本發(fā)明涉及電信網(wǎng)絡(luò)，尤其涉及監(jiān)視用于惡意活動(dòng)的網(wǎng)絡(luò)活動(dòng)的網(wǎng)絡(luò)安全實(shí)體的配置。

背景技術(shù)：

電信網(wǎng)絡(luò)在大小方面可以變化非常大。小網(wǎng)絡(luò)可以通過交換機(jī)和幾個(gè)基站來提供，而全國性的網(wǎng)絡(luò)可能要求數(shù)千個(gè)基站和多個(gè)交換機(jī)。不論大小如何，在受管理網(wǎng)絡(luò)中，都試圖確保網(wǎng)絡(luò)的安全性。例如，可以使用隔離的互聯(lián)網(wǎng)協(xié)議(IP)網(wǎng)絡(luò)來連接網(wǎng)絡(luò)元件?？梢酝ㄟ^在網(wǎng)絡(luò)元件之間使用虛擬專用網(wǎng)絡(luò)來提供另外的安全性?？梢酝ㄟ^將至少監(jiān)視網(wǎng)絡(luò)業(yè)務(wù)以檢測惡意業(yè)務(wù)的一個(gè)或多個(gè)網(wǎng)絡(luò)安全實(shí)體(諸如防火墻和/或入侵檢測/防御系統(tǒng)(IDPS)設(shè)備)投入使用來增加例如針對虛擬專用網(wǎng)絡(luò)中的故障網(wǎng)絡(luò)元件或偽基站的再另外的安全層。這種網(wǎng)絡(luò)安全實(shí)體必須具有適當(dāng)反映當(dāng)前網(wǎng)絡(luò)裝備的一組業(yè)務(wù)規(guī)則作為其配置的一部分。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的一個(gè)目的是提供一種配置機(jī)制，以定義用于網(wǎng)絡(luò)安全實(shí)體的一組業(yè)務(wù)規(guī)則。本發(fā)明的目的通過由獨(dú)立權(quán)利要求中闡述的內(nèi)容所表征的方法、裝置、系統(tǒng)以及計(jì)算機(jī)程序產(chǎn)品來實(shí)現(xiàn)。本發(fā)明的優(yōu)選實(shí)施例在從屬權(quán)利要求中被公開。

本發(fā)明的一個(gè)方面提供了一種解決方案：在該解決方案中，當(dāng)創(chuàng)建或定義用于一個(gè)或多個(gè)安全實(shí)體的一組或多組業(yè)務(wù)規(guī)則時(shí)，利用儲存到系統(tǒng)的網(wǎng)絡(luò)配置。

附圖說明

在下文中，將參照附圖更詳細(xì)地描述實(shí)施例，其中：

圖1A和圖1B示出具有示例性裝置的示意性框圖的示例性系統(tǒng)的簡化架構(gòu)；

圖2和圖3例示示例性的信息交換；

圖4示出具有示例性裝置的示意性框圖的另一示例性系統(tǒng)的簡化架構(gòu)；

圖5、圖6和圖7是例示示例性功能的流程圖；以及

圖8是示例性裝置的示意性框圖。

具體實(shí)施方式

以下的實(shí)施例是示例性的。盡管說明書可能在若干位置中提及“某個(gè)”、“一個(gè)”或“一些”實(shí)施例，但這未必意味著每次這種提及是針對相同的實(shí)施例，或該特征僅適用于單個(gè)實(shí)施例。不同實(shí)施例的單個(gè)特征也可以被組合以提供給其他實(shí)施例。

本發(fā)明適用于任何受管理的網(wǎng)絡(luò)/系統(tǒng)及其裝置。受管理的網(wǎng)絡(luò)是可重配置的網(wǎng)絡(luò)，其中以集中式的方式建立、配置以及管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施。換句話說，受管理的網(wǎng)絡(luò)依賴于預(yù)先配置的基礎(chǔ)設(shè)施，在其中網(wǎng)絡(luò)節(jié)點(diǎn)/元件不能“動(dòng)態(tài)”加入網(wǎng)絡(luò)。預(yù)配置意味著某網(wǎng)絡(luò)元件先被配置為網(wǎng)絡(luò)的一部分，一旦配置已被轉(zhuǎn)發(fā)到所涉及的其它網(wǎng)絡(luò)元件，則該網(wǎng)絡(luò)元件可以加入網(wǎng)絡(luò)。換句話說，受管理網(wǎng)絡(luò)與ad-hoc網(wǎng)絡(luò)相反。受管理網(wǎng)絡(luò)可以是無線網(wǎng)絡(luò)或利用固定連接和無線連接二者的網(wǎng)絡(luò)，或者是包括一個(gè)或多個(gè)受管理網(wǎng)絡(luò)的系統(tǒng)。

不同系統(tǒng)的規(guī)范發(fā)展迅速，尤其是當(dāng)利用無線通信時(shí)。這種發(fā)展可能要求對實(shí)施例的額外改變。當(dāng)前的趨勢是將實(shí)際的物理結(jié)構(gòu)抽象化并且作為按需服務(wù)在網(wǎng)絡(luò)中作為軟件來提供通信功能性。抽象化可以是在特定標(biāo)準(zhǔn)或特性方面所選擇的實(shí)體的表示，而與選擇標(biāo)準(zhǔn)不相關(guān)的其它特性被隱藏或概括。對于抽象化，未來網(wǎng)絡(luò)可以利用軟件定義的組網(wǎng)(SDN)和/或網(wǎng)絡(luò)功能虛擬化(NVF)架構(gòu)。軟件定義的組網(wǎng)提供與網(wǎng)絡(luò)裝備的軟件編程接口，以及/或者解耦網(wǎng)絡(luò)控制面，該網(wǎng)絡(luò)控制面例如選擇網(wǎng)絡(luò)業(yè)務(wù)將被從網(wǎng)絡(luò)轉(zhuǎn)發(fā)面發(fā)送到的目的地，該網(wǎng)絡(luò)轉(zhuǎn)發(fā)面例如把網(wǎng)絡(luò)業(yè)務(wù)轉(zhuǎn)發(fā)到所選擇的目的地。網(wǎng)絡(luò)功能虛擬化架構(gòu)包括虛擬化網(wǎng)絡(luò)功能(VNF)。虛擬化網(wǎng)絡(luò)功能被定義為在可包括路由器、交換機(jī)、儲存器、服務(wù)器、云計(jì)算系統(tǒng)等的網(wǎng)絡(luò)基礎(chǔ)設(shè)施之上的一個(gè)或多個(gè)虛擬機(jī)中運(yùn)行的網(wǎng)絡(luò)功能。這些新網(wǎng)絡(luò)架構(gòu)可能改變網(wǎng)絡(luò)正被構(gòu)建和管理的方式。例如，以下描述的網(wǎng)絡(luò)元件功能中的一個(gè)或多個(gè)可以被遷移到任何相應(yīng)的抽象化或裝置。因此，所有的詞語和表達(dá)應(yīng)當(dāng)被寬泛地解釋，并且它們旨在例示而不是限制實(shí)施例。

在下文中，使用陸地集群無線電接入(TETRA)網(wǎng)絡(luò)來描述不同的示例，但不將示例和實(shí)施例限制于此。其它可能的網(wǎng)絡(luò)解決方案包括TETRAPOL、DMR(數(shù)字移動(dòng)無線電)系統(tǒng)、PAMR網(wǎng)絡(luò)(公共接入移動(dòng)無線電)以及第3、4或5或更高代的移動(dòng)網(wǎng)絡(luò)(比如LTE(長期演進(jìn)))、WiMAX(微波存取全球互通)、GoTa(全球開放集群架構(gòu))以及組合例如TETRA和WLAN(無線局域網(wǎng))的異構(gòu)網(wǎng)絡(luò)(比如基于WiFi的網(wǎng)絡(luò))。應(yīng)當(dāng)理解，以上列表不是詳盡的列表。

在圖1A、圖1B和圖4中例示根據(jù)基于TETRA的實(shí)施例的通信系統(tǒng)的一般架構(gòu)。圖1A、圖1B和圖4是僅示出一些網(wǎng)絡(luò)節(jié)點(diǎn)和功能實(shí)體的簡化系統(tǒng)架構(gòu)，所有這些都是其實(shí)現(xiàn)方式可能不同于所示的那樣的邏輯單元。圖1A、圖1B和圖4中所示的連接是邏輯連接；實(shí)際的物理連接可能不同。對于本領(lǐng)域技術(shù)人員明了的是，系統(tǒng)還包括在TETRA中的通信中使用或用于TETRA中的通信的其他功能和結(jié)構(gòu)。它們與實(shí)際的發(fā)明不相關(guān)。因此，這里不需要更詳細(xì)地討論它們。如從圖1和圖4可以看出，以下被稱為網(wǎng)絡(luò)元件的網(wǎng)絡(luò)節(jié)點(diǎn)容易被映射到其它通信系統(tǒng)，因此，對于本領(lǐng)域技術(shù)人員而言，將所公開的實(shí)施例和示例實(shí)現(xiàn)到另一種網(wǎng)絡(luò)是直接可得的解決方案。

