from a task in a trusted execution environment
US11023591B2 (en) * 2019-01-14 2021-06-01 Nxp B.V. Data processing system having distributed security controller with local control and method for securing the data processing system
US11128670B2 (en) * 2019-02-26 2021-09-21 Oracle International Corporation Methods, systems, and computer readable media for dynamically remediating a security system entity
CN109922056B (zh) 2019-02-26 2021-09-10 创新先进技术有限公司 数据安全处理方法及其终端、服务器
US11431732B2 (en) * 2019-07-04 2022-08-30 Check Point Software Technologies Ltd. Methods and system for packet control and inspection in containers and meshed environments
EP4005183B1 (en) * 2019-11-08 2024-10-09 Samsung Electronics Co., Ltd. Method and electronic device for determining security threat on radio access network
KR102809479B1 (ko) * 2019-11-08 2025-05-19 삼성전자주식회사 무선 접속 네트워크상의 보안 위협 판단 방법 및 전자 장치
US11323354B1 (en) 2020-10-09 2022-05-03 Keysight Technologies, Inc. Methods, systems, and computer readable media for network testing using switch emulation
US11483227B2 (en) 2020-10-13 2022-10-25 Keysight Technologies, Inc. Methods, systems and computer readable media for active queue management
US11847205B1 (en) 2020-10-26 2023-12-19 T-Mobile Innovations Llc Trusted 5G network function virtualization of virtual network function elements embedded on a system-on-chip
EP4364359A4 (en) * 2021-07-02 2025-05-28 CommScope Technologies LLC Systems and methods for secure virtualized base station orchestration
US11949583B2 (en) * 2022-04-28 2024-04-02 Hewlett Packard Enterprise Development Lp Enforcing reference operating state compliance for cloud computing-based compute appliances
CN115134158B (zh) * 2022-07-04 2023-05-23 海南大学 充电桩云平台的访问管理方法和装置
US11853254B1 (en) 2022-10-07 2023-12-26 Keysight Technologies, Inc. Methods, systems, and computer readable media for exposing data processing unit (DPU) traffic in a smartswitch
US12407600B2 (en) 2022-11-03 2025-09-02 Keysight Technologies, Inc. Methods, systems, and computer readable media for smartswitch service chaining
US12585784B2 (en) 2023-04-06 2026-03-24 Bank Of America Corporation System for component-level threat assessment in a computing environment
US12095607B1 (en) 2023-05-22 2024-09-17 Bank Of America Corporation System for enhanced anomaly recognition in network topologies using interactive visualization
US12381845B2 (en) 2023-07-18 2025-08-05 Bank Of America Corporation System for advanced network traffic analysis in a computing environment

