BRPI1104782A2 - métodos e aparelhos para criar múltiplos modelos de perfilagem de tráfego em pacote e para perfilar fluxos de tráfego em pacote - Google Patents

métodos e aparelhos para criar múltiplos modelos de perfilagem de tráfego em pacote e para perfilar fluxos de tráfego em pacote Download PDF

Info

Publication number
BRPI1104782A2
BRPI1104782A2 BRPI1104782A BRPI1104782A BRPI1104782A2 BR PI1104782 A2 BRPI1104782 A2 BR PI1104782A2 BR PI1104782 A BRPI1104782 A BR PI1104782A BR PI1104782 A BRPI1104782 A BR PI1104782A BR PI1104782 A2 BRPI1104782 A2 BR PI1104782A2
Authority
BR
Brazil
Prior art keywords
packet traffic
packet
flow
traffic flow
profiling
Prior art date
Application number
BRPI1104782A
Other languages
English (en)
Inventor
Djamel Sadok
Gergely Pongrácz
Geza Szabo
Zoltán Richárd Turányi
Original Assignee
Ericsson Telefon Ab L M
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ericsson Telefon Ab L M filed Critical Ericsson Telefon Ab L M
Publication of BRPI1104782A2 publication Critical patent/BRPI1104782A2/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

métodos e aparelhos para criar múltiplos modelos de perfilagem de trafego em pacote e para perfilar fluxos de trafego em pacote. modelos múltiplos de perfilagem de tráfego em pacote são criados a partir de fluxos de tráfego em pacote conhecidos que são rotulados, onde um rótulo é um valor real de um fator influenciando uma ou mais características do fluxo de tráfego em pacote conhecido. características, que são diferentes dos fatores, são medidas para cada fluxo. agrupamentos de fluxo são definidos a partir dos fluxos de tráfego rotulados, processando suas características e rótulos. os modelos de perfilagem são criados com base em informação de agrupamento. quando um fluxo de pacote desconhecido é recebido, os modelos de perfilagem de tráfego em pacote são avaliados de acordo com uma confiança e plenitude associadas a cada um dos modelos de perfilagem de tráfego em pacote. o modelo de perfilagem de tráfego em pacote com uma confiança e plenitude predeterminada é selecionado e aplicado ao perfil do fluxo de tráfego em pacote desconhecido.

