CN104704782A - 用于执行选择性深度包检测的系统和方法 - Google Patents
用于执行选择性深度包检测的系统和方法 Download PDFInfo
- Publication number
- CN104704782A CN104704782A CN201380044933.4A CN201380044933A CN104704782A CN 104704782 A CN104704782 A CN 104704782A CN 201380044933 A CN201380044933 A CN 201380044933A CN 104704782 A CN104704782 A CN 104704782A
- Authority
- CN
- China
- Prior art keywords
- traffic flow
- sample bag
- credible
- module
- described traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
一种用于执行选择性深度包检测的计算机实现的方法,可包括:1)识别包括数据包流的流量流,2)从所述数据包流提取至少一个样包,3)利用计算资源分析所述样包以确定所述流量流是否可信,4)基于分析所述样包确定所述流量流可信,以及5)响应于确定所述流量流可信,将所述流量流转向至硬件加速器。还公开了各种其它方法、系统和计算机可读介质。
Description
背景技术
对于企业和个人使用而言,人们越来越依赖互联网。遗憾的是,互联网已成为恶意软件、垃圾邮件、系统入侵以及其它信息安全漏洞的主要载体。为了保护计算系统免受不希望的和/或非法的网络流量,一些传统的系统可执行深度包检测,分析传输中的网络包的内容和/或特性。
一些传统的深度包检测系统可用软件实现。遗憾的是,基于软件的深度包检测可消耗大量计算资源,诸如中央处理单元资源。因此,传统的基于软件的深度包检测可能需要昂贵的硬件配置和/或减慢网络流量。一些其它的传统深度包检测系统可用专用的硬件组件(例如,采用固件和/或专用的硬件设计)来实现。遗憾的是,传统的基于硬件的深度包检测可能需要复杂的微码引擎和/或存在显著的工程问题。此外,传统的基于硬件的深度包检测系统可能难以维护和更新,因此,可能不适合快速应对新威胁。因此,本发明认识到需要用于执行选择性深度包检测的系统和方法并对这一需求加以了解决。
发明内容
如以下更详细描述,本发明整体涉及用于执行选择性深度包检测的系统和方法,该系统和方法通过提取一个或多个流量流(traffic flow)样包来(例如,利用基于软件的深度包检测)进行分析以确定所述流量流可信,并且响应于确定所述流量流可信将所述流量流转向至硬件加速器。
在一个实例中,用于执行选择性深度包检测的计算机实现的方法可包括:1)识别包括数据包流的流量流,2)从所述数据包流提取至少一个样包,3)利用计算资源分析所述样包以确定所述流量流是否可信,4)基于分析所述样包确定所述流量流可信,以及5)响应于确定所述流量流可信将所述流量流转向至硬件加速器。
在一些实例中,所述计算资源可包括中央处理单元和/或软件模块。在一些实施例中,分析所述样包可包括检测所述样包的来源、所述样包的目的地和/或所述样包的内容。在一个实例中,将所述流量流转向至所述硬件加速器可引起将所述流量流转向远离所述计算资源。
在一些实施例中,所述计算机实现的方法还可包括:1)从所述硬件加速器检索可用于描述所述流量流速率的数据,2)在确定所述流量流可信后,基于所述数据确定所述流量流速率已经改变到超过预定阈值,以及3)响应于确定所述流量流速率已经改变到超过预定阈值,从所述流量流提取至少一个另外的样包,并且分析所述另外的样包以重新评估所述流量流是否可信。在这些实施例中,所述计算机实现的方法可进一步包括:1)基于分析所述另外的样包确定所述流量流仍然可信,以及2)响应于确定所述流量流仍然可信将所述流量流转回至所述硬件加速器。