在圖1A所例示的示例中，TETRA系統(tǒng)100包括交換和管理基礎(chǔ)設(shè)施(SwMI)110、網(wǎng)絡(luò)管理系統(tǒng)(NMS)120以及一個(gè)或多個(gè)安全實(shí)體控制器(S-E控制器)130。

SwMI 110是用于語音加數(shù)據(jù)(V+D)網(wǎng)絡(luò)的裝備，其使得用戶裝置/終端設(shè)備(未在圖1中例示)能夠彼此通信。換句話說，SwMI包括使得用戶能夠經(jīng)由TETRA網(wǎng)絡(luò)彼此通信的所有裝備和手段。在圖1的示例中，SwMI 110包括兩種類型的網(wǎng)絡(luò)節(jié)點(diǎn)(以下被稱為網(wǎng)絡(luò)元件)：基站(BS)，每個(gè)在相應(yīng)站點(diǎn)111、111'、111”上，用于提供對用戶裝置的無線接入；以及數(shù)字交換機(jī)(DXT)，每個(gè)在相應(yīng)的站點(diǎn)112、112'上，用于照應(yīng)網(wǎng)絡(luò)內(nèi)以及去往/來自其他網(wǎng)絡(luò)的交換。換句話說，基站可以被看作接入節(jié)點(diǎn)，數(shù)字交換機(jī)可以被看作交換服務(wù)器。例如，兩個(gè)站點(diǎn)之間的連接可以在使用互聯(lián)網(wǎng)協(xié)議(IP)的一個(gè)或多個(gè)分組交換骨干網(wǎng)絡(luò)上。為了提供安全性，骨干網(wǎng)絡(luò)可以是隔離的IP網(wǎng)絡(luò)，并且可以在站點(diǎn)之間建立加密的虛擬專用網(wǎng)絡(luò)。然而，SwMI的確切物理配置和連接本身與本發(fā)明并不相關(guān)，因此不需要在這里更詳細(xì)地描述它們。

此外，在所例示的示例中，每個(gè)站點(diǎn)包括作為用于安全性的附加層的一個(gè)或多個(gè)網(wǎng)絡(luò)安全實(shí)體(SE)113-1、113-2、113-3、113-4、113-5，每個(gè)網(wǎng)絡(luò)安全實(shí)體具有它自己的業(yè)務(wù)規(guī)則組(t.rules)113a、113b、113c、113d、113e，以確定如何應(yīng)對不同的業(yè)務(wù)流。網(wǎng)絡(luò)安全實(shí)體可以是被配置為至少監(jiān)視網(wǎng)絡(luò)業(yè)務(wù)以檢測惡意業(yè)務(wù)的任何節(jié)點(diǎn)或設(shè)備。不同安全實(shí)體的示例包括入侵檢測/防御系統(tǒng)設(shè)備、被動(dòng)式入侵檢測系統(tǒng)設(shè)備、主動(dòng)式入侵檢測系統(tǒng)設(shè)備、入侵防御系統(tǒng)設(shè)備、軟件定義的組網(wǎng)路由器、通用防火墻、應(yīng)用層防火墻節(jié)點(diǎn)、傳輸層防火墻節(jié)點(diǎn)、以及網(wǎng)絡(luò)層防火墻節(jié)點(diǎn)。如上所述，一個(gè)站點(diǎn)可以包括多于一個(gè)的網(wǎng)絡(luò)安全實(shí)體，例如入侵檢測/防御系統(tǒng)設(shè)備和應(yīng)用層防火墻節(jié)點(diǎn)。應(yīng)當(dāng)理解，可以使用任何已知的或未來的網(wǎng)絡(luò)安全實(shí)體；安全實(shí)體的細(xì)節(jié)和實(shí)際實(shí)現(xiàn)方式對于本發(fā)明是不相關(guān)的，本發(fā)明僅提供用于設(shè)置和/或更新業(yè)務(wù)規(guī)則的手段，如以下將更詳細(xì)地描述的。例如，如本領(lǐng)域技術(shù)人員已知的，業(yè)務(wù)規(guī)則可以經(jīng)由提供抽象化級別(abstraction level)以輸入業(yè)務(wù)規(guī)則的安全實(shí)體的配置接口而被設(shè)置或更新。業(yè)務(wù)規(guī)則可以被稱為業(yè)務(wù)簡檔或網(wǎng)絡(luò)安全配置或站點(diǎn)安全配置。

網(wǎng)絡(luò)管理系統(tǒng)(NMS)是可以為單個(gè)管理終端或者具有一個(gè)或多個(gè)中央管理終端以及一個(gè)或多個(gè)本地管理終端的更復(fù)雜的系統(tǒng)的管理平臺。然而，為了清楚起見，這里將其描述為一個(gè)實(shí)體。網(wǎng)絡(luò)管理系統(tǒng)使得能夠配置和管理TETRA系統(tǒng)以及監(jiān)視網(wǎng)絡(luò)節(jié)點(diǎn)(也被稱為網(wǎng)絡(luò)元件)和網(wǎng)絡(luò)設(shè)備(諸如基站和數(shù)字交換機(jī))。網(wǎng)絡(luò)管理系統(tǒng)中的配置管理工具向用戶提供用于配置網(wǎng)絡(luò)和網(wǎng)絡(luò)元件的手段，并且允許基線化當(dāng)前配置和存檔網(wǎng)絡(luò)配置。在TETRA系統(tǒng)中由網(wǎng)絡(luò)管理器或也被稱為網(wǎng)絡(luò)管理器設(shè)備的網(wǎng)絡(luò)管理器終端提供上述功能性。此外，在圖1A中例示的示例中，網(wǎng)絡(luò)管理系統(tǒng)被配置為定義或者至少輔助定義對于站點(diǎn)中的安全實(shí)體的業(yè)務(wù)規(guī)則和/或業(yè)務(wù)規(guī)則的更新。為此目的，在所例示的圖1A的示例中的網(wǎng)絡(luò)管理系統(tǒng)包括安全實(shí)體配置單元(s-e-c-u)122、更新日志分析器單元(u-l-a-u)123、以及在存儲器121中，除了當(dāng)前網(wǎng)絡(luò)配置121-1之外還包括的設(shè)備類型特定業(yè)務(wù)相關(guān)配置121-2。設(shè)備類型特定業(yè)務(wù)相關(guān)配置可以定義以下參數(shù)中的一個(gè)或多個(gè)：可用協(xié)議、業(yè)務(wù)流的允許分組大小、以及業(yè)務(wù)流的帶寬特性。使用業(yè)務(wù)帶寬和分組大小有助于注意到行為不當(dāng)?shù)木W(wǎng)絡(luò)元件和拒絕服務(wù)攻擊。當(dāng)前網(wǎng)絡(luò)配置可以設(shè)備特定地包含以下項(xiàng)作為基本網(wǎng)絡(luò)配置：設(shè)備的名稱、其標(biāo)識信息(這里被稱為標(biāo)識符)、設(shè)備的一個(gè)或多個(gè)IP地址、設(shè)備類型(如果沒有被名稱和/或標(biāo)識信息指示)、將用于各種業(yè)務(wù)流的一個(gè)或多個(gè)端口以及自然地關(guān)于通信對應(yīng)方(即，該設(shè)備所連接到的設(shè)備)的信息、可能還有與對應(yīng)方的連接的更詳細(xì)的對應(yīng)方的配置、以及關(guān)于用于該設(shè)備的安全實(shí)體的信息。關(guān)于對應(yīng)方的信息可以是其IP地址和/或其標(biāo)識符。關(guān)于設(shè)備的基本網(wǎng)絡(luò)配置是當(dāng)設(shè)備被添加到網(wǎng)絡(luò)時(shí)需要被輸入到NMS的配置。除了基本網(wǎng)絡(luò)配置之外，當(dāng)前網(wǎng)絡(luò)配置(以下也被稱為純粹(mere)網(wǎng)絡(luò)元件配置)還可以包括由安全實(shí)體配置單元122例如使用設(shè)備類型特定業(yè)務(wù)相關(guān)配置121-2生成的配置信息，如將在以下描述的。當(dāng)前網(wǎng)絡(luò)配置的那個(gè)部分可以被稱為自動(dòng)網(wǎng)絡(luò)配置，或者網(wǎng)絡(luò)配置的更新，或者自動(dòng)生成的網(wǎng)絡(luò)配置。安全實(shí)體配置單元被配置為使用用于業(yè)務(wù)規(guī)則的存儲器中的網(wǎng)絡(luò)配置信息，如將在以下例如利用圖2、圖3和圖6描述的那樣。此外，更新日志分析器單元可以被配置為使用網(wǎng)絡(luò)配置信息，如將在以下利用圖7描述的。