Description

“MÉTODOS E APARELHOS PARA CRIAR MÚLTIPLOS MODELOS DE PERFILAGEM DE TRÁFEGO EM PACOTE E PARA PERFILAR FLUXOS DE TRÁFEGO EM PACOTE” CAMPO TÉCNICO A tecnologia relaciona-se a perfil de tráfego em pacotes.
FUNDAMENTOS A alocação eficiente de recursos de rede, tal como uma largura de faixa de rede disponível, tem se tomado crítica à medida que empresas aumentam a confiança em ambientes de computação distribuídos e redes de computador de área extensa para realizar tarefas críticas. O conjunto de protocolos Protocolo de Controle de Transmissão (TCP)/Protocolo Internet (IP), que implementa o ambiente de rede de comunicações de dados ao longo do mundo, a Internet, é empregado em muitas redes de área local, omite qualquer função supervisora explícita sobre a taxa de transporte de dados através dos vários dispositivos que constituem a rede. Embora haja certas vantagens percebidas, esta característica tem a consequência de justapor pacotes de velocidade muito alta e pacotes de velocidade muito baixa em conflito potencial e produz certas ineficiências. Certas condições de carregamento degradam o desempenho de aplicações em rede e podem até causar instabil idades que poderíam conduzir a sobrecargas que interromperíam temporariamente a transferência de dados. O gerenciamento da largura de faixa em redes TCP/IP para alocar largura de faixa disponível de sistemas finais TCP e roteadores que enfdeiram pacotes e descartam pacotes quando algum limite de congestionamento é excedido. O pacote descartado e, portanto, não reconhecido serve como um mecanismo de realimentação para o transmissor TCP. Os roteadores suportam várias opções de enfileiramento para prover algum nível dc gerenciamento de largura de faixa, incluindo algum particionamento e priorização de classes de tráfego separadas. Entretanto, configurar estas opções de enfileiramento com alguma precisão ou sem efeitos laterais é de fato muito difícil e, em alguns casos, não é possível.
Dispositivos de gerenciamento de largura de faixa permitem o controle de taxa de dados explícito para fluxos associados a uma classificação de tráfego em particular. Por exemplo, dispositivos de gerenciamento de largura de faixa permitem que os administradores de rede especifiquem políticas operativas para controlar e/ou priorizar a largura de faixa alocada a fluxos de dados individuais, de acordo com classificações de tráfego. Em adição, certos dispositivos de gerenciamento de largura de faixa, bem como certos roteadores, permitem que os administradores de rede especifiquem controles de utilização de largura de faixa agregados para dividir a largura de faixa disponível em partições para assegurar uma largura de faixa mínima e/ou largura de faixa de cobertura para uma classe particular de tráfego. Após a identificação de um tipo de tráfego correspondente a um fluxo de dados, um dispositivo de gerenciamento de largura de faixa associa e aplica subsequentemente controles de utilização de largura de faixa (por exemplo, uma política ou partição) ao fluxo de dados correspondente à classificação ou tipo de tráfego de dados identificado.
Mais geralmente, o entendimento em profundidade do perfil do fluxo de tráfego em pacotes é uma tarefa desafiadora e uma exigência para muitos Provedores de Serviço Internet (ISP). Inspeção de Pacote Profunda (DPI) pode ser usada para gerar tal perfil para permitir que ISPs apliquem diferentes políticas de cobrança, executem dimensionamento de tráfego e ofereçam garantias diferentes de qualidade de serviço (QoS) a usuários ou aplicações selecionados. Muitos serviços de rede críticos podem se basear na inspeção do conteúdo de carga útil do pacote, porém podem ser usados casos onde somente observar a informação estruturada encontrada nos cabeçalhos de pacote é factível.
Sistemas de classificação de transferência incluem uma fase de treinamento e uma fase de teste durante a qual o tráfego é realmente classificado com base na informação adquirida na fase de treinamento. Infelizmente, nos sistemas de classificação de tráfego baseados no cabeçalho de pacote, os efeitos do ambiente de rede variam e as características de protocolos de comunicações específicos não são identificadas e então consideradas juntas. Porém, como cada modificação e característica afeta uma ou mais das outras modificações e características, a falha as considera juntas com respectivos resultados de interdependências na precisão reduzida ao testar tráfego em uma rede diferente da que foi usada na fase de treinamento.
SUMÁRIO
Modelos de perfil de tráfego em pacotes múltiplos são criados em uma operação de treinamento de modelo a partir de fluxos de tráfego em pacote conhecidos que são rotulados, onde um rótulo é um valor real de um fator influenciando urna ou mais características do fluxo de tráfego em pacote conhecido. Características, que são diferentes dos fatores, são medidas para cada fluxo. Agrupamentos de fluxo são definidos a partir dos fluxos de tráfego rotulados, processando suas características e rótulos. Cada agrupamento de fluxo pode ter uma definição de agrupamento correspondente. Os modelos de perfil são criados com base na informação de agrupamento como definições de agrupamento. Os modelos de tráfego criados são armazenados na memória.
Fatores de exemplo não limitante incluem um ou mais dos seguintes: uma aplicação que gerou o fluxo de tráfego em pacote, um protocolo de comunicações associado ao fluxo de tráfego em pacote, uma atividade de usuário associada ao fluxo de tráfego em pacote, um tipo de terminal de usuário envolvido na transmissão do fluxo de tráfego em pacote, e uma ou mais condições da rede de comunicações por pacote através da qual o fluxo de tráfego em pacote é transportado. Exemplo não limitante apresenta um fluxo de tráfego em pacote incluindo um ou mais dentre: tempo médio inter-chegada de pacote para um fluxo de tráfego em pacote, desvio dc tamanho de pacote em um fluxo de tráfego em pacote, soma de bytes em um fluxo, duração de pacote em ura íluxo de tráfego em pacote, um número de direção de pacote varia um número de pacotes transportados para um fluxo de tráfego em pacote até que uma primeira direção de pacote varie, ou séries no tempo filtradas estatisticamente relaciona isto a um fluxo de tráfego em pacote.
Em um exemplo não limitante, implementação relacionada a criação de modelo (treinamento), o rótulo é identificado por inspeção profunda de pacote.
Em um outro exemplo não limitante alternativo relacionado a treinamento, cada agrupamento de fluxo é baseado em rótulos de um fator único. Em um outro exemplo não limitante alternativo, cada agrupamento de fluxo é baseado em uma combinação de rótulos de dois ou mais fatores.
Posteriormente, quando um íluxo de pacote desconhecido é recebido em uma operação de perfil de fluxo de tráfego, os modelos múltiplos de perfil de tráfego em pacote são avaliados de acordo com uma confiança e plenitude associadas a cada um dos modelos de perfil de tráfego em pacote. O modelo de perfil de tráfego em pacote com uma determinada confiança e plenitude é selecionado e aplicado ao perfil do fluxo de tráfego em pacote desconhecido. Cada um dos modelos de perfil de tráfego em pacote é baseado em agrupamentos de fluxo previamente definidos a partir de fluxos de tráfego cm pacote conhecidos, processando características medidas e rótulos relacionados a cada um daqueles fluxos de tráfego em pacote conhecidos. A confiança pode incluir uma precisão de um modelo de perfil de tráfego em pacote c a plenitude de um nível ou grau de detalhe do modelo de perfil de tráfego em pacote.
Em um exemplo não limitante de implementação relacionada a perfil, a avaliação de modelos de perfílagem de tráfego em pacote múltiplos inclui usar um processo profundo de inspeção de pacote.
Em um outro exemplo de implementação não limitante relacionado a perfílagem a avaliação de múltiplos modelos de perfílagem de tráfego em pacote inclui usar um sistema especializado. Por exemplo, o sistema especializado pode usar a decisão de Dempster-Shafer efetuando processamento.
Ainda em um outro exemplo não limitante de implementação relacionado a perfílagem, selecionar um modelo de perfílagem de tráfego em pacote a partir dos modelos de perfílagem de tráfego em pacote avaliados com a confiança e plenitude predeterminada, inclui levar em conta a informação de realimentação de seleção de modelos validados por um processo profundo de inspeção de pacote.
Em um outro exemplo não limitante de implementação relacionado a perfílagem, selecionar um modelo de perfílagem de tráfego em pacote a partir dos modelos de perfílagem de tráfego em pacote avaliados com a confiança e plenitude predeterminada, inclui levar em conta uma correlação de uma saída de cada um dos modelos de perfílagem de tráfego em pacote avaliados. A tecnologia pode ser implementada ou conectada a um ou mais dos seguintes: uma estação rádio base, um Nó de Suporte GPRS de Serviço (SGSN), Nó de Suporte GPRS de Ponto de Conexão (GGSN), Servidor de Acesso Remoto de Faixa Larga (BRAS) ou Multiplexador de Acesso de Linha de Assinante Digital (DSLAM).