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7096502B1 (en) * 2000-02-08 2006-08-22 Harris Corporation System and method for assessing the security posture of a network
WO2002003220A2 (en) * 2000-07-05 2002-01-10 Ernst & Young Llp Method and apparatus for providing computer services
US20120023572A1 (en) * 2010-07-23 2012-01-26 Q-Track Corporation Malicious Attack Response System and Associated Method
US7190678B2 (en) * 2002-10-28 2007-03-13 Cisco Technology, Inc. Arrangement for router attachments between roaming mobile routers in a clustered network
US7496818B1 (en) * 2003-02-27 2009-02-24 Marvell International Ltd. Apparatus and method for testing and debugging an integrated circuit
US7941855B2 (en) * 2003-04-14 2011-05-10 New Mexico Technical Research Foundation Computationally intelligent agents for distributed intrusion detection system and method of practicing same
KR20040102496A (ko) 2003-05-28 2004-12-08 (주)에이치인포메이션 오디오신호 출력 기능을 갖는 키버튼을 이용한 모바일게임시스템 및 방법
US8087057B2 (en) * 2004-04-28 2011-12-27 Echostar Technologies L.L.C. Television converter device including an internet protocol interface
KR100669240B1 (ko) * 2004-12-07 2007-01-15 한국전자통신연구원 평가규칙표기언어를 이용한 IPv6 네트워크 계층의보안성 평가 시스템 및 방법
US20070266433A1 (en) * 2006-03-03 2007-11-15 Hezi Moore System and Method for Securing Information in a Virtual Computing Environment
US20070271453A1 (en) * 2006-05-19 2007-11-22 Nikia Corporation Identity based flow control of IP traffic
US7793110B2 (en) * 2006-05-24 2010-09-07 Palo Alto Research Center Incorporated Posture-based data protection
US20140173731A1 (en) 2007-07-27 2014-06-19 Redshift Internetworking, Inc. System and Method for Unified Communications Threat Management (UCTM) for Converged Voice, Video and Multi-Media Over IP Flows
US9369299B2 (en) * 2008-06-10 2016-06-14 Bradford Networks, Inc. Network access control system and method for devices connecting to network using remote access control methods
US8087067B2 (en) * 2008-10-21 2011-12-27 Lookout, Inc. Secure mobile platform system
RU2011140357A (ru) * 2009-03-05 2013-04-10 Интердиджитал Пэйтент Холдингз, Инк. Способ и устройство для проверки и подтверждения целостности h(e)nb
US20110161452A1 (en) * 2009-12-24 2011-06-30 Rajesh Poornachandran Collaborative malware detection and prevention on mobile devices
US8434128B2 (en) * 2010-02-22 2013-04-30 Avaya Inc. Flexible security requirements in an enterprise network
US8392344B2 (en) * 2010-07-14 2013-03-05 Domanicom Corp. Systems, devices, and methods for providing multiple services to premises over communication networks
US8010992B1 (en) * 2010-07-14 2011-08-30 Domanicom Corp. Devices, systems, and methods for providing increased security when multiplexing one or more services at a customer premises
US9117083B2 (en) * 2011-02-14 2015-08-25 Blackberry Limited Managing booting of secure devices with untrusted software
JP5618886B2 (ja) * 2011-03-31 2014-11-05 株式会社日立製作所 ネットワークシステムおよび計算機振り分け装置、計算機振り分け方法
US9161249B1 (en) * 2011-07-07 2015-10-13 Symantec Corporation Systems and methods for performing internet site security analyses
US9767840B2 (en) * 2011-08-18 2017-09-19 Apple Inc. Securing protected content during video playback
US9317689B2 (en) 2012-06-15 2016-04-19 Visa International Service Association Method and apparatus for secure application execution
US20140137188A1 (en) * 2012-11-14 2014-05-15 Domanicom Corporation Devices, systems, and methods for simultaneously delivering personalized/ targeted services and advertisements to end users
US20140270177A1 (en) * 2013-03-15 2014-09-18 Ernie Brickell Hardening inter-device secure communication using physically unclonable functions
US8955144B2 (en) * 2013-06-28 2015-02-10 Intel Corporation Protecting information processing system secrets from debug attacks
US9460286B1 (en) * 2013-12-19 2016-10-04 Amdocs Software Systems Limited System, method, and computer program for managing security in a network function virtualization (NFV) based communication network
CN103763309B (zh) * 2013-12-31 2018-03-30 曙光云计算集团有限公司 基于虚拟网络的安全域控制方法和系统
US9400885B2 (en) * 2014-01-10 2016-07-26 Bitdefender IPR Management Ltd. Computer security systems and methods using virtualization exceptions
US9473567B2 (en) * 2014-08-20 2016-10-18 At&T Intellectual Property I, L.P. Virtual zones for open systems interconnection layer 4 through layer 7 services in a cloud computing system
US9367343B2 (en) * 2014-08-29 2016-06-14 Red Hat Israel, Ltd. Dynamic batch management of shared buffers for virtual machines
US9705849B2 (en) * 2014-09-30 2017-07-11 Intel Corporation Technologies for distributed detection of security anomalies
US9560078B2 (en) * 2015-02-04 2017-01-31 Intel Corporation Technologies for scalable security architecture of virtualized networks
CN106576068B (zh) * 2015-04-30 2019-11-19 华为技术有限公司 一种软件安全验证方法、设备及系统
US9578008B2 (en) * 2015-05-11 2017-02-21 Intel Corporation Technologies for secure bootstrapping of virtual network functions
US9742790B2 (en) * 2015-06-16 2017-08-22 Intel Corporation Technologies for secure personalization of a security monitoring virtual network function
US9825982B1 (en) * 2016-04-29 2017-11-21 Ciena Corporation System and method for monitoring network vulnerabilities
US20180341494A1 (en) * 2017-05-26 2018-11-29 Intel Corporation Accelerating network security monitoring

Also Published As

Publication number Publication date
EP3745653B1 (en) 2023-09-06
JP2017534106A (ja) 2017-11-16
EP3202096A1 (en) 2017-08-09
KR101992547B1 (ko) 2019-06-24
EP3745653A1 (en) 2020-12-02
TW201824837A (zh) 2018-07-01
EP4246896A3 (en) 2023-12-20
CN106716952B (zh) 2020-11-10
US20160094573A1 (en) 2016-03-31
TW201626773A (zh) 2016-07-16
WO2016053514A1 (en) 2016-04-07
EP4246896A2 (en) 2023-09-20
EP3202096B1 (en) 2022-05-11
CN106716952A (zh) 2017-05-24
EP3202096A4 (en) 2018-06-06
US9705849B2 (en) 2017-07-11
TWI606711B (zh) 2017-11-21
EP3745653C0 (en) 2023-09-06
KR20170038190A (ko) 2017-04-06
TWI712291B (zh) 2020-12-01
EP4246896B1 (en) 2025-01-01
US10469451B2 (en) 2019-11-05
US20170111382A1 (en) 2017-04-20

Similar Documents

Publication Publication Date Title
JP6359766B2 (ja) セキュリティ異常の分散検出のためのテクノロジー
US11533341B2 (en) Technologies for scalable security architecture of virtualized networks
US10721258B2 (en) Technologies for secure personalization of a security monitoring virtual network function
USRE48411E1 (en) Technologies for secure inter-virtual network function communication

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170323

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180522

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180620

R150 Certificate of patent or registration of utility model

Ref document number: 6359766

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250