在圖1A所例示的示例中，安全實(shí)體配置單元122被連接到單獨(dú)的安全實(shí)體控制器單元(s-e控制器)130，以將業(yè)務(wù)規(guī)則傳遞或分發(fā)到相應(yīng)的網(wǎng)絡(luò)安全實(shí)體。當(dāng)然，系統(tǒng)可以包括多于一個(gè)的安全實(shí)體控制器單元，并且安全實(shí)體控制器單元可以是網(wǎng)絡(luò)管理系統(tǒng)的一部分或者屬于SwMI或者位于它們之間。

此外，取決于實(shí)現(xiàn)方式，安全實(shí)體控制器單元和/或更新日志分析器單元可以被省略。圖1B例示出安全實(shí)體控制器單元和更新日志分析器單元都被省略了的解決方案。換句話說，在圖1B所例示的解決方案中，安全實(shí)體配置單元122'包括與安全實(shí)體的直接接口，并且沒有部署更新日志分析器單元；在其他方面，解決方案是類似的，這里無需重復(fù)贅述不同的元件。

總之，當(dāng)實(shí)現(xiàn)集中式方法時(shí)，在網(wǎng)絡(luò)管理系統(tǒng)中，可以存在一個(gè)或多個(gè)安全實(shí)體配置單元，零個(gè)或更多更新日志分析器單元，以及零個(gè)或更多集中式安全實(shí)體控制器單元。可以經(jīng)由直接接口或經(jīng)由集中式安全實(shí)體控制器單元來更新安全實(shí)體中的業(yè)務(wù)規(guī)則。

圖2例示根據(jù)示例性實(shí)施例的示例性信息交換。在所例示的示例中，假定從網(wǎng)絡(luò)管理器接收的網(wǎng)絡(luò)配置信息包括配置的性質(zhì)的指示以及關(guān)于網(wǎng)絡(luò)元件的其網(wǎng)絡(luò)標(biāo)識符和至少一個(gè)參數(shù)，如果需要的話，安全實(shí)體配置單元被配置為確定可用協(xié)議、業(yè)務(wù)流的允許分組大小以及業(yè)務(wù)流的帶寬特性，并相應(yīng)地更新網(wǎng)絡(luò)元件配置。如果配置是添加網(wǎng)絡(luò)元件，則從網(wǎng)絡(luò)管理器接收的網(wǎng)絡(luò)配置信息優(yōu)選地包括關(guān)于網(wǎng)絡(luò)元件的上述基本網(wǎng)絡(luò)配置。當(dāng)然，其他參數(shù)可以被定義為基本網(wǎng)絡(luò)配置的一部分。如果配置是去除網(wǎng)絡(luò)元件，則從網(wǎng)絡(luò)管理器接收的網(wǎng)絡(luò)配置信息除了關(guān)于網(wǎng)絡(luò)元件的網(wǎng)絡(luò)標(biāo)識符之外，還至少包括其對應(yīng)方。如果配置是對參數(shù)的更新，則從網(wǎng)絡(luò)管理器接收的網(wǎng)絡(luò)配置信息除了關(guān)于網(wǎng)絡(luò)元件的網(wǎng)絡(luò)標(biāo)識符之外，還至少包括關(guān)于參數(shù)的更新值。

在所例示的示例中，網(wǎng)絡(luò)管理器NM在消息2-1中將網(wǎng)絡(luò)配置的更新轉(zhuǎn)發(fā)到安全實(shí)體配置單元(s-e-c-u)。如上所述，更新可以是添加新的網(wǎng)絡(luò)元件，去除現(xiàn)有網(wǎng)絡(luò)元件或更新現(xiàn)有網(wǎng)絡(luò)元件的參數(shù)。更新(即相應(yīng)信息)也被轉(zhuǎn)發(fā)到相應(yīng)的網(wǎng)絡(luò)元件，但是沒有在圖2中例示該信息交換。在所例示的示例中，假定更新是添加具有標(biāo)識符BS-n的基站到具有IP地址x.x.x的數(shù)字交換機(jī)DXT-3下的網(wǎng)絡(luò)，基站是B類型3(B-type 3)的類型(即其名稱是B類型3)，安全實(shí)體是防火墻FW2和入侵檢測/防御系統(tǒng)設(shè)備IDPS2，以及將在DXT-3和BS-n之間被使用的端口是在DXT-3中的p1以及在BS-n中的p2。

安全實(shí)體配置單元在點(diǎn)2-2中從消息2-1檢測到已經(jīng)添加了一個(gè)或多個(gè)新的網(wǎng)絡(luò)元件，并且在點(diǎn)2-2中確定已經(jīng)被添加的那些網(wǎng)絡(luò)元件及其類型。在所例示的示例中，在點(diǎn)2-2中確定BS-n及其類型B類型3。然后從存儲器中檢索(消息2-3、2-4)設(shè)備類型特定業(yè)務(wù)相關(guān)配置。在所例示的示例中，消息2-3指示B類型3，消息2-4包含為B類型3所定義的業(yè)務(wù)流的帶寬特性、可用協(xié)議、以及業(yè)務(wù)流的允許分組大小。安全實(shí)體配置單元還被配置為在點(diǎn)2-5中從所接收的信息中確定網(wǎng)絡(luò)添加元件的對應(yīng)方，以及從存儲器中檢索(消息2-6、2-7)沒有在消息2-2中如所添加的網(wǎng)絡(luò)元件那樣也被指示的對應(yīng)方的網(wǎng)絡(luò)元件配置。在所例示的示例中，在步驟2-5中確定DXT-3，在消息2-6中標(biāo)識DXT-3，并且在消息2-7中接收DXT-3的網(wǎng)絡(luò)元件配置。

安全實(shí)體配置單元使用檢索到的信息在點(diǎn)2-8中定義或創(chuàng)建或生成關(guān)于那些網(wǎng)絡(luò)元件的自動(dòng)網(wǎng)絡(luò)元件配置，并且存儲(消息2-9)，或者更精確地，將自動(dòng)生成的網(wǎng)絡(luò)元件配置添加到存儲器以成為當(dāng)前網(wǎng)絡(luò)元件配置的一部分。在所例示的示例中，在存儲/添加自動(dòng)生成的配置部分之后，關(guān)于BS-n的當(dāng)前網(wǎng)絡(luò)元件配置包含例如：BS-n、B類型3、x.x.x、p2去往DXT3、FW2、IDPS2、DXT3從p1，以及在消息2-4中接收的關(guān)于去往/來自端口p2的業(yè)務(wù)流的業(yè)務(wù)流參數(shù)。自然地，添加BS-n作為DXT-3的對應(yīng)方，并且將關(guān)于端口p1的業(yè)務(wù)流相關(guān)配置添加/存儲為DXT-3的當(dāng)前網(wǎng)絡(luò)元件配置的一部分。