BREVE DESCRIÇÃO DOS DESENHOS
Figura 1 é um diagrama de uma operação de treinamento para criar modelos múltiplos de fluxo de tráfego em pacote;
Figura 2 é um diagrama de perfilagem de fluxo de tráfego em pacote usando modelos múltiplos de fluxo de tráfego em pacote criados na Figura 1;
Figura 3 é um fluxograma não limitante ilustrando procedimentos de exemplo para criar modelos múltiplos de fluxo de tráfego em pacote;
Figura 4 é um fluxograma não limitante ilustrando procedimentos de exemplo para geração de fluxo de tráfego em pacote usando modelos múltiplos de fluxo de tráfego em pacote;
Figuras 5A e 5B provêm exemplo de ilustrações de agrupamento e classificação;
Figura 6 é um exemplo não limitante de diagrama em blocos de função de uma unidade de treinamento executando as funções delineadas na Figura 3;
Figura 7 é um gráfico ilustrando uma relação entre a plenitude de informação de modelo c a confiança do modelo;
Figura 8 é um exemplo não limitante de aparelho para treinamento e/ou perfilagem de fluxos múltiplos de tráfego em pacote com exemplo de características, rótulos e modelos; e Figura 9 é um exemplo não limitante de um sistema de comunicações ilustrando vários nós nos quais a geração do modelo e/ou perfilagem de tráfego podem ser empregadas.
DESCRIÇÃO DETALHADA A seguinte descrição relata detalhes específicos, tais como realizações particulares para fins de explicação c não de limitação. Porem, será verificado por um especialista na técnica que outras realizações podem ser empregadas independentemente destes detalhes específicos. Em algumas situações, descrições detalhadas de métodos bem conhecidos, interfaces, circuitos e dispositivos são omitidos de modo a não obscurecer a descrição com detalhe desnecessário. Blocos individuais podem ser mostrados nas figuras, correspondendo a vários nós. Os especialistas na técnica verificarão que as funções destes blocos podem ser implementadas usando circuitos de hardware individuais, usando programas de software e dados em conjunto com um microprocessador digital adequadamente programado ou computador de finalidade geral, e/ou usando aplicações de Circuito Integrado Específico da Aplicação (ASIC) e/ou usando um ou mais processadores de sinal digitais (DSPs). Nós que se comunicam usando a interface de rádio enlace também possuem circuitos de comunicações rádiò adequados. As instruções de programa de software e dados podem ser armazenados em meio de armazenagem legível por computador, e quando as instruções são executadas por um computador ou outro controle de processador adequado, o computador ou processador executa as funções.
Então, por exemplo, será verificado pelos especialistas na técnica que os diagramas aqui podem representar visões conceituais de circuitos ilustrativos ou outras unidades funcionais. Similarmente, será verificado que quaisquer fluxogramas, diagramas de transição de estado, pseudo códigos e similares representam vários processos que podem ser substancialmente representados em um meio legível por computador e assim executados por um computador ou processador seja este computador ou processador mostrado explicitamente ou não.
As funções dos vários elementos ilustrados podem ser providas através do uso de hardware tal como hardware de circuito e/ou hardware capaz de executar software na forma de instruções codificadas armazenadas em meio legível por computador. Então, tais funções e blocos funcionais ilustrados devem ser entendidos como sendo implementados em hardware e/ou implementados por computador, e então implementados por máquina.
Em termos de implementação de hardware, os blocos funcionais podem incluir ou abranger, sem limitação, hardware de Processador de Sinal Digital (DSP), processador de conjunto de instruções reduzido, hardware (por exemplo, digital ou analógico) de circuitos incluindo porém não limitados a Circuitos Integrados Específicos da Aplicação (ASICs) e/ou arranjo(s) de orifício programáveis em campo (FPGA(s)) e (onde apropriado) máquinas de estado capazes de executar tais funções.
Em termos de implementação de computador, um computador é geralmente entendido como compreendendo um ou mais processadores ou um ou mais controladores e os termos computador, processador e controlador podem ser empregados intercambiavel mente. Quando providos por um computador, processador ou controlador, as funções podem ser providas por um único computador ou processador ou controlador dedicado, por um único computador compartilhado ou processador ou controlador, ou por diversos computadores individuais ou processadores ou controladores, alguns dos quais podem ser compartilhados ou distribuídos. Ainda mais, o termo “processador” ou “controlador” refere-se também a outro hardware capaz de executar tais funções e/ou executar software, tal como o exemplo de hardware citado acima. A tecnologia descrita neste caso pode ser aplicada a qualquer sistema de comunicações e/ou rede. Um dispositivo de rede, por exemplo, um hub, chave, roteador e/ou uma variedade de combinações de tais dispositivos implementando uma LAN ou WAN, interconecta dois outros nós finais tal como um dispositivo de cliente e um servidor. O dispositivo de rede pode incluir um módulo de monitoração de tráfego conectado a uma parte de um caminho de comunicações entre o dispositivo de cliente e o servidor, para monitorar um ou mais fluxos de tráfego em pacote. O dispositivo de rede pode também incluir um módulo de treinamento para gerar modelos múltiplos de fluxo de tráfego em pacote usados pelo módulo de monitoração de tráfego. Altemativamente, o módulo de treinamento pode ser provido em um nó separado do dispositivo de rede, e os modelos múltiplos de fluxo de tráfego em pacote naquele caso providos ao módulo de monitoração de tráfego. Em um exemplo de realização, o módulo de treinamento e o módulo de monitoração de tráfego empregam, cada um, uma combinação de hardware e software, tal como uma unidade de processamento central, memória, um barramento de sistema, um sistema de operação e um ou mais módulos de software implementando a funcionalidade aqui descrita. O dispositivo de monitoração de funcionalidade de tráfego 30 pode ser integrado em uma variedade de dispositivos de rede que classificam o tráfego de rede, tais como barreiras de proteção, pontos de conexão, proxies, dispositivos de captura de pacote, dispositivos de monitoração de tráfego de rede e/ou gerenciamento de largura de faixa, que estão tipicamente localizados em pontos estratégicos em redes de computador.
Figura 1 é um diagrama de uma operação de treinamento para criar modelos múltiplos de fluxo de tráfego em pacote. A entrada da fase de treinamento inclui fluxos de tráfego em pacote conhecidos e a saída inclui modelos múltiplos de fluxo de tráfego em pacote. Descritores de fluxos de tráfego em pacote como tamanho de carga útil média, etc., (descritos em mais detalhe abaixo) são determinados a partir dos fluxos de tráfego em pacote conhecidos e usados para gerar agrupamentos que são usados para criar os modelos múltiplos de fluxo de tráfego em pacote. Os modelos são armazenados para uso posterior para perfil de fluxos de tráfego em pacote desconhecidos.
Figura 2 é um diagrama de perfilagem de fluxo de tráfego em pacote usando modelos múltiplos de fluxo de tráfego em pacote criados na Figura 1. Fluxos de tráfego em pacote desconhecidos são recebidos e processados para determinar descritores de fluxos múltiplos (de um modo similar à fase de treinamento) com um nível de precisão e confiança particulares. Os modelos múltiplos de fluxo de tráfego em pacote criados na fase de treinamento são carregados e testados nos dados de entrada e um deles é selecionado para perfil de um particular dos fluxos de tráfego desconhecidos.
Figura 3 é um fluxograma não limitante intitulado Geração de Modelo ilustrando procedimentos de exemplo para criar modelos múltiplos de fluxo de tráfego em pacote. Inicialmente, fluxos múltiplos de tráfego em pacote conhecidos são gerados ou recebidos (etapa Sl). Cada um dos fluxos de tráfego em pacote conhecidos é provido de pelo menos um rótulo (etapa S2). Um rótulo é um valor real de um fator que influencia uma ou mais características de fluxo de tráfego em pacote conhecido. Um dispositivo de monitoração mede características associadas a cada um dos fluxos de tráfego em pacote conhecidos (etapa S3). As características são diferentes dos fatores. Agrupamentos de fluxo são então definidos a partir dos fluxos de tráfego rotulados, processando as características e os rótulos associados a cada um dos fluxos de tráfego em pacote conhecidos (etapa S4). Cada agrupamento de fluxo possui uma definição de agrupamento correspondente. Modelos de perfilagem de tráfego múltiplos são criados com base em informação a partir das definições de agrupamento (etapa S5), e os modelos de tráfego criados são preferivelmente armazenados na memória (etapa S6).
