配置网络安全实体的制作方法

本发明涉及电信网络，尤其涉及监视用于恶意活动的网络活动的网络安全实体的配置。

背景技术：

电信网络在大小方面可以变化非常大。小网络可以通过交换机和几个基站来提供，而全国性的网络可能要求数千个基站和多个交换机。不论大小如何，在受管理网络中，都试图确保网络的安全性。例如，可以使用隔离的互联网协议(IP)网络来连接网络元件。可以通过在网络元件之间使用虚拟专用网络来提供另外的安全性。可以通过将至少监视网络业务以检测恶意业务的一个或多个网络安全实体(诸如防火墙和/或入侵检测/防御系统(IDPS)设备)投入使用来增加例如针对虚拟专用网络中的故障网络元件或伪基站的再另外的安全层。这种网络安全实体必须具有适当反映当前网络装备的一组业务规则作为其配置的一部分。

技术实现要素：

本发明的一个目的是提供一种配置机制，以定义用于网络安全实体的一组业务规则。本发明的目的通过由独立权利要求中阐述的内容所表征的方法、装置、系统以及计算机程序产品来实现。本发明的优选实施例在从属权利要求中被公开。

本发明的一个方面提供了一种解决方案：在该解决方案中，当创建或定义用于一个或多个安全实体的一组或多组业务规则时，利用储存到系统的网络配置。

附图说明

在下文中，将参照附图更详细地描述实施例，其中：

图1A和图1B示出具有示例性装置的示意性框图的示例性系统的简化架构；

图2和图3例示示例性的信息交换；

图4示出具有示例性装置的示意性框图的另一示例性系统的简化架构；

图5、图6和图7是例示示例性功能的流程图；以及

图8是示例性装置的示意性框图。

具体实施方式

以下的实施例是示例性的。尽管说明书可能在若干位置中提及“某个”、“一个”或“一些”实施例，但这未必意味着每次这种提及是针对相同的实施例，或该特征仅适用于单个实施例。不同实施例的单个特征也可以被组合以提供给其他实施例。

本发明适用于任何受管理的网络/系统及其装置。受管理的网络是可重配置的网络，其中以集中式的方式建立、配置以及管理网络基础设施。换句话说，受管理的网络依赖于预先配置的基础设施，在其中网络节点/元件不能“动态”加入网络。预配置意味着某网络元件先被配置为网络的一部分，一旦配置已被转发到所涉及的其它网络元件，则该网络元件可以加入网络。换句话说，受管理网络与ad-hoc网络相反。受管理网络可以是无线网络或利用固定连接和无线连接二者的网络，或者是包括一个或多个受管理网络的系统。

不同系统的规范发展迅速，尤其是当利用无线通信时。这种发展可能要求对实施例的额外改变。当前的趋势是将实际的物理结构抽象化并且作为按需服务在网络中作为软件来提供通信功能性。抽象化可以是在特定标准或特性方面所选择的实体的表示，而与选择标准不相关的其它特性被隐藏或概括。对于抽象化，未来网络可以利用软件定义的组网(SDN)和/或网络功能虚拟化(NVF)架构。软件定义的组网提供与网络装备的软件编程接口，以及/或者解耦网络控制面，该网络控制面例如选择网络业务将被从网络转发面发送到的目的地，该网络转发面例如把网络业务转发到所选择的目的地。网络功能虚拟化架构包括虚拟化网络功能(VNF)。虚拟化网络功能被定义为在可包括路由器、交换机、储存器、服务器、云计算系统等的网络基础设施之上的一个或多个虚拟机中运行的网络功能。这些新网络架构可能改变网络正被构建和管理的方式。例如，以下描述的网络元件功能中的一个或多个可以被迁移到任何相应的抽象化或装置。因此，所有的词语和表达应当被宽泛地解释，并且它们旨在例示而不是限制实施例。

在下文中，使用陆地集群无线电接入(TETRA)网络来描述不同的示例，但不将示例和实施例限制于此。其它可能的网络解决方案包括TETRAPOL、DMR(数字移动无线电)系统、PAMR网络(公共接入移动无线电)以及第3、4或5或更高代的移动网络(比如LTE(长期演进))、WiMAX(微波存取全球互通)、GoTa(全球开放集群架构)以及组合例如TETRA和WLAN(无线局域网)的异构网络(比如基于WiFi的网络)。应当理解，以上列表不是详尽的列表。

在图1A、图1B和图4中例示根据基于TETRA的实施例的通信系统的一般架构。图1A、图1B和图4是仅示出一些网络节点和功能实体的简化系统架构，所有这些都是其实现方式可能不同于所示的那样的逻辑单元。图1A、图1B和图4中所示的连接是逻辑连接；实际的物理连接可能不同。对于本领域技术人员明了的是，系统还包括在TETRA中的通信中使用或用于TETRA中的通信的其他功能和结构。它们与实际的发明不相关。因此，这里不需要更详细地讨论它们。如从图1和图4可以看出，以下被称为网络元件的网络节点容易被映射到其它通信系统，因此，对于本领域技术人员而言，将所公开的实施例和示例实现到另一种网络是直接可得的解决方案。