在一些实例中,所述计算机实现的方法还可包括:1)从所述硬件加速器检索可用于描述所述流量流的方向性的数据,2)基于所述数据确定所述流量流的所述方向性已经改变到超过预定阈值,以及3)响应于确定所述流量流的所述方向性已经改变到超过预定阈值,从所述流量流提取至少一个另外的样包,并且分析所述另外的样包以重新评估所述流量流是否可信。在这些实例中,所述计算机实现的方法可进一步包括:1)基于分析所述另外的样包确定所述流量流仍然可信,以及2)响应于确定所述流量流仍然可信将所述流量流转回至所述硬件加速器。
在一些实施例中,所述计算机实现的方法还可包括:1)从所述硬件加速器检索可用于确定有效载荷传输是否已经完成的数据,2)基于所述数据确定所述有效载荷传输已经完成,以及3)响应于确定所述有效载荷传输已经完成,从所述流量流提取至少一个另外的样包,并且分析所述另外的样包以重新评估所述流量流是否可信。在这些实施例中,所述计算机实现的方法可进一步包括:1)基于分析所述另外的样包确定所述流量流仍然可信,以及2)响应于确定所述流量流仍然可信将所述流量流转回至所述硬件加速器。
在一个实施例中,一种用于实现上述方法的系统可包括:1)被编程为识别包括数据包流的流量流的识别模块,2)编程为从所述数据包流提取至少一个样包的取样模块,3)被编程为利用计算资源分析所述样包以确定所述流量流是否可信的分析模块,4)被编程为基于分析所述样包确定所述流量流可信的确定模块,以及5)被编程为响应于确定所述流量流可信将所述流量流转向至硬件加速器的转向模块。所述系统还可包括至少一个处理器,该处理器被配置为执行所述识别模块、所述取样模块、所述分析模块、所述确定模块以及所述转向模块。
在一些例子中,上述方法可被编码为计算机可读存储介质上的计算机可读指令。例如,计算机可读存储介质可包括一个或多个计算机可执行指令,当该指令由计算设备的至少一个处理器执行时,可使所述计算设备:1)识别包括数据包流的流量流,2)从所述数据包流提取至少一个样包,3)利用计算资源分析所述样包以确定所述流量流是否可信,4)基于分析所述样包确定所述流量流可信,以及5)响应于确定所述流量流可信将所述流量流转向至硬件加速器。
来自上述实施例中的任何一者的特征可根据本文所述的一般原理彼此结合地使用。通过结合附图阅读下面的详细描述和权利要求书,将会更充分地理解这些和其它实施例、特征和优点。
附图说明
附图示出了多个示例性实施例并且为说明书的一部分。这些附图结合下面的描述展示并且说明本发明的各种原理。
图1是用于执行选择性深度包检测的示例性系统的框图。
图2是用于执行选择性深度包检测的示例性系统的框图。
图3是用于执行选择性深度包检测的示例性方法的流程图。
图4是用于执行选择性深度包检测的示例性系统的框图。
图5是能够实现本文描述和/或示出的实施例中的一者或多者的示例性计算系统的框图。
图6是能够实现本文描述和/或示出的实施例中的一者或多者的示例性计算网络的框图。
在全部附图中,相同引用字符和描述指示类似但未必相同的元件。虽然本文所述的示例性实施例易受各种修改和替代形式的影响,但在附图中以举例的方式示出了特定实施例并且将在本文详细描述这些特定实施例。然而,本文所述的示例性实施例并非旨在限于所公开的特定形式。相反,本发明涵盖落在所附权利要求范围内的所有修改形式、等同形式和替代形式。
具体实施方式
本发明整体涉及用于执行选择性深度包检测的系统和方法。如以下更详细地阐释,通过提取一个或多个流量流样包来(例如,利用基于软件的深度包检测)进行分析以确定所述流量流可信,以及响应于确定所述流量流可信将所述流量流转向至硬件加速器,本文所述的系统和方法可在不消耗检测网络流量的每个包所必须的计算资源的情况下有效地分析网络流量。此外,在一些实例中,本文所述的系统和方法可通过从硬件加速器检索可能指示流量流的显著变化的统计信息来保持这种可信度评估的准确性,这些系统和方法可暂时地将所述流量流转回到更占用资源的深度包检测方法,从而使得这些系统和方法在所述流量流的可信度很可能改变时重新评估所述流量流的可信度(以及,例如,在使这些系统和方法的资源使用最少化的同时保持这些系统和方法的准确性)。