此外，安全實(shí)體配置單元使用當(dāng)前網(wǎng)絡(luò)元件配置(在利用在點(diǎn)2-8中創(chuàng)建的自動(dòng)生成網(wǎng)絡(luò)元件配置更新它們之后)在點(diǎn)2-10中對于網(wǎng)絡(luò)元件之間的業(yè)務(wù)定義一組或多組業(yè)務(wù)規(guī)則，一組業(yè)務(wù)規(guī)則用于每個(gè)被涉及的安全實(shí)體，并且在消息2-11中將業(yè)務(wù)規(guī)則組轉(zhuǎn)發(fā)到安全實(shí)體控制器(se-contr.)。在例示的示例中，DXT-3站點(diǎn)包括防火墻FW1和入侵檢測/防御系統(tǒng)設(shè)備IDPS 1，BS-n站點(diǎn)包括FW2和IDPS 2。因此，為FW1定義一組業(yè)務(wù)規(guī)則，為IDPS 1定義另一組業(yè)務(wù)規(guī)則，還為FW2定義另一組業(yè)務(wù)規(guī)則，為IDPS2定義另外一組業(yè)務(wù)規(guī)則。該多組業(yè)務(wù)規(guī)則可以包括相同的業(yè)務(wù)規(guī)則，或者安全實(shí)體配置可以被配置為創(chuàng)建安全實(shí)體特定規(guī)則和/或安全實(shí)體類型特定規(guī)則。例如，相比簡單地監(jiān)視和發(fā)送警報(bào)的安全實(shí)體，過濾或攔截業(yè)務(wù)的安全實(shí)體可以被提供不同的業(yè)務(wù)規(guī)則組。例如，針對過濾/攔截安全實(shí)體的一組業(yè)務(wù)規(guī)則可以比針對監(jiān)視和警告安全實(shí)體的一組業(yè)務(wù)規(guī)則更詳細(xì)。此外，應(yīng)當(dāng)理解，一組業(yè)務(wù)規(guī)則可以包括一個(gè)或多個(gè)業(yè)務(wù)規(guī)則，上限不受限制。通常，一組業(yè)務(wù)規(guī)則包括多個(gè)業(yè)務(wù)規(guī)則。

然后，安全實(shí)體控制器在點(diǎn)2-12中將多組業(yè)務(wù)規(guī)則在消息2-13、2-13'、2-14、2-14'中分發(fā)(傳遞)給相應(yīng)的接收者，一條消息包含一組業(yè)務(wù)規(guī)則。取決于實(shí)現(xiàn)方式，安全實(shí)體控制器除了具有關(guān)于安全實(shí)體的地址的更精確的信息之外，還具有以下信息：基于該信息，響應(yīng)于接收到將被分發(fā)的一組規(guī)則，安全實(shí)體控制器被配置為從內(nèi)容確定例如所接收的一組規(guī)則將被分發(fā)到哪些安全實(shí)體。一旦接收到該組業(yè)務(wù)規(guī)則，安全實(shí)體就相應(yīng)地更新它的安全配置。

圖3例示根據(jù)示例性實(shí)施例的示例性信息交換，其中沒有實(shí)現(xiàn)安全元件控制器。

在所例示的示例中，網(wǎng)絡(luò)管理器NM在消息3-1中將對網(wǎng)絡(luò)配置的更新轉(zhuǎn)發(fā)到安全實(shí)體配置單元(s-e-c-u)。更新可以是添加新的網(wǎng)絡(luò)元件、去除現(xiàn)有網(wǎng)絡(luò)元件或更新現(xiàn)有網(wǎng)絡(luò)元件的參數(shù)。更新或相應(yīng)的信息也被轉(zhuǎn)發(fā)到相應(yīng)的網(wǎng)絡(luò)元件，但是沒有在圖3中例示該信息交換。在所例示的示例中，假定以上利用圖2描述的過程已經(jīng)被更早地執(zhí)行，自然地沒有安全實(shí)體控制器(即沒有源自安全實(shí)體配置單元的消息2-13、2-14、2-13'、2-14’，并且沒有消息2-11被轉(zhuǎn)發(fā)，并且沒有執(zhí)行點(diǎn)2-12)，以及消息3-1包含BS-n的IP地址已經(jīng)被改變?yōu)閤.y.z的信息。

安全實(shí)體配置單元在點(diǎn)3-2中從消息3-1檢測到一個(gè)或多個(gè)參數(shù)已經(jīng)被更新并且在點(diǎn)3-2中從所接收的信息中確定其參數(shù)已經(jīng)被改變的網(wǎng)絡(luò)元件，并從存儲器中檢索(消息3-3、3-4)在點(diǎn)3-2中確定的網(wǎng)絡(luò)元件的當(dāng)前網(wǎng)絡(luò)元件配置。在所例示的示例中，在點(diǎn)3-2中確定BS-n，消息3-3指示BS-n，在消息3-4中接收除了基本網(wǎng)絡(luò)配置之外還包括自動(dòng)生成的網(wǎng)絡(luò)配置的BS-n的當(dāng)前網(wǎng)絡(luò)元件配置。

所接收的網(wǎng)絡(luò)元件配置被用于在點(diǎn)3-5中確定受影響/被涉及的網(wǎng)絡(luò)元件，即對應(yīng)方。一旦對應(yīng)方已經(jīng)被確定，就從存儲器中檢索(消息3-6、3-7)相應(yīng)的當(dāng)前網(wǎng)絡(luò)元件配置。在所例示的示例中，在點(diǎn)3-5中確定DXT-3，在消息3-6中標(biāo)識DXT-3，并且在消息3-7中接收包括自動(dòng)生成的網(wǎng)絡(luò)配置的DXT-3的當(dāng)前網(wǎng)絡(luò)元件配置。

安全實(shí)體配置單元然后在點(diǎn)3-8中使用接收到的信息和檢索到的信息對于網(wǎng)絡(luò)元件之間的業(yè)務(wù)定義一組或多組業(yè)務(wù)規(guī)則，一組業(yè)務(wù)規(guī)則用于每個(gè)被涉及的安全實(shí)體。此外，在所例示的示例中，安全實(shí)體配置單元在點(diǎn)3-8中將不包含更新的信息的每組業(yè)務(wù)規(guī)則過濾出去，然后將剩余的業(yè)務(wù)規(guī)則組分發(fā)(消息3-9、3-9')到相應(yīng)的安全實(shí)體。在所例示的示例中，假定IP地址是防火墻的業(yè)務(wù)規(guī)則的一部分，但不是入侵檢測/防御系統(tǒng)設(shè)備的業(yè)務(wù)規(guī)則的一部分。因此，在該示例中，IDPS1和IDPS2的業(yè)務(wù)規(guī)則組被過濾掉，并且FW1和FW2的更新的業(yè)務(wù)規(guī)則組被相應(yīng)地傳遞給FW1和FW2。通過執(zhí)行該過濾，僅更新需要被更新的那些業(yè)務(wù)規(guī)則。因此，安全實(shí)體中的通信資源和處理資源不被無益地使用。應(yīng)當(dāng)理解的是，可以省略過濾，并且向每個(gè)安全實(shí)體發(fā)送一組業(yè)務(wù)規(guī)則，而不論它們是否保持相同。

上述示例描述了對于安全實(shí)體配置單元的集中式解決方案，而圖4中所例示的示例描述了分布式(分散式)解決方案。

在所例示的圖4的示例性系統(tǒng)400中，用于諸如數(shù)字交換機(jī)或基站的網(wǎng)絡(luò)元件的站點(diǎn)410除了實(shí)際設(shè)備(即網(wǎng)絡(luò)元件(NE)411)之外還包括一個(gè)或更多具有其業(yè)務(wù)規(guī)則組(t.rules)413-f的安全實(shí)體(S-E)413(在圖4中僅例示出一個(gè))、本地安全實(shí)體配置單元(s-e-c-u)412以及存儲器414，該存儲器包括網(wǎng)絡(luò)元件配置(設(shè)備配置)414-1。網(wǎng)絡(luò)元件配置414-1包括例如網(wǎng)絡(luò)元件的一個(gè)或多個(gè)IP地址、可用協(xié)議、要用于各種業(yè)務(wù)流的端口、允許的業(yè)務(wù)流分組大小、以及業(yè)務(wù)流的帶寬特性。網(wǎng)絡(luò)元件配置414-1包括關(guān)于對應(yīng)方的信息，諸如IP地址、要被使用的協(xié)議以及一個(gè)或多個(gè)端口。此外，網(wǎng)絡(luò)元件配置414-1可以包括關(guān)于在站點(diǎn)上的安全實(shí)體的信息。應(yīng)當(dāng)理解，在業(yè)務(wù)流的允許分組大小、業(yè)務(wù)流的帶寬特性以及分組大小在對應(yīng)方之間是對稱的情況下，因此不需要將關(guān)于對應(yīng)方的它們也存儲到存儲器中。然而，去往網(wǎng)絡(luò)元件和來自網(wǎng)絡(luò)元件的業(yè)務(wù)流的允許分組大小、業(yè)務(wù)流的帶寬特性和/或分組大小可以是不同的，在這種情況下，它們將被存儲到存儲器。例如，數(shù)字交換機(jī)可以向基站發(fā)送比基站發(fā)送到數(shù)字交換機(jī)更多的業(yè)務(wù)。本地安全實(shí)體配置單元被配置為當(dāng)網(wǎng)絡(luò)元件411從網(wǎng)絡(luò)管理系統(tǒng)420接收到網(wǎng)絡(luò)配置相關(guān)信息時(shí)接收或檢測，并且使用所接收的信息以及在存儲器中的網(wǎng)絡(luò)元件配置414-1以在相同站點(diǎn)410中定義或創(chuàng)建或配置一個(gè)或多個(gè)安全實(shí)體的業(yè)務(wù)規(guī)則組，如以下將更詳細(xì)地描述的那樣。存儲器414和/或本地安全實(shí)體配置單元412可以被集成到網(wǎng)絡(luò)元件中，如圖4的示例中的情況那樣。例如，本地安全實(shí)體配置單元412可以是網(wǎng)絡(luò)元件內(nèi)的管理代理的增強(qiáng)?？商鎿Q地，存儲器414和/或本地安全實(shí)體配置單元412可以是單獨(dú)的單元/設(shè)備。