在图1A所例示的示例中，TETRA系统100包括交换和管理基础设施(SwMI)110、网络管理系统(NMS)120以及一个或多个安全实体控制器(S-E控制器)130。

SwMI 110是用于语音加数据(V+D)网络的装备，其使得用户装置/终端设备(未在图1中例示)能够彼此通信。换句话说，SwMI包括使得用户能够经由TETRA网络彼此通信的所有装备和手段。在图1的示例中，SwMI 110包括两种类型的网络节点(以下被称为网络元件)：基站(BS)，每个在相应站点111、111'、111”上，用于提供对用户装置的无线接入；以及数字交换机(DXT)，每个在相应的站点112、112'上，用于照应网络内以及去往/来自其他网络的交换。换句话说，基站可以被看作接入节点，数字交换机可以被看作交换服务器。例如，两个站点之间的连接可以在使用互联网协议(IP)的一个或多个分组交换骨干网络上。为了提供安全性，骨干网络可以是隔离的IP网络，并且可以在站点之间建立加密的虚拟专用网络。然而，SwMI的确切物理配置和连接本身与本发明并不相关，因此不需要在这里更详细地描述它们。

此外，在所例示的示例中，每个站点包括作为用于安全性的附加层的一个或多个网络安全实体(SE)113-1、113-2、113-3、113-4、113-5，每个网络安全实体具有它自己的业务规则组(t.rules)113a、113b、113c、113d、113e，以确定如何应对不同的业务流。网络安全实体可以是被配置为至少监视网络业务以检测恶意业务的任何节点或设备。不同安全实体的示例包括入侵检测/防御系统设备、被动式入侵检测系统设备、主动式入侵检测系统设备、入侵防御系统设备、软件定义的组网路由器、通用防火墙、应用层防火墙节点、传输层防火墙节点、以及网络层防火墙节点。如上所述，一个站点可以包括多于一个的网络安全实体，例如入侵检测/防御系统设备和应用层防火墙节点。应当理解，可以使用任何已知的或未来的网络安全实体；安全实体的细节和实际实现方式对于本发明是不相关的，本发明仅提供用于设置和/或更新业务规则的手段，如以下将更详细地描述的。例如，如本领域技术人员已知的，业务规则可以经由提供抽象化级别(abstraction level)以输入业务规则的安全实体的配置接口而被设置或更新。业务规则可以被称为业务简档或网络安全配置或站点安全配置。

网络管理系统(NMS)是可以为单个管理终端或者具有一个或多个中央管理终端以及一个或多个本地管理终端的更复杂的系统的管理平台。然而，为了清楚起见，这里将其描述为一个实体。网络管理系统使得能够配置和管理TETRA系统以及监视网络节点(也被称为网络元件)和网络设备(诸如基站和数字交换机)。网络管理系统中的配置管理工具向用户提供用于配置网络和网络元件的手段，并且允许基线化当前配置和存档网络配置。在TETRA系统中由网络管理器或也被称为网络管理器设备的网络管理器终端提供上述功能性。此外，在图1A中例示的示例中，网络管理系统被配置为定义或者至少辅助定义对于站点中的安全实体的业务规则和/或业务规则的更新。为此目的，在所例示的图1A的示例中的网络管理系统包括安全实体配置单元(s-e-c-u)122、更新日志分析器单元(u-l-a-u)123、以及在存储器121中，除了当前网络配置121-1之外还包括的设备类型特定业务相关配置121-2。设备类型特定业务相关配置可以定义以下参数中的一个或多个：可用协议、业务流的允许分组大小、以及业务流的带宽特性。使用业务带宽和分组大小有助于注意到行为不当的网络元件和拒绝服务攻击。当前网络配置可以设备特定地包含以下项作为基本网络配置：设备的名称、其标识信息(这里被称为标识符)、设备的一个或多个IP地址、设备类型(如果没有被名称和/或标识信息指示)、将用于各种业务流的一个或多个端口以及自然地关于通信对应方(即，该设备所连接到的设备)的信息、可能还有与对应方的连接的更详细的对应方的配置、以及关于用于该设备的安全实体的信息。关于对应方的信息可以是其IP地址和/或其标识符。关于设备的基本网络配置是当设备被添加到网络时需要被输入到NMS的配置。除了基本网络配置之外，当前网络配置(以下也被称为纯粹(mere)网络元件配置)还可以包括由安全实体配置单元122例如使用设备类型特定业务相关配置121-2生成的配置信息，如将在以下描述的。当前网络配置的那个部分可以被称为自动网络配置，或者网络配置的更新，或者自动生成的网络配置。安全实体配置单元被配置为使用用于业务规则的存储器中的网络配置信息，如将在以下例如利用图2、图3和图6描述的那样。此外，更新日志分析器单元可以被配置为使用网络配置信息，如将在以下利用图7描述的。

在图1A所例示的示例中，安全实体配置单元122被连接到单独的安全实体控制器单元(s-e控制器)130，以将业务规则传递或分发到相应的网络安全实体。当然，系统可以包括多于一个的安全实体控制器单元，并且安全实体控制器单元可以是网络管理系统的一部分或者属于SwMI或者位于它们之间。