以下结合图1、2和4提供对用于执行选择性深度包检测的示例性系统的详细说明。也将结合图3提供相应计算机实现方法的详细描述。此外,将分别结合图5和图6提供能够实现本文所述实施例中的一者或多者的示例性计算系统和网络体系结构的详细描述。
图1是用于执行选择性深度包检测的示例性系统100的框图。如该附图所示,示例性系统100可包括用于执行一个或多个任务的一个或多个模块102。例如,如以下更详细地阐释,示例性系统100可包括被编程为识别流量流的识别模块104,该流量流包括数据包流。示例性系统100还包括被编程为从所述数据包流提取至少一个样包的取样模块106。
此外,并如以下更详细地描述,示例性系统100可包括被编程为利用计算资源分析样包以确定流量流是否可信的分析模块108。示例性系统100还可包括被编程为基于分析样包而确定流量流可信的确定模块110。示例性系统100还可包括被编程为响应于确定流量流可信而将流量流转向至硬件加速器的转向模块112。尽管显示为独立元件,但图1中的模块102中的一者或多者可表示单个模块或应用程序的部分。
在某些实施例中,图1中的模块102中的一者或多者可表示一个或多个软件应用程序或程序,当通过计算设备执行时其可使计算设备执行一个或多个任务。例如,并如以下更详细地描述,一个或多个模块102可表示保存的并被配置为在一个或多个计算设备上运行的软件模块,所述计算设备诸如图2所示的设备(例如,计算设备202和/或服务器206)、网络204内的一个或多个设备、图5中的计算系统510和/或图6中的示例性网络体系结构600的部分。图1中的模块102中的一者或多者也可表示被配置为执行一个或多个任务的一台或多台专用计算机的全部或部分。
图1中的示例性系统100可以多种方式来实现。例如,示例性系统100的全部或一部分可表示图2中的示例性系统200的部分。如图2所示,系统200可包括通过网络204与服务器206通信的(例如,接收来自服务器206的流量流210的和/或为服务器206转发流量流210的)计算设备202。
在一个实施例中,当图1中的一个或多个模块102由计算设备202和/或服务器206的至少一个处理器执行时,其可促进计算设备202和/或服务器206执行选择性深度包检测。例如,并如以下更详细地描述,一个或多个模块102可使计算设备202和/或服务器206:1)识别包括包流212的流量流210,2)从包流212中提取样包214,3)利用计算资源220(例如,计算设备202内的计算资源和/或连接至计算设备202的计算资源)分析包214以确定流量流210是否可信,4)基于分析包214确定流量流210可信,以及5)响应于确定流量流210可信将流量流210转向至硬件加速器230(例如,计算设备202内和/或连接至计算设备202的设备)。
计算设备202通常表示能够读取计算机可执行指令的任何类型或形式的计算设备。计算设备202的实例包括但不限于笔记本电脑、平板电脑、台式计算机、服务器、网络设备、移动电话、个人数字助理(PDA)、多媒体播放器、嵌入式系统、这些设备中一者或多者的组合、图5中的示例性计算系统510,或者任何其它合适的计算设备。
服务器206通常表示任何类型或形式的能够传输和/或接收一个或多个流量流和/或网络包的计算设备。服务器206的实例包括但不限于被配置为提供各种数据服务和/或运行某些软件应用程序的应用程序服务器和数据库服务器。
网络204通常表示能够促进通信或数据传输的任何介质或体系结构。网络204的实例包括但不限于内联网、广域网(WAN)、局域网(LAN)、个人局域网(PAN)、存储局域网(SAN)、互联网、电力线通信(PLC)、蜂窝网络(例如,全球移动通信系统(GSM)网络)、图6中的示例性网络体系结构600等等。网络204可使用无线或有线连接促进通信或数据传输。在一个实施例中,网络204可促进计算设备202和服务器206之间的通信。