Figura 4 é um fluxograma não limitante intitulado Gerador de Perfil de Fluxo de Tráfego por Pacote ilustrando procedimentos de exemplo para geração de fluxo de tráfego em pacote usando modelos múltiplos de fluxo de tráfego em pacote, tais como aqueles criados na Figura 3. Modelos múltiplos de fluxo de tráfego em pacote previamente criados são avaliados de acordo com uma confiança e plenitude associadas a cada um dos modelos de perfilagem de tráfego em pacote (etapa S10). Um modelo de perfilagem de tráfego em pacote é selecionado a partir dos modelos de perfilagem de tráfego em pacote com uma confiança e plenitude predeterminada (etapa Sll). Um dispositivo de monitoração identifica um fluxo de tráfego em pacote ao qual o modelo de perfilagem de tráfego em pacote selecionado é aplicado para gerar perfil do fluxo de tráfego em pacote monitorado (etapa S12).
Tabela 1 é um exemplo não limitante de fluxos múltiplos de tráfego em pacote com exemplo de características, rótulos, classificações e agrupamentos. Cada um dos quatro exemplos de fluxos possui um identificador de fluxo, características designadas e um rótulo para um fator. Exemplos de características não limitantes para um fluxo de tráfego em pacote incluem um ou mais dentre: tempo médio inter-chegada de pacote para um fluxo de tráfego em pacote (avg IAT); desvio de tamanho de pacote (psize dev) em um fluxo de tráfego em pacote, soma de bytes (sum byte) em um fluxo; duração de tempo (time len) de um fluxo de tráfego em pacote. Exemplos de fatores não limitantes incluem: uma aplicação que gerou o fluxo de tráfego em pacote, um protocolo de comunicação associado ao fluxo de tráfego em pacote, uma atividade de usuário associada ao fluxo de tráfego em pacote, um tipo de terminal de usuário envolvido na transmissão do fluxo de tráfego em pacote, e uma ou mais condições de uma rede de comunicações por pacote através da qual o fluxo de tráfego em pacote é transportado. Tabela 1 mostra rótulos para um fator. Os resultados de teste para a perfilagem de tráfego destes fluxos é uma classificação de fluxo de tráfego (por exemplo, ponto-a-ponto (P2P) e Voz sobre Protocolo Internet (VoIP)), um resultado de agrupamento permanente (por exemplo, 1, 2 ou 3 com cada número correspondendo a um agrupamento específico) e um resultado de agrupamento temporário onde o resultado é associado a um valor de confiança (por exemplo, uma certa percentagem). Os resultados de teste mostram que os fluxos 1, 2 e 4 tem perfil correto porque o rótulo para o fluxo coincide com sua classificação. Por outro lado, o rótulo para fluxo 3, e-mail, difere de sua classificação de P2P.
Figura 5A provê um exemplo de ilustração de agrupamento que é de aprendizado não supervisionado, somente onde características são consideradas. As áreas circundadas representam agrupamentos de pontos onde os descritores de fluxo de tráfego 1 e 2 se interceptam. Um agrupamento inclui dois pontos e os outros cinco pontos. Figura 5B provê um exemplo de ilustração da classificação que é de aprendizado supervisionado onde ambas características e rótulos são considerados. O processo de classificação é realizado usando uma árvoi-e de decisão na qual várias decisões são tomadas sobre os descritores (características e rótulos) do fluxo. No final do processo da árvore de decisão, o fluxo é identificado/classificado. Os inventores reconheceram que fatores diferentes múltiplos influenciam as características de um fluxo de tráfego em pacote tal como a aplicação de computador particular que gerou o fluxo de tráfego em pacote, o protocolo de comunicações que a aplicação usa para o fluxo de tráfego em pacote, a intenção funcional do usuário associado ao fluxo de tráfego em pacote, o terminal de usuário e seu tipo de acesso, e/ou a topologia de rede, distância, etc. Estes cinco fatores são exemplos somente e outros fatores podem ser úteis. Porém, para fins de ilustração da descrição a seguir, estes cinco fatores são usados.
Os inventores também reconheceram que alguns ou todos os fatores são frequentemente algo correlacionados e em relações de muitos para muitos onde qualquer dos fatores pode ser correlacionado com qualquer dos outros fatores. As relações entre os fatores múltiplos são determinadas criando modelos de fluxo tráfego em pacote múltiplos. Porém há um compromisso possível no qual quanto mais completa a informação conhecida sobre estes cinco fatores, menos confiança é associada aos modelos, devido a um decréscimo no tamanho da amostra e a maior probabilidade de superajuste. Conforme ilustrado na Figura 7, quanto mais completa a informação de modelo, menor o número de amostra em um agrupamento.
Quanto menor o número de amostras, menos confiável é o modelo. Em um caso extremo, não há amostras no agrupamento que corresponde a superajuste. Alternativamente, exatamente os fatores básicos poderiam ser usados e as relações entre eles podem ser treinadas em um modelo de classificação. Uma vantagem com esta última abordagem é a complexidade de cálculo mais baixa.
Figura 6 é um exemplo não limitante de características de tráfego influenciando fatores sendo usados para usar modelos múltiplos de agrupamento/ciassificação de fluxo de tráfego em pacote. Cinco fatores de exemplos não limitantes são mostrados à esquerda. Outros e/ou fatores adicionais podem ser usados. Exemplos do fator de aplicação incluem Firefox, Internet Explorer, Opera, Azureus, uTorrent, Skype, MSN, Yahoo Messenger, etc. Exemplos do fator de protocolo incluem HTTP para e-mail, UDP para transferência de arquivos, etc. Exemplos para o fator de atividade do usuário incluem greedy-download, acesso de mídia on-line, chat, etc. Exemplos do fator de tipo de terminal de usuário incluem FTTH, WiFi, telefone inteligente 3G, dongle 4G, etc. Exemplos do fator de condições de rede incluem servidores de carregamento pesado (por exemplo, Youtube), servidores congestionados (por exemplo, RapidShare), rede de fornecimento de conteúdo (CDN) (por exemplo, Akamai), P2P, etc. Cada combinação dos fatores define um modelo. Por exemplo, o modelo 3.1 é uma combinação dc fatores “cliente de aplicação”, “protocolo” e “atividade de usuário”. Supondo cinco fatores, os números de modelos são conforme segue: modelo 1.1-1.5 (usando somente um fator), modelo 2.1-2.10 (combinando dois fatores), modelo 3.1-3.10 (combinando três fatores), modelo 4.1-4.5 (combinando quatro fatores) e modelo 5.1 (combinando cinco fatores). Para maior simplicidade, os modelos 2.6-2.10 e modelos 3.6-3.10 não são ilustrados na figura. Informação de rótulo multi dimensional (um rótulo é um valor real de um dos cinco fatores) é determinada. Usualmente, o primeiro fator não é conhecido, enquanto os outro quatro fatores podem ser conhecidos.
Tabela 2 mostra um exemplo não limitante de fluxos de tráfego em pacote múltiplos 1-7 com características e rótulos de exemplo determinados a partir de fluxos de tráfego em pacote de entrada conhecidos. Cada um dos modelos na Figura 6 é construído a partir daqueles fluxos na Tabela 2 que possuem todos os campos de características e rótulos preenchidos. Exemplos de modelos de agrupamento/classificação 1.1-5.1 são também mostrados na Tabela 2. A entrada para cada um dos modelos é uma característica ajustada e um rótulo construído configurado de um ou mais fatores para aquele modelo. Cada modelo determina um agrupamento (como a Figura 5A) ou classificação (como a Figura 5B) para uma combinação de características e rótulos de fator. Por exemplo, o modelo 3.1 determina o agrupamento/classifícação para o fluxo de tráfego 1 usando as características do fluxo 1 aplicadas ao rótulo “uTorrent” para o fator “Application Client”, o rótulo “BitTorrent” para o fator “Protocolo” e o rótulo “File Sharing” para o fator “Atividade de Usuário”. Fluxos com rótulos em que falta um valor de campo são omitidos do conjunto de treinamento. Isto significa que os fluxos 3 e 5-7 são omitidos do conjunto de treinamento (ver as marcas “?” na Tabela 2). Como resultado, aumentar o número de características e/ou campos de rótulo pode significar que o tamanho dos dados de treinamento pode diminuir realmente. Por exemplo, no caso do modelo 3.1, as características de avg 1AT, pzise dev, surn byte e time len combinadas com os fatores de “cliente de aplicação”, “protocolo”, e “atividade de usuário”, respectivamente são avaliados. Os rótulos “uTorrent”, “BitTorrent” e “File Sharing” são construídos a partir do fluxo 2, etc. Na fase de treinamento, rótulos diferentes são identificados para o mesmo modelo, a partir de cada fluxo. A seleção do melhor modelo é efetuada na fase de perfilagem (teste). A Tabela 2 é um exemplo não limltante de fatores de influência de característica de tráfego sendo mapeados para modelos de agrupamento/classiíTcação;