此外，取决于实现方式，安全实体控制器单元和/或更新日志分析器单元可以被省略。图1B例示出安全实体控制器单元和更新日志分析器单元都被省略了的解决方案。换句话说，在图1B所例示的解决方案中，安全实体配置单元122'包括与安全实体的直接接口，并且没有部署更新日志分析器单元；在其他方面，解决方案是类似的，这里无需重复赘述不同的元件。

总之，当实现集中式方法时，在网络管理系统中，可以存在一个或多个安全实体配置单元，零个或更多更新日志分析器单元，以及零个或更多集中式安全实体控制器单元。可以经由直接接口或经由集中式安全实体控制器单元来更新安全实体中的业务规则。

图2例示根据示例性实施例的示例性信息交换。在所例示的示例中，假定从网络管理器接收的网络配置信息包括配置的性质的指示以及关于网络元件的其网络标识符和至少一个参数，如果需要的话，安全实体配置单元被配置为确定可用协议、业务流的允许分组大小以及业务流的带宽特性，并相应地更新网络元件配置。如果配置是添加网络元件，则从网络管理器接收的网络配置信息优选地包括关于网络元件的上述基本网络配置。当然，其他参数可以被定义为基本网络配置的一部分。如果配置是去除网络元件，则从网络管理器接收的网络配置信息除了关于网络元件的网络标识符之外，还至少包括其对应方。如果配置是对参数的更新，则从网络管理器接收的网络配置信息除了关于网络元件的网络标识符之外，还至少包括关于参数的更新值。

在所例示的示例中，网络管理器NM在消息2-1中将网络配置的更新转发到安全实体配置单元(s-e-c-u)。如上所述，更新可以是添加新的网络元件，去除现有网络元件或更新现有网络元件的参数。更新(即相应信息)也被转发到相应的网络元件，但是没有在图2中例示该信息交换。在所例示的示例中，假定更新是添加具有标识符BS-n的基站到具有IP地址x.x.x的数字交换机DXT-3下的网络，基站是B类型3(B-type 3)的类型(即其名称是B类型3)，安全实体是防火墙FW2和入侵检测/防御系统设备IDPS2，以及将在DXT-3和BS-n之间被使用的端口是在DXT-3中的p1以及在BS-n中的p2。

安全实体配置单元在点2-2中从消息2-1检测到已经添加了一个或多个新的网络元件，并且在点2-2中确定已经被添加的那些网络元件及其类型。在所例示的示例中，在点2-2中确定BS-n及其类型B类型3。然后从存储器中检索(消息2-3、2-4)设备类型特定业务相关配置。在所例示的示例中，消息2-3指示B类型3，消息2-4包含为B类型3所定义的业务流的带宽特性、可用协议、以及业务流的允许分组大小。安全实体配置单元还被配置为在点2-5中从所接收的信息中确定网络添加元件的对应方，以及从存储器中检索(消息2-6、2-7)没有在消息2-2中如所添加的网络元件那样也被指示的对应方的网络元件配置。在所例示的示例中，在步骤2-5中确定DXT-3，在消息2-6中标识DXT-3，并且在消息2-7中接收DXT-3的网络元件配置。

安全实体配置单元使用检索到的信息在点2-8中定义或创建或生成关于那些网络元件的自动网络元件配置，并且存储(消息2-9)，或者更精确地，将自动生成的网络元件配置添加到存储器以成为当前网络元件配置的一部分。在所例示的示例中，在存储/添加自动生成的配置部分之后，关于BS-n的当前网络元件配置包含例如：BS-n、B类型3、x.x.x、p2去往DXT3、FW2、IDPS2、DXT3从p1，以及在消息2-4中接收的关于去往/来自端口p2的业务流的业务流参数。自然地，添加BS-n作为DXT-3的对应方，并且将关于端口p1的业务流相关配置添加/存储为DXT-3的当前网络元件配置的一部分。

此外，安全实体配置单元使用当前网络元件配置(在利用在点2-8中创建的自动生成网络元件配置更新它们之后)在点2-10中对于网络元件之间的业务定义一组或多组业务规则，一组业务规则用于每个被涉及的安全实体，并且在消息2-11中将业务规则组转发到安全实体控制器(se-contr.)。在例示的示例中，DXT-3站点包括防火墙FW1和入侵检测/防御系统设备IDPS 1，BS-n站点包括FW2和IDPS 2。因此，为FW1定义一组业务规则，为IDPS 1定义另一组业务规则，还为FW2定义另一组业务规则，为IDPS2定义另外一组业务规则。该多组业务规则可以包括相同的业务规则，或者安全实体配置可以被配置为创建安全实体特定规则和/或安全实体类型特定规则。例如，相比简单地监视和发送警报的安全实体，过滤或拦截业务的安全实体可以被提供不同的业务规则组。例如，针对过滤/拦截安全实体的一组业务规则可以比针对监视和警告安全实体的一组业务规则更详细。此外，应当理解，一组业务规则可以包括一个或多个业务规则，上限不受限制。通常，一组业务规则包括多个业务规则。