图3是用于执行选择性深度包检测的示例性计算机实现的方法300的流程图。图3中示出的步骤可通过任何合适的计算机可执行代码和/或计算系统执行。在一些实施例中,图3中示出的步骤可由图1中的系统100、图2中的系统200、图5中的计算系统510和/或图6中的示例性网络体系结构600的部分的组件中的一者或多者执行。
如图3所示,在步骤302,本文所述的一个或多个系统可识别包括数据包流的流量流。例如,在步骤302,识别模块104可,作为图2中计算设备202一部分,识别包括包流212的流量流210。
如本文所用,短语“流量流”可指多种数据流中的任何一种。例如,短语“流量流”可指单播传输、组播传输和/或任播传输。在一些实例中,短语“流量流”可指通过给定的传输连接(例如,在两个网络地址之间)传输的所有的包。另外或者作为另外一种选择,短语“流量流”可指在预定的时间内传输(例如,在两个网络地址之间)的所有的包。在一些实例中,短语“流量流”可指预定长度的数据流。
如本文所用,术语“流(stream)”可指通过网络传输的数据包的任何序列。在一些实例中,术语“流”可指通过传输控制协议(“TCP”)传输的数据流。另外或者作为另外一种选择,术语“流”可指通过用户数据报协议(“UDP”)传输的数据流。如本文所用,短语“数据包”(或者“包”)可指可在整个网络上传输的任何数据单元。例如,短语“数据包”可指通过包模式网络传输的网络包。另外或者作为另外一种选择,短语“数据包”可指格式化用于各个路由的数据单元。
识别模块104可以任何合适的方式识别流量流。例如,识别模块104可通过识别流量流的产生来识别所述流量流。例如,识别模块104可识别用于发起流量流的SYN包和/或SYN-ACK包。在一些实例中,识别模块104可作为可由一个或多个处理器执行的软件模块的一部分操作。另外或者作为另一种选择,识别模块104可作为微码模块和/或硬件模块的一部分操作,该微码模块被配置为识别流量流,该硬件模块被设计成带有识别流量流的逻辑。
回到图3,在步骤304,本文所述系统中的一者或多者可从所述数据包流中提取至少一个样包。例如,在步骤304,取样模块106可作为图2中的计算设备202的一部分,从包流212中提取包214作为样包。
取样模块106可提取任何合适的包和/或包组作为样包。例如,取样模块106可从数据包流中提取第一包和/或第一包序列(例如,具有预定数量)作为样包。
在步骤306,本文所述系统中的一者或者多者可利用计算资源分析所述样包以确定流量流是否可信。例如,在步骤306,分析模块108可,作为图2中的计算设备202的一部分,利用计算资源220(例如,计算设备202内的计算资源和/或连接至计算设备202的计算资源)分析包214以确定流量流210是否可信。
所述计算资源可包括多种资源的任意一种。例如,所述计算资源可包括一个或多个硬件资源,诸如中央处理单元。另外或者作为另一种选择,所述计算资源可包括随机存取存储器。在一些实例中,所述计算资源可另外包括或者作为另一种选择包括一个或多个软件资源。例如,所述计算资源可包括软件模块。例如,所述计算资源可包括软件模块,该软件模块被配置为使用处理器对包执行深度包检测。在一些实例中,所述计算资源的至少一部分还可被配置为由一个或多个另外的应用程序使用。例如,所述计算资源可包括处理器,该处理器可由主机系统上的主应用程序使用。在一些实例中,如以下将会更详细地描述,本文所述的系统和方法可通过使用于包分析的计算资源的使用最少化来提高所述计算资源的可用性。
分析模块108可根据多种标准中的任何一种标准来确定流量流可信。例如,分析模块108可通过确定所述流量流不包括恶意有效载荷来确定所述流量流可信。例如,分析模块108可通过确定所述流量流不包括恶意软件、垃圾邮件、入侵企图等来确定所述流量流可信。在一些实例中,分析模块108还可确定所述包是否需要重新路由和/或所述包是否不遵循协议。