Figura 8 é um diagrama em blocos de função de exemplo não limitante de uma unidade de treinamento e unidade de perfilagem para executar a criação do modelo de fluxo de tráfego em pacote e funções de perfilagem de fluxo de tráfego em pacote delineadas nas Figuras 3 e 4. Fluxos de tráfego em pacote conhecidos 12 são providos/recebidos em uma unidade de treinamento ou módulo 10 em uma unidade de medição 14, que pode efetuar funções de medição passiva e/ou ativa para criar logs de fluxo 16, cada log de fluxo compreendendo um fluxo fornecido com um identificador de fluxo. Um processador de rotulagem 18 recebe os logs de fluxo 16 e efetua inspeção profunda de pacote dos fluxos ou outra análise de reconhecimento de tráfego confiável para aplicar rótulos (valores reais dos fatores armazenados na memória 20, por exemplo, aplicação, protocolo, atividade de usuário, tipo de terminal e condição de rede) que coincidem com os pacotes inspecionados de cada fluxo de tráfego em pacote. O processador de rotulagem 18 provê os fluxos rotulados 26 a um dispositivo de monitoração que mede as características (por exemplo, avg IAT, psize dev, sum byte, time len, etc.) e provê os fluxos rotulados e caracterizados a um processador de agrupamento 28 que analisa os fluxos, para gerar agrupamentos múltiplos 30, onde cada agrupamento 30 possui uma definição de agrupamento correspondente, por exemplo, como a definição mostrada nas Figuras 5A ou 5B. Um processador de geração de modelo 32 gera modelos de fluxo de tráfego em pacote múltiplos 34 com base nos agrupamentos 30 e os armazena na memória 36.
Uma unidade ou módulo de perfilagem 40 recebe fluxos de tráfego desconhecidos em um dispositivo de monitoração 44 que gera logs de fluxo de tráfego em pacote 46. A unidade de perfilagem 40 pode estar no mesmo nó em um nó diferente da unidade de treinamento 10. Uni processador de avaliação 46 avalia os modelos de fluxo de tráfego em pacote múltiplos 34 providos pela unidade de treinamento 12, com base em critérios de confiança e plenitude. O cálculo de confiança e plenitude varia para diferentes algoritmos de aprendizado de máquina. O processador de avaliação 46 pode, em uma realização de exemplo preferido, empregar um sistema especializado para executar a avaliação de modelo. Um exemplo de sistema especializado pode ser baseado na bem conhecida tomada de decisão de Dempster-Shafer (D-S) que designa seu grau de confiança a todos os modelos não vazios. A informação de avaliação de modelo é provida a um processador de seleção 50 que seleciona um melhor modelo para perfilagem de cada um dos fluxos de tráfego em pacote desconhecidos. A seleção é baseada na comparação da confiança gerada pelo sistema especializado e a configuração do algoritmo de aprendizado de máquina, juntamente com a plenitude. Um processador de perfilagem 48 gera perfil de cada um dos fluxos de tráfego em pacote desconhecidos, usando o modelo que é provido pelo processador de seleção 50 e provê os fluxos de pacote de tráfego em perfil 52, identificando a aplicação mais provável para o fluxo inspecionado.
Uma vez que modelos de fluxo de tráfego em pacote são construídos por aplicação, podem resultar agrupamentos superportos. Por exemplo, um fluxo de tráfego em pacote pode ser identificado com um agrupamento FTP com uma probabilidade de 0,9, bem como identificado com um agrupamento P2P com uma probabilidade de 0,8. Considerando que as duas probabilidades são condicionais, o teorema de Bayes pode ser usado para Ic .} determinar uma probabilidade apropriada. Seja ' 3,1 n,Aj'1 o conjunto dc c agrupamentos, onde o agrupamento a !é o i-ésimo agrupamento, no agrupamento da aplicação a e seja x um dado fluxo a ser identificado com um agrupamento p(c«/l*)= ^..onde a probabilidade 1 c«··) pode ser computada a partir de uma função de densidade condicional, é uma distribuição a priori dos agrupamentos da aplicação “a” e P(x) é uma constante para um dado fluxo dc tráfego em pacote. Consequentemente, pode ser determinado para qual a E A e /£ /, "-possui um valor máximo e, a partir disto, escolhe a aplicação correspondente apresentando a probabilidade mais alta.
Em um outro exemplo de realização, se a confiança é baixa e ocorrem conflitos com a tomada de decisão de inspeção profunda de pacote (DPI), então o modelo de classificação pode ser novamente treinado on-line, usando DPI e conhecidos, novamente durante a perfilagem. Informação de mix de aplicação (uma relação fluxo/volume dos fluxos agrupados de acordo com a aplicação de geração) é inerentemente treinada como uma informação a priori (mais P2P no tráfego, mais provável para julgar em P2P). Um exemplo de caminho para fazer este treinamento on-line usando uma abordagem incrementai é descrito em Luo-Jie, Francesco Orabona, Marco Fomoni, Barbara Caputo, Nicolo Cesa-Bianchi: OM-2: An Online Multi-class Multi-kernel Leaming Algorithm, http://www.idiap.ch/~iluo/publications/files/om- 2.pdf.
Figura 9 é um exemplo não limitante de um sistema de comunicações ilustrando vários nós nos quais a geração do modelo e/ou perfilagem de tráfego podem ser empregadas. Os nós de rede do exemplo ilustrado que podem suportar uma ou ambas unidades de treinamento e perfilagem podem observar o tráfego em pacote de vários usuários e então são circulados. Estes incluem uma estação rádio base, um Nó de Suporte GPRS de Serviço (SGSN), um Nó de Suporte GPRS de Ponto de Conexão (GGSN), Servidor de Acesso Remoto de Faixa Larga (BRAS) ou Multiplexador de Acesso de Linha de Assinante Digital (DSLAM). Embora também possível como um nó de implementação, o ponto de acesso WLAN é um ponto de agregação muito baixo e então não é circulado como são os outros nós. Naturalmente, a tecnologia pode ser usada em outros nós de rede adequados. A tecnologia descrita provê informação de perfil de tráfego completa e de confiança determinada levando em conta fatores múltiplos de influencia de tráfego. Como a tecnologia é baseada em informação de cabeçalho de pacote, esta pode conviver com tráfego criptografado bem como com tráfego não criptografado. Ainda mais, a tecnologia dimensiona bem como as diferentes unidades podem computar seus respectivos resultados cm paralelo a tomá-los adequado para implementação usando processadores multi núcleo. Significativamente, a tecnologia provê uma abordagem de “fusão” dc dados que combina as confianças a partir de modelos múltiplos para serem responsáveis por inter-relacionamentos e interdependências entre entradas de tráfego múltiplas diferentes. Fatores de influência de tráfego múltiplos são considerados para mapear fatores não independentes impactando nos fluxos de tráfego e um modelo melhor automaticamente através de um algoritmo de recombinação. Um sistema especializado, como um baseado na teoria de Dcmpster, é um meio vantajoso para gerenciar classificação de tráfego com tais entradas de tráfego múltiplas diferentes. Definitivamente, o conceito de multi modelo agregado a unidade de perfilagem colaborativo provê desempenho de classificação de tráfego superior.
Embora as várias realizações tenham sido mostradas e descritas cm detalhe, as reivindicações não estão limitadas a qualquer realização ou exemplo particular. Nenhuma das descrições acima deveríam ser lidas como implicando em que qualquer elemento particular, etapa, faixa ou função seja essencial, dc tal modo que precise scr incluído no escopo das reivindicações. O escopo do assunto patenteado é definido apenas pelas reivindicações. A extensão da proteção legal é definida pelas palavras citadas nas reivindicações permitidas c suas equivalentes. Todos equivalentes estruturais c funcionais para os elementos da realização preferida acima descrita que são conhecidos dos especialistas na técnica são expressamente aqui incorporados por referência e são destinados a serem abrangidos pelas presentes reivindicações. Ainda mais, não é necessário que um dispositivo ou método equacione cada e todo problema visualizado para ser resolvido pela tecnologia descrita, para este ser abrangido pelas presentes I reivindicações. Nenhuma reivindicação é destinada a invocar o parágrafo 6 da 35 USC §112, a menos que as palavras “meios para” ou “etapa para” sejam usadas. , Adicionalmente, nenhuma realização, característica, componente, ou etapa nesta i especificação é destinada a ser dedicada ao público, independentemente da realização, característica, componente ou etapa ser citada nas reivindicações.
REIVINDICAÇÕES