然后，安全实体控制器在点2-12中将多组业务规则在消息2-13、2-13'、2-14、2-14'中分发(传递)给相应的接收者，一条消息包含一组业务规则。取决于实现方式，安全实体控制器除了具有关于安全实体的地址的更精确的信息之外，还具有以下信息：基于该信息，响应于接收到将被分发的一组规则，安全实体控制器被配置为从内容确定例如所接收的一组规则将被分发到哪些安全实体。一旦接收到该组业务规则，安全实体就相应地更新它的安全配置。

图3例示根据示例性实施例的示例性信息交换，其中没有实现安全元件控制器。

在所例示的示例中，网络管理器NM在消息3-1中将对网络配置的更新转发到安全实体配置单元(s-e-c-u)。更新可以是添加新的网络元件、去除现有网络元件或更新现有网络元件的参数。更新或相应的信息也被转发到相应的网络元件，但是没有在图3中例示该信息交换。在所例示的示例中，假定以上利用图2描述的过程已经被更早地执行，自然地没有安全实体控制器(即没有源自安全实体配置单元的消息2-13、2-14、2-13'、2-14’，并且没有消息2-11被转发，并且没有执行点2-12)，以及消息3-1包含BS-n的IP地址已经被改变为x.y.z的信息。

安全实体配置单元在点3-2中从消息3-1检测到一个或多个参数已经被更新并且在点3-2中从所接收的信息中确定其参数已经被改变的网络元件，并从存储器中检索(消息3-3、3-4)在点3-2中确定的网络元件的当前网络元件配置。在所例示的示例中，在点3-2中确定BS-n，消息3-3指示BS-n，在消息3-4中接收除了基本网络配置之外还包括自动生成的网络配置的BS-n的当前网络元件配置。

所接收的网络元件配置被用于在点3-5中确定受影响/被涉及的网络元件，即对应方。一旦对应方已经被确定，就从存储器中检索(消息3-6、3-7)相应的当前网络元件配置。在所例示的示例中，在点3-5中确定DXT-3，在消息3-6中标识DXT-3，并且在消息3-7中接收包括自动生成的网络配置的DXT-3的当前网络元件配置。

安全实体配置单元然后在点3-8中使用接收到的信息和检索到的信息对于网络元件之间的业务定义一组或多组业务规则，一组业务规则用于每个被涉及的安全实体。此外，在所例示的示例中，安全实体配置单元在点3-8中将不包含更新的信息的每组业务规则过滤出去，然后将剩余的业务规则组分发(消息3-9、3-9')到相应的安全实体。在所例示的示例中，假定IP地址是防火墙的业务规则的一部分，但不是入侵检测/防御系统设备的业务规则的一部分。因此，在该示例中，IDPS1和IDPS2的业务规则组被过滤掉，并且FW1和FW2的更新的业务规则组被相应地传递给FW1和FW2。通过执行该过滤，仅更新需要被更新的那些业务规则。因此，安全实体中的通信资源和处理资源不被无益地使用。应当理解的是，可以省略过滤，并且向每个安全实体发送一组业务规则，而不论它们是否保持相同。

上述示例描述了对于安全实体配置单元的集中式解决方案，而图4中所例示的示例描述了分布式(分散式)解决方案。

在所例示的图4的示例性系统400中，用于诸如数字交换机或基站的网络元件的站点410除了实际设备(即网络元件(NE)411)之外还包括一个或更多具有其业务规则组(t.rules)413-f的安全实体(S-E)413(在图4中仅例示出一个)、本地安全实体配置单元(s-e-c-u)412以及存储器414，该存储器包括网络元件配置(设备配置)414-1。网络元件配置414-1包括例如网络元件的一个或多个IP地址、可用协议、要用于各种业务流的端口、允许的业务流分组大小、以及业务流的带宽特性。网络元件配置414-1包括关于对应方的信息，诸如IP地址、要被使用的协议以及一个或多个端口。此外，网络元件配置414-1可以包括关于在站点上的安全实体的信息。应当理解，在业务流的允许分组大小、业务流的带宽特性以及分组大小在对应方之间是对称的情况下，因此不需要将关于对应方的它们也存储到存储器中。然而，去往网络元件和来自网络元件的业务流的允许分组大小、业务流的带宽特性和/或分组大小可以是不同的，在这种情况下，它们将被存储到存储器。例如，数字交换机可以向基站发送比基站发送到数字交换机更多的业务。本地安全实体配置单元被配置为当网络元件411从网络管理系统420接收到网络配置相关信息时接收或检测，并且使用所接收的信息以及在存储器中的网络元件配置414-1以在相同站点410中定义或创建或配置一个或多个安全实体的业务规则组，如以下将更详细地描述的那样。存储器414和/或本地安全实体配置单元412可以被集成到网络元件中，如图4的示例中的情况那样。例如，本地安全实体配置单元412可以是网络元件内的管理代理的增强。可替换地，存储器414和/或本地安全实体配置单元412可以是单独的单元/设备。