圖5例示出本地安全實(shí)體配置單元的示例性功能。在所例示的示例中，假定在存儲器中的網(wǎng)絡(luò)元件配置還包括關(guān)于對應(yīng)方的信息、以及關(guān)于本地安全實(shí)體配置單元的網(wǎng)絡(luò)元件的站點(diǎn)上的安全實(shí)體的信息。此外，為了清楚起見，假定一次將一個(gè)網(wǎng)絡(luò)配置改變傳遞到本地安全實(shí)體配置單元。如果網(wǎng)絡(luò)配置消息包含多于一個(gè)改變，如何實(shí)現(xiàn)上述過程對于本領(lǐng)域技術(shù)人員是顯然地。

參照圖5，在步驟501中從網(wǎng)絡(luò)管理實(shí)體接收網(wǎng)絡(luò)配置信息。因此，在步驟502中從存儲器中檢索網(wǎng)絡(luò)元件配置。然后，在步驟503中檢查網(wǎng)絡(luò)配置信息是否指示已經(jīng)添加了新的通信對應(yīng)方。如果不是，則在步驟504中檢查現(xiàn)有通信對應(yīng)方是否已被去除。如果不是(步驟504)，則網(wǎng)絡(luò)元件本身或其通信對應(yīng)方的一個(gè)或多個(gè)參數(shù)已被修改，在步驟505中使用接收到的更新的一個(gè)或多個(gè)參數(shù)以及檢索到的網(wǎng)絡(luò)元件配置來定義或創(chuàng)建一個(gè)或多個(gè)更新的業(yè)務(wù)規(guī)則組。所創(chuàng)建的更新的組的數(shù)量通常取決于針對網(wǎng)絡(luò)元件存在有多少安全實(shí)體。然而，該數(shù)量可以較小。例如，如果安全實(shí)體配置單元被配置為將某個(gè)參數(shù)類型與安全實(shí)體中的僅一些相關(guān)聯(lián)，并且該類的參數(shù)被更新，則不需要對每個(gè)安全實(shí)體創(chuàng)建更新的業(yè)務(wù)規(guī)則組。然而，應(yīng)當(dāng)理解，可以每次對每個(gè)安全實(shí)體創(chuàng)建一組業(yè)務(wù)規(guī)則，即使該組業(yè)務(wù)規(guī)則將與在先前的更新期間所創(chuàng)建的相同。然后，在步驟506中將所創(chuàng)建的一組或多組業(yè)務(wù)規(guī)則發(fā)送到相應(yīng)的一個(gè)或多個(gè)安全實(shí)體。

如果網(wǎng)絡(luò)配置信息指示了已經(jīng)添加了新的通信對應(yīng)方(步驟503)，則在步驟507中使用接收到的信息和檢索到的網(wǎng)絡(luò)元件配置來確定(創(chuàng)建)一組或多組新的業(yè)務(wù)規(guī)則。然后在步驟508中更新在存儲器中的網(wǎng)絡(luò)元件配置以包含被添加的網(wǎng)絡(luò)元件作為新的對應(yīng)方，并且在步驟506中將所創(chuàng)建的一組或多組業(yè)務(wù)規(guī)則發(fā)送到相應(yīng)的一個(gè)或多個(gè)安全實(shí)體。

如果網(wǎng)絡(luò)配置信息指示了通信對應(yīng)方已被去除(步驟504)，則在步驟509中使用接收到的信息和檢索到的網(wǎng)絡(luò)元件配置來確定(創(chuàng)建)要被去除的一組或多組業(yè)務(wù)規(guī)則。然后，在步驟508中更新在存儲器中的網(wǎng)絡(luò)元件配置，使得它不再包含被去除的網(wǎng)絡(luò)元件作為通信對應(yīng)方，并且在步驟506中將要被去除的一組或多組業(yè)務(wù)規(guī)則與去除的指示一起發(fā)送到相應(yīng)的一個(gè)或多個(gè)安全實(shí)體。

可替代地，在步驟509中關(guān)于每個(gè)不被去除的對應(yīng)方創(chuàng)建新的業(yè)務(wù)規(guī)則組，并且將這些組發(fā)送到安全實(shí)體以取代當(dāng)前使用中的安全配置。

如從以上示例可以看出，將安全配置與網(wǎng)絡(luò)配置集成有助于定義業(yè)務(wù)規(guī)則組。由于集成，安全配置可以是至少部分自動(dòng)的(對于電信網(wǎng)絡(luò)也可以)。由于需要更少的手動(dòng)工作，因此人為錯(cuò)誤的風(fēng)險(xiǎn)被最小化。另外，不需要執(zhí)行額外的工作以更新業(yè)務(wù)規(guī)則以符合網(wǎng)絡(luò)的演進(jìn)。此外，業(yè)務(wù)規(guī)則可以更加詳細(xì)。例如，安全實(shí)體配置單元可以被配置為業(yè)務(wù)流特定地實(shí)時(shí)更新業(yè)務(wù)規(guī)則組。

圖6例示出這種實(shí)時(shí)更新的示例性功能。盡管網(wǎng)絡(luò)元件，至少一旦它被添加到網(wǎng)絡(luò)中時(shí)，可以具有“被攔截”作為設(shè)置，即，不允許業(yè)務(wù)(包括信令)，但在所例示的示例中，網(wǎng)絡(luò)元件按照允許去往和來自它的信令但作為默認(rèn)不允許用戶數(shù)據(jù)業(yè)務(wù)的方式“不被攔截”。換句話說，在圖6的示例中，假定已經(jīng)定義了業(yè)務(wù)規(guī)則組，這些組包括作為默認(rèn)的對于所有用戶數(shù)據(jù)業(yè)務(wù)“不允許”。按照以上描述的方式中的任何一個(gè)或根據(jù)現(xiàn)有技術(shù)解決方案，業(yè)務(wù)規(guī)則組可以已經(jīng)被確定。在TETRA環(huán)境中，現(xiàn)有技術(shù)解決方案意味著通過手動(dòng)地將規(guī)則輸入到相應(yīng)的安全實(shí)體或者至少網(wǎng)絡(luò)元件及其對應(yīng)方的網(wǎng)絡(luò)元件配置需要被手動(dòng)地輸入到系統(tǒng)來定義業(yè)務(wù)規(guī)則。在圖6中所例示的示例中，執(zhí)行實(shí)時(shí)更新的安全單元是被進(jìn)一步配置為監(jiān)視業(yè)務(wù)流的本地安全實(shí)體配置單元。在所例示的示例中，為了清楚起見，假定被稱為通信的用于用戶數(shù)據(jù)的連接被接受并被建立。