Claims (31)

1. Método para criar múltiplos modelos de perfilagem de tráfego em pacote, caracterizado pelo fato de compreender: gerar fluxos de tráfego em pacote conhecidos múltiplos; prover cada um dos fluxos de tráfego em pacote conhecidos múltiplos de pelo menos um rótulo, onde um rótulo é um valor real de um fator influenciando uma ou mais características do fluxo de tráfego em pacote conhecido; medir, por um dispositivo de monitoração, características associadas a cada um dos fluxos de tráfego em pacote conhecidos, onde as características são diferentes dos fatores; definir agrupamentos de fluxo a partir dos fluxos de tráfego rotulados, processando as características e os rótulos associados a cada um dos fluxos de tráfego em pacote conhecidos, cada agrupamento de fluxo possuindo uma definição de agrupamento correspondente; criar os modelos de perfilagem de tráfego múltiplos com base na informação a partir das definições de agrupamento; e armazenar os modelos de tráfego criados na memória.
2. Método de acordo com a reivindicação 1, caracterizado pelo fato de que os fatores incluem um ou mais dos seguintes: aplicação que gerou o fluxo de tráfego em pacote, protocolo de comunicações associado ao fluxo de tráfego em pacote, atividade de usuário associado ao fluxo de tráfego em pacote, tipo de terminal de usuário envolvido em transmitir o fluxo de tráfego em pacote, e uma ou mais condições de uma rede de comunicações por pacote através da qual o fluxo de tráfego em pacote é transportado.
3. Método de acordo com a reivindicação 1, caracterizado pelo fato de que as características para um fluxo de tráfego em pacote incluem um ou mais dentre: tempo médio inter-chegada de pacote para um fluxo de tráfego em pacote, desvio de tamanho de pacote em um fluxo de tráfego em pacote, soma de bytes em um fluxo, duração de tempo de um fluxo de tráfego em pacote, marcações TCP configuradas em um fluxo de tráfego em pacote, direção de pacotes em um fluxo de tráfego em pacote, número de modificações de direção de pacote de um número de pacotes transportados para um fluxo de tráfego em pacote, até uma primeira mudança de direção de pacote, ou séries de tempo filtradas estatisticamente relacionando isto a um fluxo de tráfego em pacote.
4. Método de acordo com a reivindicação 1, caracterizado pelo fato de que o rótulo é identificado por inspeção profunda de pacote.
5. Método de acordo com a reivindicação 1, caracterizado pelo fato de que cada agrupamento de fluxo é baseado em rótulos de um único fator.
6. Método de acordo com a reivindicação 1, caracterizado pelo fato de que cada agrupamento de fluxo é baseado em uma combinação de rótulos de dois ou mais fatores.
7. Método para perfilagem de fluxos de tráfego em pacote, caracterizado pelo fato de compreender: avaliar múltiplos modelos de perfilagem de tráfego em pacote, de acordo com uma confiança e plenitude associadas a cada um dos modelos de perfilagem de tráfego em pacote; selecionar um modelo de perfilagem de tráfego em pacote a partir dos modelos de perfilagem de tráfego em pacote avaliados com uma confiança e plenitude predeterminada; e monitorar um fluxo de tráfego em pacote por um dispositivo de monitoração e aplicar o modelo de perfilagem de tráfego em pacote selecionado para perfilar o fluxo de tráfego em pacote monitorado.
8. Método de acordo com a reivindicação 7, caracterizado pelo fato de que cada um dos modelos de perfilagem de tráfego em pacote é com base em agrupamentos de fluxos previamente definidos a partir de fluxos de tráfego em pacote, processando características medidas e rótulos relacionados a cada um daqueles fluxos de tráfego em pacote conhecidos, onde um rótulo é um valor real de um fator influenciando uma ou mais características de um fluxo de tráfego em pacote e uma característica é diferente de um fator e é associada a cada fluxo de tráfego em pacote.
9. Método de acordo com a reivindicação 8, caracterizado pelo fato de que os fatores incluem um ou mais dos seguintes: aplicação que gerou o fluxo de tráfego em pacote, protocolo de comunicações associados ao fluxo de tráfego em pacote, atividade de usuário associado ao fluxo de tráfego em pacote, tipo de terminal de usuário envolvido em transmitir o fluxo de tráfego em pacote e uma ou mais condições de uma rede de comunicações por pacote através da qual o fluxo de tráfego em pacote é transportado.
10. Método de acordo com a reivindicação 8, caracterizado pelo fato de que as características para um fluxo de tráfego em pacote incluem um ou mais dentre: tempo médio inter-chegada de pacote para um fluxo de tráfego em pacote, desvio de tamanho de pacote em um fluxo de tráfego em pacote, soma de bytes em um fluxo, duração de tempo de um fluxo de tráfego em pacote, marcações TCP configuradas em um fluxo de tráfego em pacote, direção de pacotes em um fluxo de tráfego em pacote, número de modificações de direção de pacote de um número de pacotes transportados para um fluxo de tráfego em pacote, até uma primeira mudança de direção de pacote, ou séries de tempo filtradas estatisticamente relacionando isto a um fluxo de tráfego em pacote.
11. Método de acordo com a reivindicação 7, caracterizado pelo fato de que a confiança inclui uma precisão de um modelo de perfilagem de tráfego em pacote e a plenitude inclui um nível ou grau de detalhe do modelo de perfilagem de tráfego em pacote.
12. Método de acordo com a reivindicação 7, caracterizado pelo fato dc que a avaliação dos múltiplos modelos de perfilagem de tráfego em pacote inclui um processo profundo de inspeção dc pacote.
13. Método de acordo com a reivindicação 7, caracterizado pelo fato dc que a avaliação dos múltiplos modelos de perfilagem de tráfego em pacote inclui usar um sistema especializado.
14. Método de acordo com a reivindicação 13, caracterizado pelo fato de que o sistema especializado usa processamento de tomada de decisão de Dempster-Shafer.
15. Método de acordo com a reivindicação 7, caracterizado pelo fato de que selecionar um modelo de perfilagem de tráfego em pacote a partir dos modelos de perfilagem de tráfego em pacote com a confiança e plenitude predeterminada inclui levar em conta a informação de realimentação de seleção dos modelos validada por um processo profundo de inspeção de pacote.
16. Método de acordo com a reivindicação 7, caracterizado pelo fato de que selecionar um modelo de perfilagem de tráfego em pacote a partir dos modelos de perfilagem de tráfego em pacote avaliados com a confiança e plenitude predeterminada inclui levar em conta uma correlação de uma saída de cada um dos modelos de perfilagem de tráfego em pacote avaliados.
17. Método de acordo com a reivindicação 7, caracterizado pelo fato de que o método é implementado em ou conectado a um ou mais dos seguintes: uma estação rádio base, um Nó de Suporte GPRS de Serviço (SGSN), Nó de Suporte GPRS de Ponto de Conexão (GGSN), Servidor de Acesso Remoto de Faixa Larga (BRAS) ou Multiplexador de Acesso de Linha de Assinante Digital (DSLAM).
18. Aparelho para criar múltiplos modelos de perfilagem de tráfego em pacote com base em fluxos de tráfego em pacote múltiplos conhecidos, caracterizado pelo fato de compreender: orifício de recepção para receber os fluxos de tráfego em pacote conhecidos, onde cada fluxo de tráfego em pacote conhecido é provido de pelo menos um rótulo, onde um rótulo é um valor real de um fator influenciando uma ou mais características do fluxo de tráfego em pacote conhecido; unidade de medição configurada para medir características associadas a cada um dos fluxos de tráfego em pacote conhecidos, onde as características são diferentes dos fatores; processador de dados de agrupamento configurado para definir agrupamentos de fluxo a partir dos fluxos de tráfego rotulados, processando as características e os rótulos associados a cada um dos fluxos de tráfego em pacote conhecidos, cada agrupamento de fluxo possuindo uma definição de agrupamento correspondente; processador de dados de modelo configurado para criar modelos de perfilagem de tráfego em pacote múltiplos com base na informação a partir das definições de agrupamento; e memória para armazenar os modelos de tráfego criados.
19. Aparelho de acordo com a reivindicação 18, caracterizado pelo fato de que os fatores incluem um ou mais dos seguintes: aplicação que gerou o fluxo de tráfego em pacote, protocolo de comunicações associado ao fluxo de tráfego em pacote, atividade de usuário associada ao fluxo de tráfego em pacote, tipo de terminal de usuário envolvido na transmissão do fluxo de tráfego em pacote, e uma ou mais condições de uma rede de comunicações por pacote através da qual o fluxo de tráfego em pacote é transportado.
20. Aparelho de acordo com a reivindicação 18, caracterizado pelo fato de que as características de um fluxo de tráfego em pacote incluem um ou mais dentre: tempo médio inter-chegada de pacote para um fluxo de tráfego em pacote, desvio de tamanho de pacote em um fluxo de tráfego em pacote, soma de bytes cm um fluxo, duração de tempo de um fluxo de tráfego cm pacote, marcações TCP configuradas em um fluxo de tráfego cm pacote, direção de pacote em um fluxo de tráfego em pacote, um número de direção de pacote varia um número de pacotes transportados para um fluxo dc tráfego em pacote ate que uma primeira direção de pacote varie, ou séries no tempo filtradas estatisticamente relaciona isto a um fluxo de tráfego em pacote.
21. Aparelho de acordo com a reivindicação 18, caracterizado pelo fato de que cada agrupamento de fluxo é com base em rótulos de um único fator.
22. Aparelho dc acordo com a reivindicação 18, caracterizado pelo fato de que cada agrupamento de fluxo é baseado em uma combinação de rótulos de dois ou mais fatores.
23. Aparelho para perfilagem de fluxos de tráfego em pacote, caracterizado pelo fato de compreender: processador dc dados de avaliação configurado para avaliar modelos de perfilagem de tráfego em pacote múltiplos, de acordo com uma confiança e plenitude associadas a cada um dos modelos de perfilagem de tráfego em pacote; unidade de seleção configurada para selecionar um modelo de perfilagem de tráfego em pacote a partir dos modelos de perfilagem de tráfego em pacote avaliados com uma confiança e plenitude predeterminada; e dispositivo de monitoração configurado para monitorar fluxos de tráfego em pacote; processador de dados de perfilagem configurado para usar o modelo de perfilagem de tráfego em pacote para perfil do fluxo de tráfego em pacote monitorado.
24. Aparelho de acordo com a reivindicação 23, caracterizado pelo fato de que cada um dos modelos de perfilagem de tráfego em pacote é com base em agrupamentos de fluxo previamente definidos a partir de fluxos de tráfego em pacote conhecidos, processando características medidas e rótulos relacionados a cada um daqueles fluxos de tráfego em pacote conhecidos, onde um rótulo é um valor real de um fator influenciando uma ou mais características de um fluxo de tráfego em pacote e uma característica é diferente de um fator e está associada a cada fluxo de tráfego em pacote.
25. Aparelho de acordo com a reivindicação 24, caracterizado pelo fato de que os fatores incluem um ou mais dos seguintes: aplicação que gerou o fluxo de tráfego em pacote, um protocolo de comunicações associado ao fluxo de tráfego em pacote, uma atividade de usuário associada ao fluxo de tráfego em pacote, um tipo de terminal de usuário envolvido na transmissão do fluxo de tráfego em pacote, e uma ou mais condições de uma rede de comunicações por pacote através da qual o fluxo de tráfego em pacote é transportado.
26. Aparelho de acordo com a reivindicação 25, caracterizado pelo fato de que as características de um fluxo de tráfego em pacote incluem um ou mais de: tempo médio inter-chegada de pacote para um fluxo de tráfego em pacote, desvio de tamanho de pacote em um fluxo de tráfego em pacote, soma de bytes em um fluxo, duração de tempo de um fluxo de tráfego em pacote, marcações TCP configuradas em um fluxo de tráfego em pacote, direção de pacote em um fluxo de tráfego em pacote, um número de direção de pacote varia um número de pacotes transportados para um fluxo de tráfego cm pacote até que uma primeira direção de pacote varie, ou séries de tempo filtradas estatisticamente relaciona isto a um fluxo de tráfego em pacote.
27. Aparelho de acordo com a reivindicação 23, caracterizado pelo fato de que a confiança inclui uma precisão de um modelo de perfílagem de tráfego em pacote e a plenitude inclui um nível ou grau dc detalhe do modelo de perfílagem de tráfego em pacote.
28. Aparelho de acordo com a reivindicação 23, caracterizado pelo fato de que o processador de dados de avaliação inclui um sistema especializado.
29. Aparelho de acordo com a reivindicação 23, caracterizado pelo fato de que a unidade de seleção é configurada para selecionar um modelo de perfilagem de tráfego em pacote com base em informação de realimentação de um processo profundo de inspeção de pacote de um fluxo de tráfego em pacote monitorado.
30. Aparelho de acordo com a reivindicação 23, caracterizado pelo fato de que a unidade de seleção é configurada para selecionar um modelo de perfilagem de tráfego em pacote com base em uma correlação de uma saída de cada um dos modelos de perfilagem de tráfego em pacote avaliados.
31. Aparelho de acordo com a reivindicação 23, caracterizado pelo fato de ser implementado em ou conectado a um ou mais dos seguintes: estação rádio base, Nó de Suporte GPRS de Serviço (SGSN), Nó de Suporte GPRS de Ponto de Conexão (GGSN), Servidor de Acesso Remoto de Faixa Larga (BRAS) ou Multiplexador de Acesso de Linha de Assinante Digital (DSLAM).
BRPI1104782A 2011-05-02 2011-12-29 métodos e aparelhos para criar múltiplos modelos de perfilagem de tráfego em pacote e para perfilar fluxos de tráfego em pacote BRPI1104782A2 (pt)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US13/098,944 US8737204B2 (en) 2011-05-02 2011-05-02 Creating and using multiple packet traffic profiling models to profile packet flows

