本发明涉及确定安全策略的方法和系统。
背景技术:
1、防火墙通常保护网络免受未经授权的接入,同时准许经授权的通信通过防火墙。防火墙典型地是为网络接入提供防火墙功能的一个或一组设备,或者在设备(诸如计算机)上执行的软件。例如,防火墙可以集成到设备(例如,计算机、智能电话或其他类型的支持网络通信的设备)的操作系统中。防火墙也可以集成到计算机服务器、网关、网络/路由设备(例如网络路由器)或数据装置(例如,安全装置或其他类型的专用设备)中,或者在其上作为软件执行。
2、防火墙典型地基于规则集来拒绝或准许网络传输。这些规则集通常被称为策略。例如,防火墙可以通过应用规则集或策略来过滤入站流量。防火墙还可以通过应用规则集或策略来过滤出站流量。防火墙还可以能够执行基本的路由功能。
技术实现思路
1、根据本发明,提供一种系统,包括:处理器,其被配置为在安全平台处监控服务提供商网络上的网络流量以标识新的会话,在安全平台处提取与新的会话相关联的用户流量的网络切片信息,以及基于网络切片信息来确定要在安全平台处应用于新的会话的安全策略,其中服务提供商网络包括5g网络或融合5g网络;以及存储器,其联接到处理器并且被配置为向处理器提供指令。
2、优选地,所述的系统中,安全平台被配置有基于网络切片信息的多个安全策略,其中安全平台解析http/2消息以提取网络切片信息,并且其中网络切片信息由单个网络切片选择辅助信息(s-nssai)来标识。安全平台监控无线接口,所述无线接口包括用于4g和/或5g网络的移动核心网络中的控制协议和用户数据流量的多个接口,以向订户和订户设备提供基于网络切片的安全性,所述订户和订户设备使用5g无线电接入技术连接到服务提供商网络并且切换到5g无线电接入技术/从5g无线电接入技术切换到非5g无线电接入技术。安全平台被配置为使用网络切片信息来执行防火墙服务,以为具有多个订户、多个移动订户和/或多个订户设备的客户应用安全性。安全平台被配置为执行以下中的一个或多个:使用网络切片信息的针对已知威胁的威胁检测,使用网络切片信息的针对未知威胁的高级威胁检测,使用网络切片信息的统一资源链接(url)过滤,使用网络切片信息的基于网络切片的应用拒绝服务(dos)检测,以及使用网络切片信息的基于网络切片的应用dos预防。
3、根据本发明,还提供一种系统,包括:处理器,其被配置为在安全平台处监控服务提供商网络上的网络流量以标识新的会话,在安全平台处提取与新的会话相关联的用户流量的订阅和/或设备标识符信息,以及基于订阅和/或设备标识符信息来确定要在安全平台处应用于新的会话的安全策略,其中服务提供商网络包括5g网络或融合5g网络;以及存储器,其联接到处理器并且被配置为向处理器提供指令。
4、优选地,所述的系统中,安全平台被配置有基于订阅和/或设备标识符信息的多个安全策略,其中安全平台解析http/2消息以提取订阅和/或设备标识符信息,并且其中订阅和/或设备标识符信息由订阅永久标识符(supi)、通用公共订阅标识符(gpsi)和/或永久设备标识符(pei)来标识。安全平台监控无线接口,所述无线接口包括用于4g和/或5g网络的移动核心网络中的控制协议和用户数据流量的多个接口,以向订户和订户设备提供基于网络切片的安全性,所述订户和订户设备使用5g无线电接入技术连接到服务提供商网络并且切换到5g无线电接入技术/从5g无线电接入技术切换到非5g无线电接入技术。安全平台被配置为使用订阅和/或设备标识符信息来执行防火墙服务,以为具有多个订户、多个移动订户和/或多个订户设备的客户应用安全性。安全平台被配置为执行以下中的一个或多个:使用订阅和/或设备标识符信息的针对已知威胁的威胁检测,使用订阅和/或设备标识符信息的针对未知威胁的高级威胁检测,使用订阅和/或设备标识符信息的统一资源链接(url)过滤,使用订阅和/或设备标识符信息的基于订阅永久标识符(supi)或基于通用公共订阅标识符(gpsi)的应用拒绝服务(dos)检测,以及使用订阅和/或设备标识符信息的基于supi或基于gpsi的应用dos预防。
5、根据本发明,还提供一种系统,包括:处理器,其被配置为在安全平台处监控服务提供商网络上的网络流量以标识新的会话,在安全平台处提取与新的会话相关联的用户流量的网络名称信息,以及基于网络名称信息来确定要在安全平台处应用于新的会话的安全策略,其中服务提供商网络包括5g网络或融合5g网络;以及存储器,其联接到处理器并且被配置为向处理器提供指令。
6、优选地,所述的系统中,安全平台被配置有基于网络名称信息的多个安全策略,其中安全平台解析http/2消息以提取网络名称信息,并且其中网络名称由数据网络名称(dnn)来标识。安全平台监控无线接口,所述无线接口包括用于4g和/或5g网络的移动核心网络中的控制协议和用户数据流量的多个接口,以向订户和订户设备提供基于网络名称的安全性,所述订户和订户设备使用5g无线电接入技术连接到服务提供商网络并且切换到5g无线电接入技术/从5g无线电接入技术切换到非5g无线电接入技术。安全平台被配置为使用网络名称信息来执行防火墙服务,以为具有多个订户、多个移动订户和/或多个订户设备的客户应用安全性。安全平台被配置为执行以下中的一个或多个:使用网络名称信息的针对已知威胁的威胁检测,使用网络名称信息的针对未知威胁的高级威胁检测,使用网络名称信息的统一资源链接(url)过滤,使用网络名称信息的基于数据网络名称(dnn)的应用拒绝服务(dos)检测,以及使用网络名称信息的基于dnn的应用拒绝服务(dos)预防。