參照圖6，當(dāng)在步驟601中在本地安全實(shí)體配置單元的網(wǎng)絡(luò)元件中檢測到對于用戶數(shù)據(jù)業(yè)務(wù)的通信建立請求時(shí)，本地安全實(shí)體單元在步驟602中從存儲器檢索網(wǎng)絡(luò)元件配置。通信建立請求可以是初始連接建立請求，會(huì)話建立請求，切換請求或在一鍵通類型的服務(wù)中講話和/或發(fā)送數(shù)據(jù)的請求，在一鍵通類型的服務(wù)中通信方或者處于接收模式或者處于發(fā)送模式，并且傳送的許可可以由系統(tǒng)(例如由服務(wù)器或其他網(wǎng)絡(luò)元件)給出(一旦一方請求這樣的許可)。當(dāng)在步驟603中檢測到通信建立請求被接受時(shí)，在步驟604中由本地安全實(shí)體配置單元使用與通信建立消息相關(guān)的網(wǎng)絡(luò)元件配置和路由信息，即關(guān)于網(wǎng)絡(luò)元件及其對應(yīng)方(即通信建立消息從哪里接收，以及通信建立消息向哪里轉(zhuǎn)達(dá))的信息，創(chuàng)建用于通信(即用于通信的一個(gè)或多個(gè)業(yè)務(wù)流)的一組或多組用戶數(shù)據(jù)業(yè)務(wù)規(guī)則。接受通信建立可以是建立連接、建立會(huì)話或開始通信的另一指示，例如，在一鍵通類型的那樣的服務(wù)中指示語音項(xiàng)開始的“發(fā)言權(quán)”或“發(fā)言權(quán)授予”。在群組呼叫的情況下，如果群組成員由被連接到本地安全實(shí)體配置單元的網(wǎng)絡(luò)元件的不同網(wǎng)絡(luò)元件服務(wù)，因此可能涉及每個(gè)方向多于一個(gè)業(yè)務(wù)流(去往或來自本地安全實(shí)體配置單元的網(wǎng)絡(luò)元件)，則可能可以將通信建立轉(zhuǎn)發(fā)到兩個(gè)或更多個(gè)網(wǎng)絡(luò)元件?？紤]被連接到一個(gè)或多個(gè)其他交換機(jī)和兩個(gè)基站的數(shù)字交換機(jī)，群組呼叫可能要求去往和來自兩個(gè)基站以及去往和來自其他交換機(jī)中的至少一個(gè)或多個(gè)的業(yè)務(wù)流，或者群組呼叫可能要求去往和來自一個(gè)基站以及去往和來自其他交換機(jī)中的一個(gè)的業(yè)務(wù)流。考慮基站，群組呼叫可能要求去往和/或來自一個(gè)或多個(gè)用戶設(shè)備以及去往和/或來自數(shù)字交換機(jī)的業(yè)務(wù)流?？紤]兩方之間的通信，業(yè)務(wù)流取決于它們是否由相同的基站進(jìn)行服務(wù)，或由相同交換機(jī)下的基站或不同交換機(jī)下的基站進(jìn)行服務(wù)。應(yīng)當(dāng)理解，以上列出的業(yè)務(wù)流僅是示例，可以存在其他類的業(yè)務(wù)流。此外，要求來自/去往本地安全實(shí)體配置單元的網(wǎng)絡(luò)元件的兩個(gè)或更多個(gè)業(yè)務(wù)流的一個(gè)通信可以作為兩個(gè)或更多個(gè)一對一業(yè)務(wù)流或者作為一對多業(yè)務(wù)流被映射到業(yè)務(wù)規(guī)則。換句話說，來自網(wǎng)絡(luò)元件的、被映射為一對一的這種業(yè)務(wù)規(guī)則的非常示例性的示例包括“允許從端口1到NE1，允許從端口1到NE2”，被映射為一對多的這種業(yè)務(wù)規(guī)則的非常示例性的示例包括“允許從端口1到NE1以及到NE2”。相應(yīng)地，去往網(wǎng)絡(luò)元件的、被映射為一對一的業(yè)務(wù)規(guī)則的非常示例性的示例包括“允許從NE1到端口1，允許從NE2到端口1”，被映射為一對多的業(yè)務(wù)規(guī)則的非常示例性的示例包括“允許從端口1到NE1以及到NE2”。

在步驟605中，將所創(chuàng)建的每組用戶數(shù)據(jù)業(yè)務(wù)規(guī)則發(fā)送到站點(diǎn)中的相應(yīng)安全實(shí)體，以更新業(yè)務(wù)規(guī)則，使得可以在連接上傳送用戶數(shù)據(jù)。換句話說，取決于連接的“對應(yīng)方網(wǎng)絡(luò)元件”的數(shù)量，對于每個(gè)對應(yīng)方以及可能的業(yè)務(wù)方向(去往和/或來自網(wǎng)絡(luò)元件)，將業(yè)務(wù)規(guī)則“允許從這個(gè)對應(yīng)方網(wǎng)絡(luò)元件的這個(gè)(這些)端口到網(wǎng)絡(luò)元件中的這個(gè)(這些)端口的具有分組大小X以及帶寬特性Y的這個(gè)特定用戶數(shù)據(jù)業(yè)務(wù)”和/或“允許從網(wǎng)絡(luò)元件中的這個(gè)(這些)端口到這個(gè)對應(yīng)方網(wǎng)絡(luò)元件的這個(gè)(這些)端口的具有分組大小X’以及帶寬特性Y’的這個(gè)特定用戶數(shù)據(jù)業(yè)務(wù)”更新到一個(gè)或多個(gè)安全實(shí)體。

然后，在步驟606中，本地安全實(shí)體配置單元監(jiān)視通信以檢測通信的結(jié)束(步驟607)。該結(jié)束可以是由于連接解除、會(huì)話終止、來自網(wǎng)絡(luò)元件的切換或者終止發(fā)送許可，例如或者通過主動(dòng)地解除傳輸線路或者被更高優(yōu)先級的傳輸中斷。當(dāng)檢測到(步驟607)通信或通信中的一個(gè)(通信支路)結(jié)束時(shí)，例如在群組呼叫的情況下或者在用戶終端移動(dòng)以被另一網(wǎng)絡(luò)元件和/或另一對應(yīng)方網(wǎng)絡(luò)元件服務(wù)的情況下隨著沒有將被服務(wù)方而結(jié)束時(shí)，在步驟608中相應(yīng)地更新用戶數(shù)據(jù)業(yè)務(wù)規(guī)則組。例如，可以更新在步驟604中創(chuàng)建的組以不允許任何用戶數(shù)據(jù)業(yè)務(wù)，或允許所允許的用戶數(shù)據(jù)業(yè)務(wù)的子集，或者可以創(chuàng)建取代在步驟604中創(chuàng)建的組的新組。然后在步驟609中將更新的業(yè)務(wù)規(guī)則發(fā)送到相應(yīng)的安全實(shí)體。

盡管在以上示例中，描述了本地安全實(shí)體配置單元的功能，但是應(yīng)當(dāng)理解，以上功能可以由集中式安全實(shí)體配置單元執(zhí)行，其可以向所有涉及的安全實(shí)體提供更新的業(yè)務(wù)規(guī)則組。

此外，應(yīng)當(dāng)理解，網(wǎng)絡(luò)元件和/或服務(wù)器可以被配置為向安全實(shí)體配置單元通知業(yè)務(wù)流，以代替安全實(shí)體配置單元監(jiān)視業(yè)務(wù)流。

應(yīng)當(dāng)理解，在上述集中式解決方案和分布式解決方案之間存在中間解決方案。例如，業(yè)務(wù)規(guī)則的初始確定可以通過使用集中式安全實(shí)體配置單元來執(zhí)行，而更新業(yè)務(wù)規(guī)則組可以通過使用分布式安全實(shí)體配置單元來執(zhí)行。此外，在圖6中描述的功能可以由集中式安全實(shí)體配置單元來實(shí)現(xiàn)，伴隨本地安全實(shí)體配置單元的一些參與，以及/或者在圖2和圖3中所描述的集中式安全實(shí)體配置單元的功能中的至少一些可以在本地安全實(shí)體配置單元中實(shí)現(xiàn)。

不論安全實(shí)體配置單元的實(shí)現(xiàn)細(xì)節(jié)如何，用于更新安全設(shè)置的進(jìn)一步觸發(fā)都可以由日志分析器單元提供給集中式安全配置單元和/或集中式安全配置控制器和/或本地安全配置單元。

圖7是例示日志分析器單元的示例性功能的流程圖。在所例示的示例中，假定日志分析器單元將關(guān)于可疑業(yè)務(wù)的信息轉(zhuǎn)發(fā)到安全實(shí)體配置單元(集中式和/或本地)以更新一組或多組業(yè)務(wù)規(guī)則，這可以僅由安全性實(shí)體配置單元(本地或集中式)例如響應(yīng)于從NMS接收上述觸發(fā)一組或多組業(yè)務(wù)規(guī)則更新的輸入而確定取代由日志分析器創(chuàng)建的業(yè)務(wù)規(guī)則的新業(yè)務(wù)規(guī)則，或者通過使用確定/更新業(yè)務(wù)規(guī)則的現(xiàn)有技術(shù)解決方案來克服。