分析模块108可用多种方式中的任何一种来分析样包。例如,分析模块108可通过检测样包的来源(例如,通过识别传输样包的设备的网络地址)来分析样包。另外或者作为另一种选择,可通过检测样包的目的地(例如,通过识别样包要到达的网络地址)来分析样包。在一些实例中,分析模块108可通过检测样包的内容来分析样包。例如,分析模块108可针对不受信任的内容的指纹(fingerprint)搜索所述包。
在步骤308,本文所述系统中的一者或多者可在分析所述样包的基础上确定所述流量流可信。例如,在步骤308,确定模块110可,作为图2中的计算设备202的一部分,基于分析包214确定流量流210可信。
确定模块110可基于以任何合适的方式分析样包确定流量流可信。例如,确定模块110可基于样包的受信任的来源(例如,确定样包来源于MICROSOFT.COM)确定所述流量流可信。另外或者作为另一种选择,确定模块110可至少部分地基于样包的安全目的地确定所述流量流可信(例如,确定样包的目的地不易受恶意有效载荷攻击和/或被配置为接收和/或分析恶意有效载荷)。在一些实例中,确定模块110可通过确定样包不包含恶意有效载荷的指纹来确定所述流量流可信。
在步骤310,响应于确定所述流量流可信,本文所述系统中的一者或多者可将所述流量流转向至硬件加速器。例如,在步骤310,转向模块112可,作为图2中的计算设备202的一部分,响应于确定所述流量流210可信将流量流转向至硬件加速器230(例如,计算设备202内和/或连接至计算设备202的设备)。
如本文所用,短语“硬件加速器”可指任何能够处理流量流和/或流的模块、设备和/或子系统。在一些实例中,硬件加速器可安装在网络开关和处理器(例如,计算资源)之间的路径上。在一些实例中,硬件加速器可替代计算资源执行针对流量流的一个或多个功能。
转向模块112可以任何合适的方式将流量流转向。例如,所述转向模块112可将流量流转向远离计算资源(例如,使得流量流穿过硬件加速器而不是计算资源)。因此,本文所述的系统和方法可使用于分析、处理和/或转移流量流的计算资源的使用最少化。
在一些实例中,本文所述系统中的一者或多者还可:1)从硬件加速器检索可用于描述流量流的速率的数据,2)在确定流量流可信后,基于所述数据确定所述流量流的所述速率已经改变到超过预定阈值,以及3)响应于确定所述流量流的所述速率已经改变到超过预定阈值,从所述流量流提取至少一个另外的样包,并且分析所述另外的样包以重新评估流量流是否可信。在这些实例中,转向模块112还可:1)基于分析所述另外的样包确定流量流仍然可信,以及2)响应于确定所述流量流仍然可信,将所述流量流转回至所述硬件加速器。
例如,为文件同步应用程序建立的流量流可周期性地检查同步状态以确定是否有文件没有同步。同时,本文所述系统中的一者或多者可定期从硬件加速器的指明流量流的当前比特率的计数器读取数据。当文件同步应用程序发起一个新的同步操作时,所述流量流的比特率可突然增大。此外,这些系统可计算流量流的比特率随时间的变化。然后,这些系统可确定流量流的比特率随时间的变化超过预定阈值(例如,所述比特率已以大于预定阈值的速度迅速增大)。因此,这些系统可确定所述流量流包含显著不同的信息(例如,不同的文件)并且要求新的可信度评估。
图4示出了用于选择性深度包检测的示例性系统400。如图4所示,示例性系统400可包括处理器420和硬件加速器430。以图4为例,流量流410可在先已被确定为可信,并且因此已通过路径442导向至硬件加速器430。重估模块414可被配置为从硬件加速器430周期性地检索速率452,速率452描述流量流410的速率。重估模块414可识别速率452的大的改变并且确定流量流410需要重新评估。因此,重估模块414可将流量流410转向远离硬件加速器430进而至处理器420(以及,例如,取样模块106)。取样模块106可从流量流410提取一个或多个样包,分析模块108可分析所述包的可信度,确定模块110可确定流量流410仍然可信,并且转向模块112可将流量流410沿路径442转回至硬件加速器430。