7、根据本发明,还提供一种系统,包括:处理器,其被配置为在安全平台处监控服务提供商网络上的网络流量以标识新的会话,在安全平台处提取与新的会话相关联的用户流量的用户位置信息,以及基于用户位置信息来确定要在安全平台处应用于新的会话的安全策略,其中服务提供商网络包括5g网络或融合5g网络;以及存储器,其联接到处理器并且被配置为向处理器提供指令。
8、优选地,所述的系统中,安全平台解析http/2消息以提取用户位置信息,并且其中用户位置信息由eutra位置来标识,并且其中eutra位置包括跟踪区域标识(tai)和ecgi(eutra小区标识)。安全平台解析http/2消息以提取用户位置信息,其中用户位置信息由nr位置来标识,并且其中nr位置包括跟踪区域标识(tai)和nr小区标识(ncgi)。安全平台监控无线接口,所述无线接口包括用于4g和/或5g网络的移动核心网络中的控制协议和用户数据流量的多个接口,以向订户和订户设备提供基于用户位置信息的安全性,所述订户和订户设备使用5g无线电接入技术连接到服务提供商网络并且切换到5g无线电接入技术/从5g无线电接入技术切换到非5g无线电接入技术。安全平台被配置为使用用户位置信息来执行防火墙服务,以为具有多个订户、多个移动订户和/或多个订户设备的客户应用安全性。安全平台被配置为执行以下中的一个或多个:使用用户位置信息的针对已知威胁的威胁检测,使用用户位置信息的针对未知威胁的高级威胁检测,使用用户位置信息的统一资源链接(url)过滤,使用用户位置信息的应用拒绝服务(dos)检测,以及使用用户位置信息的应用dos预防。处理器进一步被配置为基于安全策略阻止新的会话访问资源。
1.一种系统,包括:
2.根据权利要求1所述的系统,其中所述安全平台被配置有基于所述网络切片信息的多个安全策略。
3.根据权利要求1所述的系统,其中所述安全平台监控无线接口,所述无线接口包括用于4g和/或5g网络的移动核心网络中的控制协议和用户数据流量的多个接口。
4.根据权利要求1所述的系统,其中所述安全平台监控无线接口,所述无线接口包括用于4g和/或5g网络的移动核心网络中的控制协议和用户数据流量的多个接口,以向订户和订户设备提供基于网络切片的安全性,所述订户和订户设备使用5g无线电接入技术连接到服务提供商网络并且切换到5g无线电接入技术/从5g无线电接入技术切换到非5g无线电接入技术。
5.根据权利要求1所述的系统,其中所述安全平台被配置为使用所述网络切片信息来执行防火墙服务,以为具有多个订户、多个移动订户和/或多个订户设备的客户应用安全性。
6.根据权利要求1所述的系统,其中所述安全平台被配置为使用所述网络切片信息针对已知威胁执行威胁检测。
7.根据权利要求1所述的系统,其中所述安全平台被配置为使用所述网络切片信息针对未知威胁执行高级威胁检测。
8.根据权利要求1所述的系统,其中所述安全平台被配置为使用所述网络切片信息执行统一资源链接(url)过滤。
9.根据权利要求1所述的系统,其中所述安全平台被配置为使用所述网络切片信息执行应用拒绝服务(dos)检测。
10.根据权利要求1所述的系统,其中所述安全平台被配置为使用所述网络切片信息执行应用拒绝服务(dos)预防。
11.根据权利要求1所述的系统,其中所述处理器进一步被配置为:
12.一种方法,包括:
13.根据权利要求12所述的方法,其中所述安全平台被配置有基于所述网络切片信息的多个安全策略。
14.根据权利要求12所述的方法,其中所述安全平台监控无线接口,所述无线接口包括用于4g和/或5g网络的移动核心网络中的控制协议和用户数据流量的多个接口,以向订户和订户设备提供基于网络切片的安全性,所述订户和订户设备使用5g无线电接入技术连接到服务提供商网络并且切换到5g无线电接入技术/从5g无线电接入技术切换到非5g无线电接入技术。
15.根据权利要求12所述的方法,其中所述安全平台被配置为使用所述网络切片信息来执行防火墙服务,以为具有多个订户、多个移动订户和/或多个订户设备的客户应用安全性。
16.根据权利要求12所述的方法,其中所述安全平台被配置为使用所述网络切片信息针对已知威胁执行威胁检测,使用所述网络切片信息针对未知威胁执行高级威胁检测,使用所述网络切片信息执行统一资源链接(url)过滤,使用所述网络切片信息执行应用拒绝服务(dos)检测,和/或使用所述网络切片信息执行应用拒绝服务(dos)预防。
17.根据权利要求12所述的方法,还包括基于所述安全策略阻止新的会话访问资源。
18.一种计算机程序产品,所述计算机程序产品被实施在有形的非暂时性计算机可读存储介质中,并且包含计算机指令用于:
19.根据权利要求18所述的计算机程序产品,其中所述安全平台被配置有基于所述网络切片信息的多个安全策略。
20.根据权利要求18所述的计算机程序产品,还包括计算机指令用于基于所述安全策略阻止新的会话访问资源。