图5例示出本地安全实体配置单元的示例性功能。在所例示的示例中，假定在存储器中的网络元件配置还包括关于对应方的信息、以及关于本地安全实体配置单元的网络元件的站点上的安全实体的信息。此外，为了清楚起见，假定一次将一个网络配置改变传递到本地安全实体配置单元。如果网络配置消息包含多于一个改变，如何实现上述过程对于本领域技术人员是显然地。

参照图5，在步骤501中从网络管理实体接收网络配置信息。因此，在步骤502中从存储器中检索网络元件配置。然后，在步骤503中检查网络配置信息是否指示已经添加了新的通信对应方。如果不是，则在步骤504中检查现有通信对应方是否已被去除。如果不是(步骤504)，则网络元件本身或其通信对应方的一个或多个参数已被修改，在步骤505中使用接收到的更新的一个或多个参数以及检索到的网络元件配置来定义或创建一个或多个更新的业务规则组。所创建的更新的组的数量通常取决于针对网络元件存在有多少安全实体。然而，该数量可以较小。例如，如果安全实体配置单元被配置为将某个参数类型与安全实体中的仅一些相关联，并且该类的参数被更新，则不需要对每个安全实体创建更新的业务规则组。然而，应当理解，可以每次对每个安全实体创建一组业务规则，即使该组业务规则将与在先前的更新期间所创建的相同。然后，在步骤506中将所创建的一组或多组业务规则发送到相应的一个或多个安全实体。

如果网络配置信息指示了已经添加了新的通信对应方(步骤503)，则在步骤507中使用接收到的信息和检索到的网络元件配置来确定(创建)一组或多组新的业务规则。然后在步骤508中更新在存储器中的网络元件配置以包含被添加的网络元件作为新的对应方，并且在步骤506中将所创建的一组或多组业务规则发送到相应的一个或多个安全实体。

如果网络配置信息指示了通信对应方已被去除(步骤504)，则在步骤509中使用接收到的信息和检索到的网络元件配置来确定(创建)要被去除的一组或多组业务规则。然后，在步骤508中更新在存储器中的网络元件配置，使得它不再包含被去除的网络元件作为通信对应方，并且在步骤506中将要被去除的一组或多组业务规则与去除的指示一起发送到相应的一个或多个安全实体。

可替代地，在步骤509中关于每个不被去除的对应方创建新的业务规则组，并且将这些组发送到安全实体以取代当前使用中的安全配置。

如从以上示例可以看出，将安全配置与网络配置集成有助于定义业务规则组。由于集成，安全配置可以是至少部分自动的(对于电信网络也可以)。由于需要更少的手动工作，因此人为错误的风险被最小化。另外，不需要执行额外的工作以更新业务规则以符合网络的演进。此外，业务规则可以更加详细。例如，安全实体配置单元可以被配置为业务流特定地实时更新业务规则组。

图6例示出这种实时更新的示例性功能。尽管网络元件，至少一旦它被添加到网络中时，可以具有“被拦截”作为设置，即，不允许业务(包括信令)，但在所例示的示例中，网络元件按照允许去往和来自它的信令但作为默认不允许用户数据业务的方式“不被拦截”。换句话说，在图6的示例中，假定已经定义了业务规则组，这些组包括作为默认的对于所有用户数据业务“不允许”。按照以上描述的方式中的任何一个或根据现有技术解决方案，业务规则组可以已经被确定。在TETRA环境中，现有技术解决方案意味着通过手动地将规则输入到相应的安全实体或者至少网络元件及其对应方的网络元件配置需要被手动地输入到系统来定义业务规则。在图6中所例示的示例中，执行实时更新的安全单元是被进一步配置为监视业务流的本地安全实体配置单元。在所例示的示例中，为了清楚起见，假定被称为通信的用于用户数据的连接被接受并被建立。