在一些实例中,本文所述系统中的一者或多者还可:1)从所述硬件加速器检索可用于描述流量流的方向性的数据,2)在确定流量流可信后,基于所述数据确定流量流的方向性已经改变到超过预定阈值,以及3)响应于确定流量流的方向性的改变超过预定阈值,从所述流量流提取至少一个另外的样包,并且分析所述另外的样包以重新评估流量流是否可信。在这些实例中,转向模块112还可:1)基于分析所述另外的样包确定流量流仍然可信,以及2)响应于确定所述流量流仍然可信,将所述流量流转回至所述硬件加速器。
如本文所用,术语“方向性”可指在一个方向上传输的网络流量的比例和/或量(例如,相对于在另一个方向上传输的网络流量的比例)。例如,流量流可促进数据下载(例如,包括用于应对下载的最少的上行数据传输)。随后,所述流量流可用于促进数据的上传(例如,包括用于应对上传的最少的下行数据传输)。本文所述系统中的一者或多者可定期从所述硬件加速器读取指明流量流的当前方向性的计数器。这些系统还可识别流量流的方向性的任何改变。方向性的改变可作为需要重新评估流量流可信度的信号。因此,这些系统可将流量流转回至计算资源以对流量流的一个或多个包进行新的分析。
以图4为例,流量流410可在先已被确定为可信,并且因此已通过路径442导向至硬件加速器430。重估模块414可被配置为周期性地从硬件加速器430检索方向性454,该方向性描述上行数据传输与下行数据传输的比例。重估模块414可识别方向性454的大的改变并且确定流量流410需要重新评估。因此,重估模块414可将流量流410转向远离硬件加速器430进而至处理器420(以及,例如,取样模块106)。取样模块106可从流量流410提取一个或多个样包,分析模块108可分析所述包的可信度,确定模块110可确定流量流410仍然可信,并且转向模块112可将流量流410沿路径442转回至硬件加速器430。
在一些实例中,本文所述系统中的一者或多者还可:1)从所述硬件加速器检索可用于确定(例如,所述流量流内的)有效载荷传输是否已经完成的数据,2)基于所述数据确定所述有效载荷传输已经完成,以及3)响应于确定所述有效载荷传输已经完成,从所述流量流提取至少一个另外的样包并且分析所述另外的样包以重新评估流量流是否可信。在这些实例中,转向模块112还可:1)基于分析所述另外的样包确定流量流仍然可信,以及2)响应于确定所述流量流仍然可信,将所述流量流转回至所述硬件加速器。
例如,本文所述系统中的一者或多者可识别HTTP 1.1请求。然后,这些系统可识别对所请求资源的大小予以识别的响应。因此,这些系统可(例如,通过硬件加速器的计数器)监测用于传输与所请求资源的大小相对应的数据量的流量流。从而这些系统可确定有效载荷已经被传输,并且流量流中的后续流量可能包括不同的和潜在的不可信的内容。因此,这些系统可将流量流转回至计算资源以重新评估流量流的可信度。
以图4为例,流量流410可在先已被确定为可信,并且因此已通过路径442导向至硬件加速器430。重估模块414可被配置为周期性地从硬件加速器430检索有效载荷信息456,该有效载荷信息456描述有多少有效载荷有待传输(例如,通过描述通过硬件加速器430传输的数据总量,使重估模块414能计算从有效载荷开始传输时起已被传输的数据量)。重估模块414可确定有效载荷传输已完成并且由此确定流量流410需要重新评估。因此,重估模块414可将流量流410转向远离硬件加速器430进而至处理器420(以及,例如,取样模块106)。取样模块106可从流量流410提取一个或多个样包,分析模块108可分析所述包的可信度,确定模块110可确定流量流410仍然可信,并且转向模块112可将流量流410沿路径442转回至硬件加速器430。