Publications (1)

Publication Number Publication Date
BRPI1104782A2 true BRPI1104782A2 (pt) 2016-01-19

Family

ID=45977093

Family Applications (1)

Application Number Title Priority Date Filing Date
BRPI1104782A BRPI1104782A2 (pt) 2011-05-02 2011-12-29 métodos e aparelhos para criar múltiplos modelos de perfilagem de tráfego em pacote e para perfilar fluxos de tráfego em pacote

Country Status (3)

Country Link
US (1) US8737204B2 (pt)
EP (1) EP2521312B1 (pt)
BR (1) BRPI1104782A2 (pt)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9553817B1 (en) * 2011-07-14 2017-01-24 Sprint Communications Company L.P. Diverse transmission of packet content
US8817655B2 (en) * 2011-10-20 2014-08-26 Telefonaktiebolaget Lm Ericsson (Publ) Creating and using multiple packet traffic profiling models to profile packet flows
US20140222997A1 (en) * 2013-02-05 2014-08-07 Cisco Technology, Inc. Hidden markov model based architecture to monitor network node activities and predict relevant periods
WO2015046697A1 (ko) * 2013-09-24 2015-04-02 주식회사 아이디어웨어 제어패킷 이상 증가 검출 장치, 그 방법 및 기록매체
US10972345B1 (en) * 2019-02-20 2021-04-06 Amdocs Development Limited System, method, and computer program for evaluating confidence level of predicting a network situation in a communication network managed using artificial intelligence
US10021116B2 (en) * 2014-02-19 2018-07-10 HCA Holdings, Inc. Network segmentation
US9553813B2 (en) * 2014-07-23 2017-01-24 Cisco Technology, Inc. Selectively employing dynamic traffic shaping
US9961001B2 (en) 2015-03-17 2018-05-01 Telefonaktiebolaget L M Ericsson (Publ) System and method for categorizing packet flows in a network
US9729571B1 (en) 2015-07-31 2017-08-08 Amdocs Software Systems Limited System, method, and computer program for detecting and measuring changes in network behavior of communication networks utilizing real-time clustering algorithms
CN108141377B (zh) * 2015-10-12 2020-08-07 华为技术有限公司 网络流早期分类
US10536345B2 (en) * 2016-12-28 2020-01-14 Google Llc Auto-prioritization of device traffic across local network
SG11201907943WA (en) * 2017-03-02 2019-09-27 Univ Singapore Technology & Design Method and apparatus for determining an identity of an unknown internet-of-things (iot) device in a communication network
US10656960B2 (en) 2017-12-01 2020-05-19 At&T Intellectual Property I, L.P. Flow management and flow modeling in network clouds
US10742486B2 (en) 2018-01-08 2020-08-11 Cisco Technology, Inc. Analyzing common traits in a network assurance system
US20210336960A1 (en) * 2018-12-10 2021-10-28 Drivenets Ltd. A System and a Method for Monitoring Traffic Flows in a Communications Network
EP3920467B1 (en) * 2020-06-04 2024-09-18 Fujitsu Limited Communication coupling verification method, communication coupling verification program, and network verification apparatus
US12008444B2 (en) 2020-06-19 2024-06-11 Hewlett Packard Enterprise Development Lp Unclassified traffic detection in a network
CN111970277B (zh) * 2020-08-18 2022-09-27 中国工商银行股份有限公司 基于联邦学习的流量识别方法及装置
US11588835B2 (en) 2021-05-18 2023-02-21 Bank Of America Corporation Dynamic network security monitoring system
US11792213B2 (en) 2021-05-18 2023-10-17 Bank Of America Corporation Temporal-based anomaly detection for network security
US11799879B2 (en) 2021-05-18 2023-10-24 Bank Of America Corporation Real-time anomaly detection for network security
US12027044B2 (en) * 2021-10-29 2024-07-02 Hewlett Packard Enterprise Development Lp Assigning outlier-related classifications to traffic flows across multiple time windows
US12088502B2 (en) * 2021-12-09 2024-09-10 International Business Machines Corporation Adaptive network control of traffic flows in a secure network