参照图6，当在步骤601中在本地安全实体配置单元的网络元件中检测到对于用户数据业务的通信建立请求时，本地安全实体单元在步骤602中从存储器检索网络元件配置。通信建立请求可以是初始连接建立请求，会话建立请求，切换请求或在一键通类型的服务中讲话和/或发送数据的请求，在一键通类型的服务中通信方或者处于接收模式或者处于发送模式，并且传送的许可可以由系统(例如由服务器或其他网络元件)给出(一旦一方请求这样的许可)。当在步骤603中检测到通信建立请求被接受时，在步骤604中由本地安全实体配置单元使用与通信建立消息相关的网络元件配置和路由信息，即关于网络元件及其对应方(即通信建立消息从哪里接收，以及通信建立消息向哪里转达)的信息，创建用于通信(即用于通信的一个或多个业务流)的一组或多组用户数据业务规则。接受通信建立可以是建立连接、建立会话或开始通信的另一指示，例如，在一键通类型的那样的服务中指示语音项开始的“发言权”或“发言权授予”。在群组呼叫的情况下，如果群组成员由被连接到本地安全实体配置单元的网络元件的不同网络元件服务，因此可能涉及每个方向多于一个业务流(去往或来自本地安全实体配置单元的网络元件)，则可能可以将通信建立转发到两个或更多个网络元件。考虑被连接到一个或多个其他交换机和两个基站的数字交换机，群组呼叫可能要求去往和来自两个基站以及去往和来自其他交换机中的至少一个或多个的业务流，或者群组呼叫可能要求去往和来自一个基站以及去往和来自其他交换机中的一个的业务流。考虑基站，群组呼叫可能要求去往和/或来自一个或多个用户设备以及去往和/或来自数字交换机的业务流。考虑两方之间的通信，业务流取决于它们是否由相同的基站进行服务，或由相同交换机下的基站或不同交换机下的基站进行服务。应当理解，以上列出的业务流仅是示例，可以存在其他类的业务流。此外，要求来自/去往本地安全实体配置单元的网络元件的两个或更多个业务流的一个通信可以作为两个或更多个一对一业务流或者作为一对多业务流被映射到业务规则。换句话说，来自网络元件的、被映射为一对一的这种业务规则的非常示例性的示例包括“允许从端口1到NE1，允许从端口1到NE2”，被映射为一对多的这种业务规则的非常示例性的示例包括“允许从端口1到NE1以及到NE2”。相应地，去往网络元件的、被映射为一对一的业务规则的非常示例性的示例包括“允许从NE1到端口1，允许从NE2到端口1”，被映射为一对多的业务规则的非常示例性的示例包括“允许从端口1到NE1以及到NE2”。

在步骤605中，将所创建的每组用户数据业务规则发送到站点中的相应安全实体，以更新业务规则，使得可以在连接上传送用户数据。换句话说，取决于连接的“对应方网络元件”的数量，对于每个对应方以及可能的业务方向(去往和/或来自网络元件)，将业务规则“允许从这个对应方网络元件的这个(这些)端口到网络元件中的这个(这些)端口的具有分组大小X以及带宽特性Y的这个特定用户数据业务”和/或“允许从网络元件中的这个(这些)端口到这个对应方网络元件的这个(这些)端口的具有分组大小X’以及带宽特性Y’的这个特定用户数据业务”更新到一个或多个安全实体。

然后，在步骤606中，本地安全实体配置单元监视通信以检测通信的结束(步骤607)。该结束可以是由于连接解除、会话终止、来自网络元件的切换或者终止发送许可，例如或者通过主动地解除传输线路或者被更高优先级的传输中断。当检测到(步骤607)通信或通信中的一个(通信支路)结束时，例如在群组呼叫的情况下或者在用户终端移动以被另一网络元件和/或另一对应方网络元件服务的情况下随着没有将被服务方而结束时，在步骤608中相应地更新用户数据业务规则组。例如，可以更新在步骤604中创建的组以不允许任何用户数据业务，或允许所允许的用户数据业务的子集，或者可以创建取代在步骤604中创建的组的新组。然后在步骤609中将更新的业务规则发送到相应的安全实体。

尽管在以上示例中，描述了本地安全实体配置单元的功能，但是应当理解，以上功能可以由集中式安全实体配置单元执行，其可以向所有涉及的安全实体提供更新的业务规则组。

此外，应当理解，网络元件和/或服务器可以被配置为向安全实体配置单元通知业务流，以代替安全实体配置单元监视业务流。

应当理解，在上述集中式解决方案和分布式解决方案之间存在中间解决方案。例如，业务规则的初始确定可以通过使用集中式安全实体配置单元来执行，而更新业务规则组可以通过使用分布式安全实体配置单元来执行。此外，在图6中描述的功能可以由集中式安全实体配置单元来实现，伴随本地安全实体配置单元的一些参与，以及/或者在图2和图3中所描述的集中式安全实体配置单元的功能中的至少一些可以在本地安全实体配置单元中实现。

不论安全实体配置单元的实现细节如何，用于更新安全设置的进一步触发都可以由日志分析器单元提供给集中式安全配置单元和/或集中式安全配置控制器和/或本地安全配置单元。

图7是例示日志分析器单元的示例性功能的流程图。在所例示的示例中，假定日志分析器单元将关于可疑业务的信息转发到安全实体配置单元(集中式和/或本地)以更新一组或多组业务规则，这可以仅由安全性实体配置单元(本地或集中式)例如响应于从NMS接收上述触发一组或多组业务规则更新的输入而确定取代由日志分析器创建的业务规则的新业务规则，或者通过使用确定/更新业务规则的现有技术解决方案来克服。

参照图7，日志分析器单元在步骤701中从网络元件接收日志文件和相应的事件报告，并在步骤702中使用当前网络配置分析所接收的信息以检测可疑活动。所接收的信息包含IP地址、端口、分组类型、分组指纹等。日志分析器可以包括基于其检测可疑活动的一个或多个规则。例如，规则可以是如果在网络元件中程序N在时间段Y内崩溃X次，则检测到可疑活动。可以对于未知的连接尝试、未正确接收的分组、从网络元件发送的消息量、与网络配置中的那些业务流特性不同的业务流特性等确定类似类型的规则。应当理解，满足其则指示可疑活动的规则可以被自由定义；没有约束或限制。此外，在所例示的示例中，可疑活动已经被定义为具有两个级别：仅导致报警的较不严重的可疑活动，以及也导致业务规则的更新的更严重的可疑活动。例如，已经持续一定量时间的可疑情感可能首先较不严重，但如果继续，它可能会变得更严重。应该理解的是，可以只有一个级别或多于两个级别，级别的标准可以被自由地确定。