如上所述,通过提取一个或多个流量流样包来(例如,利用基于软件的深度包检测)进行分析以确定所述流量流可信,以及响应于确定所述流量流可信将所述流量流转向至硬件加速器,本文所述的系统和方法可在不消耗检测网络流量的每个包所必须的计算资源的情况下有效地分析网络流量。此外,在一些实例中,本文所述的系统和方法可通过从硬件加速器检索可能指示流量流的显著变化的统计信息来保持这种可信度评估的准确性,这些系统和方法可暂时地将所述流量流转回到更占用资源的深度包检测方法,从而使得这些系统和方法在所述流量流的可信度很可能改变时重新评估所述流量流的可信度(以及,例如,在使这些系统和方法的资源使用最少化的同时保持这些系统和方法的准确性)。
图5是能够实现本文描述和/或示出的实施例中的一者或多者的示例性计算系统510的框图。例如,计算系统510的全部或一部分可执行和/或作为一种装置单独或者与其它元件结合执行本文所述的识别、取样、分析、检测、确定、转向和检索步骤中的一者或多者。计算系统510的全部或一部分还可执行和/或作为一种装置来执行本文描述和/或示出的任何其它步骤、方法或过程。
计算系统510在广义上表示能够执行计算机可读指令的任何单处理器或多处理器计算设备或系统。计算系统510的例子包括但不限于工作站、笔记本电脑、客户端方终端、服务器、分布式计算系统、手持式设备或任何其它计算系统或设备。在其最基本的配置中,计算系统510可包括至少一个处理器514和系统内存516。
处理器514通常表示能够处理数据或解译和执行指令的任何类型或形式的处理单元。在某些实施例中,处理器514可以接收来自软件应用程序或模块的指令。这些指令可使处理器514执行本文描述和/或示出的一个或多个示例性实施例的功能。
系统内存516通常表示能够存储数据和/或其它计算机可读指令的任何类型或形式的易失性或非易失性存储设备或介质。系统内存516的实例包括但不限于随机存取存储器(RAM)、只读存储器(ROM)、闪存存储器或任何其它适用的内存设备。尽管不是必需的,但在某些实施例中,计算系统510可包括易失性存储器单元(诸如,系统内存516)和非易失性存储设备(诸如,主要存储设备532,如下详述)。在一个实例中,图1的模块102中的一者或多者可加载到系统内存516中。
在某些实施例中,除处理器514和系统内存516之外,示例性计算系统510还可包括一个或多个组件或元件。例如,如图5所示,计算系统510可包括内存控制器518、输入/输出(I/O)控制器520和通信接口522,它们中的每一者都可以通过通信基础结构512互连。通信基础结构512通常表示能够在计算设备的一个或多个组件之间促进通信的任何类型或形式的基础结构。通信基础结构512的实例包括但不限于通信总线(诸如工业标准体系结构(ISA))、外围组件互连(PCI)、PCI Express(PCIe)或类似的总线)和网络。
内存控制器518通常表示能够处理内存或数据或控制计算系统510的一个或多个组件之间的通信的任何类型或形式的设备。例如,在某些实施例中,内存控制器518可以通过通信基础结构512来控制处理器514、系统内存516和I/O控制器520之间的通信。
I/O控制器520通常表示能够协调和/或控制计算设备的输入和输出功能的任何类型或形式的模块。例如,在某些实施例中,I/O控制器520可控制或促进计算系统510的一个或多个元件之间的数据传输,所述元件诸如处理器514、系统内存516、通信接口522、显示适配器526、输入接口530和存储接口534。
通信接口522在广义上表示能够促进示例性计算系统510与一个或多个附加设备之间的通信的任何类型或形式的通信设备或适配器。例如,在某些实施例中,通信接口522可以促进计算系统510与包括附加计算系统的专用或公共网络之间的通信。通信接口522的实例包括但不限于有线网络接口(诸如网络接口卡)、无线网络接口(诸如无线网络接口卡)、调制解调器和任何其它合适的接口。在至少一个实施例中,通信接口522可以通过与网络(诸如互联网)的直接链接来提供与远程服务器的直接连接。通信接口522还可以通过例如局域网(诸如以太网网络)、个人区域网、电话或电缆网络、蜂窝电话连接、卫星数据连接或任何其它合适的连接来间接提供此类连接。