參照圖7，日志分析器單元在步驟701中從網(wǎng)絡(luò)元件接收日志文件和相應(yīng)的事件報(bào)告，并在步驟702中使用當(dāng)前網(wǎng)絡(luò)配置分析所接收的信息以檢測可疑活動(dòng)。所接收的信息包含IP地址、端口、分組類型、分組指紋等。日志分析器可以包括基于其檢測可疑活動(dòng)的一個(gè)或多個(gè)規(guī)則。例如，規(guī)則可以是如果在網(wǎng)絡(luò)元件中程序N在時(shí)間段Y內(nèi)崩潰X次，則檢測到可疑活動(dòng)。可以對于未知的連接嘗試、未正確接收的分組、從網(wǎng)絡(luò)元件發(fā)送的消息量、與網(wǎng)絡(luò)配置中的那些業(yè)務(wù)流特性不同的業(yè)務(wù)流特性等確定類似類型的規(guī)則。應(yīng)當(dāng)理解，滿足其則指示可疑活動(dòng)的規(guī)則可以被自由定義；沒有約束或限制。此外，在所例示的示例中，可疑活動(dòng)已經(jīng)被定義為具有兩個(gè)級別：僅導(dǎo)致報(bào)警的較不嚴(yán)重的可疑活動(dòng)，以及也導(dǎo)致業(yè)務(wù)規(guī)則的更新的更嚴(yán)重的可疑活動(dòng)。例如，已經(jīng)持續(xù)一定量時(shí)間的可疑情感可能首先較不嚴(yán)重，但如果繼續(xù)，它可能會(huì)變得更嚴(yán)重。應(yīng)該理解的是，可以只有一個(gè)級別或多于兩個(gè)級別，級別的標(biāo)準(zhǔn)可以被自由地確定。

如果沒有檢測到可疑活動(dòng)(步驟703)，則繼續(xù)接收日志信息(步驟701)并分析它(步驟702)。

如果檢測到可疑活動(dòng)(步驟703)，則檢查(704)可疑活動(dòng)是否如此嚴(yán)重以至于應(yīng)當(dāng)將其轉(zhuǎn)發(fā)到安全實(shí)體配置單元。如果是，則在步驟705中使用日志信息和當(dāng)前網(wǎng)絡(luò)配置信息來確定受影響的一個(gè)或多個(gè)站點(diǎn)。一旦已經(jīng)確定了受影響的一個(gè)或多個(gè)站點(diǎn)(還可能，受影響的業(yè)務(wù))，則在步驟706中將它們傳遞給一個(gè)或多個(gè)安全實(shí)體配置單元，并且在所例示的示例中也還警告NMS。例如，可以警告NMS將在一組或多組業(yè)務(wù)規(guī)則中考慮到可疑活動(dòng)?？商鎿Q地，日志分析器可以被配置為僅將關(guān)于受影響的一個(gè)或多個(gè)站點(diǎn)和/或影響業(yè)務(wù)的信息傳遞到安全實(shí)體配置單元。

如果可疑活動(dòng)不是如此嚴(yán)重以至于應(yīng)當(dāng)將其轉(zhuǎn)發(fā)到安全實(shí)體配置單元(步驟704)，則在步驟707中將警報(bào)發(fā)送到NMS。

當(dāng)執(zhí)行步驟704、705、706和/或707時(shí)，以及在它們之后，接收日志信息(步驟701)以及分析日志信息(步驟702)在后臺繼續(xù)。

從以上顯而易見的是，由于日志分析器單元將信息發(fā)送給安全實(shí)體配置單元，日志分析器可能導(dǎo)致來自被配置到網(wǎng)絡(luò)的網(wǎng)絡(luò)元件的業(yè)務(wù)被由于異常行為而更新一組或多組業(yè)務(wù)規(guī)則而阻塞。換句話說，利用日志分析器單元和安全實(shí)體配置單元，可以提供動(dòng)態(tài)和自動(dòng)反應(yīng)系統(tǒng)。此外，一旦日志分析器具有當(dāng)前網(wǎng)絡(luò)配置信息，即基本網(wǎng)絡(luò)配置和被自動(dòng)生成的網(wǎng)絡(luò)配置，它最可能將創(chuàng)建更少的假警報(bào)。

應(yīng)當(dāng)理解，集中式日志分析器單元的一些功能可以以分散的方式被執(zhí)行。

以上在圖2、圖3、圖5，圖6以及圖7中以及利用它們描述的步驟、點(diǎn)和消息(即信息交換)以及相關(guān)功能不是按照絕對的時(shí)間順序，而是可以同時(shí)或按照與給定的順序不同的順序執(zhí)行步驟/點(diǎn)中的一些。也可以在步驟/點(diǎn)之間或在步驟/點(diǎn)內(nèi)實(shí)行其他功能，以及可以發(fā)送其他信息。例如，代替具有更完整的網(wǎng)絡(luò)元件配置，每次需要這種更完整的配置時(shí)，通過檢索設(shè)備類型特定業(yè)務(wù)相關(guān)配置來獲取，并且儲存在存儲器中的網(wǎng)絡(luò)元件配置是所接收的網(wǎng)絡(luò)配置信息。再另外的示例包括響應(yīng)于檢測到通信開始的指示(步驟603)以及響應(yīng)于檢測到通信的結(jié)束而更新網(wǎng)絡(luò)元件配置，以及響應(yīng)于在網(wǎng)絡(luò)元件配置中的更新而更新用戶數(shù)據(jù)業(yè)務(wù)規(guī)則組(步驟604、608)。步驟/點(diǎn)中的一些或步驟/點(diǎn)的部分也可以被省略或由相應(yīng)的步驟/點(diǎn)或步驟/點(diǎn)的部分取代。例如，代替網(wǎng)絡(luò)管理器例如通過消息2-1、3-1以及步驟501通知安全實(shí)體，安全實(shí)體配置單元可以被配置為監(jiān)視網(wǎng)絡(luò)管理器或者從網(wǎng)絡(luò)管理器發(fā)送到一個(gè)或多個(gè)網(wǎng)絡(luò)元件的網(wǎng)絡(luò)配置，以及響應(yīng)于檢測到在網(wǎng)絡(luò)管理配置中的改變，觸發(fā)處理。另一個(gè)示例包括在步驟508中省略更新網(wǎng)絡(luò)元件配置。

這里描述的技術(shù)可以通過各種手段來實(shí)現(xiàn)，使得被配置為實(shí)現(xiàn)以上利用實(shí)施例/示例(例如借助于圖2和/或圖3和/或圖5和/或圖6和/或圖7)描述的相應(yīng)裝置/網(wǎng)絡(luò)節(jié)點(diǎn)/網(wǎng)絡(luò)元件的一個(gè)或多個(gè)功能/操作的裝置/網(wǎng)絡(luò)節(jié)點(diǎn)/網(wǎng)絡(luò)元件，不僅包括現(xiàn)有技術(shù)部件，還包括用于實(shí)現(xiàn)利用實(shí)施例(例如借助于圖2和/或圖3和/或圖5和/或圖6和/或圖7)描述的相應(yīng)功能中的一個(gè)或多個(gè)功能/操作的部件，并且其可以包括用于每個(gè)單獨(dú)的功能/操作的單獨(dú)的部件，或者可以被配置為執(zhí)行兩個(gè)或更多個(gè)功能/操作的部件。例如，用于上述一個(gè)或多個(gè)功能/操作的一個(gè)或多個(gè)部件和/或安全實(shí)體配置單元和/或日志分析器單元和/或安全實(shí)體控制器單元可以是軟件和/或軟件-硬件和/或硬件和/或固件組件(永久性地記錄在諸如只讀存儲器的介質(zhì)上或者包括于硬接線計(jì)算機(jī)電路中)或它們的組合。軟件代碼可被儲存于任何合適的處理器/計(jì)算機(jī)可讀數(shù)據(jù)儲存介質(zhì)或存儲器單元或制造物品中并且被一個(gè)或多個(gè)處理器/計(jì)算機(jī)、硬件(一個(gè)或多個(gè)裝置)、固件(一個(gè)或多個(gè)裝置)、軟件(一個(gè)或多個(gè)模塊)或者它們的組合實(shí)行。對于固件或軟件，可以通過執(zhí)行這里描述的功能的模塊(例如，過程，功能等)實(shí)現(xiàn)。