如果没有检测到可疑活动(步骤703)，则继续接收日志信息(步骤701)并分析它(步骤702)。

如果检测到可疑活动(步骤703)，则检查(704)可疑活动是否如此严重以至于应当将其转发到安全实体配置单元。如果是，则在步骤705中使用日志信息和当前网络配置信息来确定受影响的一个或多个站点。一旦已经确定了受影响的一个或多个站点(还可能，受影响的业务)，则在步骤706中将它们传递给一个或多个安全实体配置单元，并且在所例示的示例中也还警告NMS。例如，可以警告NMS将在一组或多组业务规则中考虑到可疑活动。可替换地，日志分析器可以被配置为仅将关于受影响的一个或多个站点和/或影响业务的信息传递到安全实体配置单元。

如果可疑活动不是如此严重以至于应当将其转发到安全实体配置单元(步骤704)，则在步骤707中将警报发送到NMS。

当执行步骤704、705、706和/或707时，以及在它们之后，接收日志信息(步骤701)以及分析日志信息(步骤702)在后台继续。

从以上显而易见的是，由于日志分析器单元将信息发送给安全实体配置单元，日志分析器可能导致来自被配置到网络的网络元件的业务被由于异常行为而更新一组或多组业务规则而阻塞。换句话说，利用日志分析器单元和安全实体配置单元，可以提供动态和自动反应系统。此外，一旦日志分析器具有当前网络配置信息，即基本网络配置和被自动生成的网络配置，它最可能将创建更少的假警报。

应当理解，集中式日志分析器单元的一些功能可以以分散的方式被执行。

以上在图2、图3、图5，图6以及图7中以及利用它们描述的步骤、点和消息(即信息交换)以及相关功能不是按照绝对的时间顺序，而是可以同时或按照与给定的顺序不同的顺序执行步骤/点中的一些。也可以在步骤/点之间或在步骤/点内实行其他功能，以及可以发送其他信息。例如，代替具有更完整的网络元件配置，每次需要这种更完整的配置时，通过检索设备类型特定业务相关配置来获取，并且储存在存储器中的网络元件配置是所接收的网络配置信息。再另外的示例包括响应于检测到通信开始的指示(步骤603)以及响应于检测到通信的结束而更新网络元件配置，以及响应于在网络元件配置中的更新而更新用户数据业务规则组(步骤604、608)。步骤/点中的一些或步骤/点的部分也可以被省略或由相应的步骤/点或步骤/点的部分取代。例如，代替网络管理器例如通过消息2-1、3-1以及步骤501通知安全实体，安全实体配置单元可以被配置为监视网络管理器或者从网络管理器发送到一个或多个网络元件的网络配置，以及响应于检测到在网络管理配置中的改变，触发处理。另一个示例包括在步骤508中省略更新网络元件配置。

这里描述的技术可以通过各种手段来实现，使得被配置为实现以上利用实施例/示例(例如借助于图2和/或图3和/或图5和/或图6和/或图7)描述的相应装置/网络节点/网络元件的一个或多个功能/操作的装置/网络节点/网络元件，不仅包括现有技术部件，还包括用于实现利用实施例(例如借助于图2和/或图3和/或图5和/或图6和/或图7)描述的相应功能中的一个或多个功能/操作的部件，并且其可以包括用于每个单独的功能/操作的单独的部件，或者可以被配置为执行两个或更多个功能/操作的部件。例如，用于上述一个或多个功能/操作的一个或多个部件和/或安全实体配置单元和/或日志分析器单元和/或安全实体控制器单元可以是软件和/或软件-硬件和/或硬件和/或固件组件(永久性地记录在诸如只读存储器的介质上或者包括于硬接线计算机电路中)或它们的组合。软件代码可被储存于任何合适的处理器/计算机可读数据储存介质或存储器单元或制造物品中并且被一个或多个处理器/计算机、硬件(一个或多个装置)、固件(一个或多个装置)、软件(一个或多个模块)或者它们的组合实行。对于固件或软件，可以通过执行这里描述的功能的模块(例如，过程，功能等)实现。