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6321338B1 (en) 1998-11-09 2001-11-20 Sri International Network surveillance
US6937561B2 (en) * 2000-06-02 2005-08-30 Agere Systems Inc. Method and apparatus for guaranteeing data transfer rates and enforcing conformance with traffic profiles in a packet network
US7702806B2 (en) 2000-09-07 2010-04-20 Riverbed Technology, Inc. Statistics collection for network traffic
US7225271B1 (en) 2001-06-29 2007-05-29 Cisco Technology, Inc. System and method for recognizing application-specific flows and assigning them to queues
US20030009585A1 (en) * 2001-07-06 2003-01-09 Brian Antoine Dynamic policy based routing
US7664048B1 (en) 2003-11-24 2010-02-16 Packeteer, Inc. Heuristic behavior pattern matching of data flows in enhanced network traffic classification
ES2323244T3 (es) 2005-05-13 2009-07-09 Qosmos Analisis del trafico en redes de alta velocidad.
WO2007002838A2 (en) 2005-06-29 2007-01-04 Trustees Of Boston University Whole-network anomaly diagnosis
US7891001B1 (en) * 2005-08-26 2011-02-15 Perimeter Internetworking Corporation Methods and apparatus providing security within a network
US8660137B2 (en) 2005-09-29 2014-02-25 Broadcom Israel Research, Ltd. Method and system for quality of service and congestion management for converged network interface devices
CN101197687B (zh) 2006-12-04 2011-04-27 华为技术有限公司 一种网络流量统计的方法及系统
KR20090041198A (ko) 2007-10-23 2009-04-28 한국정보보호진흥원 추이성분 필터링을 이용한 시계열 모델 기반의 네트워크공격 탐지 방법
US8352392B2 (en) 2007-11-28 2013-01-08 The Boeing Company Methods and system for modeling network traffic
US20110019574A1 (en) 2008-03-10 2011-01-27 Szabolcs Malomsoky Technique for classifying network traffic and for validating a mechanism for classifying network traffic
US8095635B2 (en) 2008-07-21 2012-01-10 At&T Intellectual Property I, Lp Managing network traffic for improved availability of network services
US20100034102A1 (en) 2008-08-05 2010-02-11 At&T Intellectual Property I, Lp Measurement-Based Validation of a Simple Model for Panoramic Profiling of Subnet-Level Network Data Traffic
EP2324604A1 (en) 2008-09-08 2011-05-25 Nokia Siemens Networks Oy Method and device for classifying traffic flows in a packet-based wireless communication system
US7852763B2 (en) 2009-05-08 2010-12-14 Bae Systems Information And Electronic Systems Integration Inc. System and method for determining a transmission order for packets at a node in a wireless communication network
CN101594303B (zh) 2009-07-10 2011-06-01 清华大学 基于网络流量统计信息的快速网包分类方法
US8311956B2 (en) 2009-08-11 2012-11-13 At&T Intellectual Property I, L.P. Scalable traffic classifier and classifier training system
FI20096394A0 (fi) * 2009-12-23 2009-12-23 Valtion Teknillinen Tunkeutumisen havaitseminen viestintäverkoissa
US8817655B2 (en) * 2011-10-20 2014-08-26 Telefonaktiebolaget Lm Ericsson (Publ) Creating and using multiple packet traffic profiling models to profile packet flows

Also Published As

Publication number Publication date
EP2521312A2 (en) 2012-11-07
US8737204B2 (en) 2014-05-27
EP2521312B1 (en) 2015-01-07
EP2521312A3 (en) 2012-12-19
US20120281590A1 (en) 2012-11-08

Similar Documents

Publication Publication Date Title
BRPI1104782A2 (pt) métodos e aparelhos para criar múltiplos modelos de perfilagem de tráfego em pacote e para perfilar fluxos de tráfego em pacote
US11265286B2 (en) Tracking of devices across MAC address updates
US8817655B2 (en) Creating and using multiple packet traffic profiling models to profile packet flows
US10200404B2 (en) Behavioral white labeling
US20210357815A1 (en) Training a machine learning-based traffic analyzer using a prototype dataset
US9407646B2 (en) Applying a mitigation specific attack detector using machine learning
US20130148513A1 (en) Creating packet traffic clustering models for profiling packet flows
US11297079B2 (en) Continuous validation of active labeling for device type classification
US10440577B1 (en) Hard/soft finite state machine (FSM) resetting approach for capturing network telemetry to improve device classification
US10425434B2 (en) Statistical fingerprinting of network traffic
US10867036B2 (en) Multiple pairwise feature histograms for representing network traffic
US10079768B2 (en) Framework for joint learning of network traffic representations and traffic classifiers
US9385933B2 (en) Remote probing for remote quality of service monitoring
US11271833B2 (en) Training a network traffic classifier using training data enriched with contextual bag information
US11349716B2 (en) Flash classification using machine learning for device classification systems
US11528231B2 (en) Active labeling of unknown devices in a network
Zhang et al. SLA-verifier: Stateful and quantitative verification for service chaining
TW201322694A (zh) 用於通訊網路的基於應用程式的頻寬控制
US10999146B1 (en) Learning when to reuse existing rules in active labeling for device classification
US20210303598A1 (en) Unsupervised learning of local-aware attribute relevance for device classification and clustering
Amaral et al. Application aware SDN architecture using semi-supervised traffic classification
US20230246971A1 (en) Classification and forwarding of network traffic flows
KR20190028059A (ko) 오픈플로우 네트워크에서 트래픽을 제어하는 장치 및 방법
US11128534B2 (en) Refinement of device classification and clustering based on policy coloring
Shamseddine et al. Network programming and probabilistic sketching for securing the data plane

Legal Events

Date Code Title Description
B03A Publication of a patent application or of a certificate of addition of invention [chapter 3.1 patent gazette]
B06F Objections, documents and/or translations needed after an examination request according [chapter 6.6 patent gazette]
B06U Preliminary requirement: requests with searches performed by other patent offices: procedure suspended [chapter 6.21 patent gazette]
B11B Dismissal acc. art. 36, par 1 of ipl - no reply within 90 days to fullfil the necessary requirements