圖8是例示出用于裝置800的一些單元的簡化框圖，裝置800被配置為網(wǎng)絡(luò)元件或相應(yīng)實(shí)體，該網(wǎng)絡(luò)元件或相應(yīng)實(shí)體被配置為提供一組或多組業(yè)務(wù)規(guī)則以及/或者導(dǎo)致一組或多組業(yè)務(wù)規(guī)則的更新，包括安全實(shí)體配置單元和/或日志分析器單元和/或安全實(shí)體控制器單元中的至少一個(gè)，或者如以上例如借助于圖2和/或圖3和/或圖5和/或圖6和/或圖7描述的，該網(wǎng)絡(luò)元件或相應(yīng)實(shí)體以其他方式被配置為創(chuàng)建和/或更新和/或發(fā)送一組或多組業(yè)務(wù)規(guī)則和/或基于其可以創(chuàng)建/更新一組或多組業(yè)務(wù)規(guī)則的信息，或者功能中的一些(如果在未來功能是分布的)。在所例示的示例中，裝置包括用于接收和發(fā)送信息的接口(IF)實(shí)體801或多個(gè)接口實(shí)體801；實(shí)體802或多個(gè)實(shí)體802，能夠作為相應(yīng)的單元或子單元(如果實(shí)現(xiàn)分布式場景)，利用對應(yīng)的算法803執(zhí)行計(jì)算并被配置為實(shí)現(xiàn)這里所述的安全實(shí)體配置單元和/或日志分析器單元和/或安全實(shí)體控制器單元中的至少一個(gè)，或以上例如借助于圖2和/或圖3和/或圖5和/或圖6和/或圖7描述的功能/操作中的至少部分；以及存儲器804，或多個(gè)存儲器804，可用于儲存安全實(shí)體配置單元和/或日志分析器單元和/或安全實(shí)體控制器單元中的至少一個(gè)，或相應(yīng)的單元或子單元，或以上例如借助于圖2和/或圖3和/或圖5和/或圖6和/或圖7描述的一個(gè)或多個(gè)功能/操作所要求的計(jì)算機(jī)程序代碼，即用于實(shí)現(xiàn)以上借助于圖2和/或圖3和/或圖5和/或圖6和/或圖7描述的功能/操作的算法。存儲器804也可用于儲存其他可能的信息，比如當(dāng)前網(wǎng)絡(luò)配置和/或網(wǎng)絡(luò)元件配置和/或設(shè)備類型特定業(yè)務(wù)相關(guān)配置和/或可疑活動(dòng)的標(biāo)準(zhǔn)?？偨Y(jié)來說，至少一個(gè)存儲器804和計(jì)算機(jī)程序代碼(軟件)803被配置有至少一個(gè)處理器(或相應(yīng)實(shí)體)802，導(dǎo)致裝置800至少部分地實(shí)施上述實(shí)施例/示例中的任何一個(gè)。

換句話說，網(wǎng)絡(luò)元件或相應(yīng)實(shí)體被配置為提供一組或多組業(yè)務(wù)規(guī)則和/或?qū)е乱唤M或多組業(yè)務(wù)規(guī)則的更新，被配置為網(wǎng)絡(luò)元件或相應(yīng)實(shí)體的裝置可以為被配置為執(zhí)行以上利用實(shí)施例/示例描述的相應(yīng)裝置功能中的一個(gè)或多個(gè)的任何裝置或設(shè)備或裝備的計(jì)算設(shè)備，并且它可被配置為執(zhí)行來自不同的實(shí)施例/示例的功能。安全實(shí)體配置單元和/或日志分析器單元和/或安全實(shí)體控制器單元以及相應(yīng)的單元和子單元，以及以上利用裝置描述的其他單元和/或?qū)嶓w可以是單獨(dú)的單元(甚至位于另一物理裝置，這些分布式物理裝置形成提供功能的一個(gè)邏輯裝置)，或者被集成到相同裝置中的另一單元。

被配置為基于以上描述發(fā)送的裝置和/或被配置為基于以上描述接收同步信息的裝置可一般包括與存儲器和裝置的各種接口連接的處理器、控制器、控制單元或微控制器等。一般地，處理器是中央處理單元，但是處理器可以是附加的運(yùn)算處理器。用于這里描述的功能/操作的單元/子單元和/或算法中的每個(gè)或一些或一個(gè)可以被配置為計(jì)算機(jī)或處理器或諸如單芯片計(jì)算機(jī)元件的微處理器，或者被配置為芯片集，至少包括存儲器以提供用于算術(shù)運(yùn)算的儲存區(qū)域以及運(yùn)算處理器以實(shí)行算術(shù)運(yùn)算。用于上述的功能/操作的單元/子單元和/或算法中的每個(gè)或一些或一個(gè)可以包括一個(gè)或多個(gè)計(jì)算機(jī)處理器、邏輯門、專用集成電路(ASIC)、數(shù)字信號處理器(DSP)、數(shù)字信號處理器件(DSPD)、可編程邏輯器件(PLD)、現(xiàn)場可編程門陣列(FPGA)和/或以這種方式已經(jīng)被編程和/或?qū)⑼ㄟ^下載計(jì)算機(jī)程序代碼(一個(gè)或多個(gè)算法)被編程以實(shí)施一個(gè)或多個(gè)實(shí)施例/示例的一個(gè)或多個(gè)功能的其他硬件組件。實(shí)施例提供包括在任何客戶端可讀分發(fā)/數(shù)據(jù)儲存介質(zhì)或存儲器單元或制造產(chǎn)品上的計(jì)算機(jī)程序，包括可由一個(gè)或多個(gè)處理器/計(jì)算機(jī)實(shí)行的程序指令，當(dāng)被載入裝置時(shí)，指示構(gòu)成提供相應(yīng)功能的單元或?qū)嶓w中的一個(gè)或多個(gè)。程序，也被稱為程序產(chǎn)品，包括可以被儲存在任何介質(zhì)中、并可以被下載到設(shè)備中的軟件程序、構(gòu)成“程序庫”的程序片段、小應(yīng)用程序和宏。換句話說，用于上述一個(gè)或多個(gè)功能/操作的單元/子單元和/或算法中的每個(gè)或一些或一個(gè)的可以是包括一個(gè)或多個(gè)算術(shù)邏輯單元、若干特殊寄存器以及控制電路的元件。

此外，裝置可一般包括易失性和/或非易失性存儲器，例如，EEPROM、ROM、PROM、RAM、DRAM、SRAM、雙浮動(dòng)?xùn)艠O場效應(yīng)晶體管、固件、可編程邏輯等，并且通常儲存內(nèi)容或數(shù)據(jù)等。一個(gè)或多個(gè)存儲器，可以為任何類型(相互不同)，具有任何可能的存儲結(jié)構(gòu)，以及，如果要求的話，由任何數(shù)據(jù)庫管理系統(tǒng)管理。換句話說，存儲器可以是在適合于執(zhí)行所要求的操作/計(jì)算的處理器或相應(yīng)實(shí)體內(nèi)，或者在處理器或相應(yīng)實(shí)體的外部的任何計(jì)算機(jī)可用非暫時(shí)性介質(zhì)，在這種情況下，其可以經(jīng)由各種手段被通信地耦合到處理器或相應(yīng)實(shí)體。存儲器還可以儲存諸如用于處理器或者相應(yīng)實(shí)體的軟件應(yīng)用(例如，用于一個(gè)或多個(gè)單元/子單元/算法)或操作系統(tǒng)、信息、數(shù)據(jù)、內(nèi)容等，以執(zhí)行與根據(jù)示例/實(shí)施例的裝置的操作相關(guān)聯(lián)的步驟。存儲器或它的部分可以是例如隨機(jī)存取存儲器、硬盤驅(qū)動(dòng)器或在處理器/裝置內(nèi)或者處理器/裝置外部實(shí)現(xiàn)的其它固定數(shù)據(jù)存儲器或儲存設(shè)備，在這種情況下，它可經(jīng)由如本領(lǐng)域中已知的各種手段與處理器/網(wǎng)絡(luò)節(jié)點(diǎn)通信地耦合。外部存儲器的示例包括可拆卸地與裝置連接的可去除存儲器、分布式數(shù)據(jù)庫和云服務(wù)器。

該裝置一般可以包括不同的接口單元，諸如一個(gè)或多個(gè)接收單元以及一個(gè)或多個(gè)發(fā)送單元。接收單元和發(fā)送單元各自在裝置中提供接口實(shí)體，接口實(shí)體包括發(fā)送器和/或接收器或用于接收和/或發(fā)送信息的任何其它部件，并且執(zhí)行必要功能使得信息等可以被接收和/或發(fā)送。接收和發(fā)送單元/實(shí)體可以遠(yuǎn)離實(shí)際裝置和/或包括一組天線，其數(shù)量不限于任何特定數(shù)目。對于本領(lǐng)域技術(shù)人員來說，很顯然，隨著技術(shù)進(jìn)步，可按照各種方式實(shí)現(xiàn)本發(fā)明的概念。本發(fā)明及其實(shí)施例不限于以上描述的示例，而可在權(quán)利要求的范圍內(nèi)變化。