图8是例示出用于装置800的一些单元的简化框图，装置800被配置为网络元件或相应实体，该网络元件或相应实体被配置为提供一组或多组业务规则以及/或者导致一组或多组业务规则的更新，包括安全实体配置单元和/或日志分析器单元和/或安全实体控制器单元中的至少一个，或者如以上例如借助于图2和/或图3和/或图5和/或图6和/或图7描述的，该网络元件或相应实体以其他方式被配置为创建和/或更新和/或发送一组或多组业务规则和/或基于其可以创建/更新一组或多组业务规则的信息，或者功能中的一些(如果在未来功能是分布的)。在所例示的示例中，装置包括用于接收和发送信息的接口(IF)实体801或多个接口实体801；实体802或多个实体802，能够作为相应的单元或子单元(如果实现分布式场景)，利用对应的算法803执行计算并被配置为实现这里所述的安全实体配置单元和/或日志分析器单元和/或安全实体控制器单元中的至少一个，或以上例如借助于图2和/或图3和/或图5和/或图6和/或图7描述的功能/操作中的至少部分；以及存储器804，或多个存储器804，可用于储存安全实体配置单元和/或日志分析器单元和/或安全实体控制器单元中的至少一个，或相应的单元或子单元，或以上例如借助于图2和/或图3和/或图5和/或图6和/或图7描述的一个或多个功能/操作所要求的计算机程序代码，即用于实现以上借助于图2和/或图3和/或图5和/或图6和/或图7描述的功能/操作的算法。存储器804也可用于储存其他可能的信息，比如当前网络配置和/或网络元件配置和/或设备类型特定业务相关配置和/或可疑活动的标准。总结来说，至少一个存储器804和计算机程序代码(软件)803被配置有至少一个处理器(或相应实体)802，导致装置800至少部分地实施上述实施例/示例中的任何一个。

换句话说，网络元件或相应实体被配置为提供一组或多组业务规则和/或导致一组或多组业务规则的更新，被配置为网络元件或相应实体的装置可以为被配置为执行以上利用实施例/示例描述的相应装置功能中的一个或多个的任何装置或设备或装备的计算设备，并且它可被配置为执行来自不同的实施例/示例的功能。安全实体配置单元和/或日志分析器单元和/或安全实体控制器单元以及相应的单元和子单元，以及以上利用装置描述的其他单元和/或实体可以是单独的单元(甚至位于另一物理装置，这些分布式物理装置形成提供功能的一个逻辑装置)，或者被集成到相同装置中的另一单元。

被配置为基于以上描述发送的装置和/或被配置为基于以上描述接收同步信息的装置可一般包括与存储器和装置的各种接口连接的处理器、控制器、控制单元或微控制器等。一般地，处理器是中央处理单元，但是处理器可以是附加的运算处理器。用于这里描述的功能/操作的单元/子单元和/或算法中的每个或一些或一个可以被配置为计算机或处理器或诸如单芯片计算机元件的微处理器，或者被配置为芯片集，至少包括存储器以提供用于算术运算的储存区域以及运算处理器以实行算术运算。用于上述的功能/操作的单元/子单元和/或算法中的每个或一些或一个可以包括一个或多个计算机处理器、逻辑门、专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理器件(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)和/或以这种方式已经被编程和/或将通过下载计算机程序代码(一个或多个算法)被编程以实施一个或多个实施例/示例的一个或多个功能的其他硬件组件。实施例提供包括在任何客户端可读分发/数据储存介质或存储器单元或制造产品上的计算机程序，包括可由一个或多个处理器/计算机实行的程序指令，当被载入装置时，指示构成提供相应功能的单元或实体中的一个或多个。程序，也被称为程序产品，包括可以被储存在任何介质中、并可以被下载到设备中的软件程序、构成“程序库”的程序片段、小应用程序和宏。换句话说，用于上述一个或多个功能/操作的单元/子单元和/或算法中的每个或一些或一个的可以是包括一个或多个算术逻辑单元、若干特殊寄存器以及控制电路的元件。

此外，装置可一般包括易失性和/或非易失性存储器，例如，EEPROM、ROM、PROM、RAM、DRAM、SRAM、双浮动栅极场效应晶体管、固件、可编程逻辑等，并且通常储存内容或数据等。一个或多个存储器，可以为任何类型(相互不同)，具有任何可能的存储结构，以及，如果要求的话，由任何数据库管理系统管理。换句话说，存储器可以是在适合于执行所要求的操作/计算的处理器或相应实体内，或者在处理器或相应实体的外部的任何计算机可用非暂时性介质，在这种情况下，其可以经由各种手段被通信地耦合到处理器或相应实体。存储器还可以储存诸如用于处理器或者相应实体的软件应用(例如，用于一个或多个单元/子单元/算法)或操作系统、信息、数据、内容等，以执行与根据示例/实施例的装置的操作相关联的步骤。存储器或它的部分可以是例如随机存取存储器、硬盘驱动器或在处理器/装置内或者处理器/装置外部实现的其它固定数据存储器或储存设备，在这种情况下，它可经由如本领域中已知的各种手段与处理器/网络节点通信地耦合。外部存储器的示例包括可拆卸地与装置连接的可去除存储器、分布式数据库和云服务器。

该装置一般可以包括不同的接口单元，诸如一个或多个接收单元以及一个或多个发送单元。接收单元和发送单元各自在装置中提供接口实体，接口实体包括发送器和/或接收器或用于接收和/或发送信息的任何其它部件，并且执行必要功能使得信息等可以被接收和/或发送。接收和发送单元/实体可以远离实际装置和/或包括一组天线，其数量不限于任何特定数目。对于本领域技术人员来说，很显然，随着技术进步，可按照各种方式实现本发明的概念。本发明及其实施例不限于以上描述的示例，而可在权利要求的范围内变化。