在某些实施例中,通信接口522还可以表示主机适配器,该主机适配器可被配置为通过外部总线或通信信道来促进计算系统510与一个或多个附加网络或存储设备之间的通信。主机适配器的实例包括但不限于小型计算机系统接口(SCSI)主机适配器、通用串行总线(USB)主机适配器、电气与电子工程师协会(IEEE)1394主机适配器、高级技术附件(ATA)、并行ATA(PATA)、串行ATA(SATA)和外部SATA(eSATA)主机适配器、光纤通道接口适配器、以太网适配器等。通信接口522还可允许计算系统510参与分布式或远程计算。例如,通信接口522可以接收来自远程设备的指令或将指令发送到远程设备以供执行。
如图5所示,计算系统510还可以包括至少一个显示设备524,该显示设备通过显示适配器526连接到通信基础结构512。显示设备524通常表示能够以可视方式显示显示适配器526转发的信息的任何类型或形式的设备。类似地,显示适配器526通常表示被配置为转发来自通信基础结构512(或来自帧缓冲器,如本领域所已知)的图形、文本和其它数据以在显示设备524上显示的任何类型或形式的设备。
如图5所示,示例性计算系统510还可包括经由输入接口530连接到通信基础结构512的至少一个输入设备528。输入设备528通常表示能够向示例性计算系统510提供输入(由计算机或人生成)的任何类型或形式的输入设备。输入设备528的实例包括但不限于键盘、指针设备、语音识别设备或任何其它输入设备。
如图5所示,示例性计算系统510还可包括主要存储设备532和经由存储接口534连接到通信基础结构512的备份存储设备533。存储设备532和533通常表示能够存储数据和/或其它计算机可读指令的任何类型或形式的存储设备或介质。例如,存储设备532和533可为磁盘驱动器(例如,所谓的硬盘驱动器)、固态驱动器、软盘驱动器、磁带驱动器、光盘驱动器、闪存驱动器等等。存储接口534通常表示用于在计算系统510的存储设备532和533与其它组件之间传输数据的任何类型或形式的接口或设备。
在某些实施例中,存储设备532和533可被配置为对被配置为存储计算机软件、数据或其它计算机可读信息的可移除存储单元进行读取和/或写入。合适的可移除存储单元的实例包括但不限于软盘、磁带、光盘、闪存设备等。存储设备532和533还可包括允许将计算机软件、数据或其它计算机可读指令加载到计算系统510中的其它类似结构或设备。例如,存储设备532和533可被配置为读取和写入软件、数据或其它计算机可读信息。存储设备532和533还可为计算系统510的一部分,或者可为通过其它接口系统进行访问的独立设备。
可将多个其它设备或子系统连接到计算系统510。相反地,无需提供图5中示出的所有组件和设备,亦可操作本文描述和/或示出的实施例。上文提及的设备和子系统也可以通过不同于图5所示的方式互连。计算系统510还可以采用任何数量的软件、固件和/或硬件配置。例如,本文所公开的一个或多个示例性实施例可被编码为计算机可读存储介质上的计算机程序(也称为计算机软件、软件应用程序、计算机可读指令或计算机控制逻辑)。短语“计算机可读存储介质”通常指能够存储或携带计算机可读指令的任何形式的设备、载体或介质。计算机可读存储介质的实例包括但不限于传输型介质,诸如载波,和非暂态型介质,诸如磁存储介质(例如,硬盘驱动器和软盘)、光存储介质(例如,光盘(CD)或数字视频盘(DVD))、电子存储介质(例如,固态驱动器和闪存介质)和其它分配系统。
可将包含计算机程序的计算机可读存储介质加载到计算系统510中。然后可将计算机可读存储介质上存储的全部或一部分计算机程序存储在系统内存516中和/或存储设备532和533的各个部分中。当由处理器514执行时,加载到计算系统510中的计算机程序可使处理器514执行和/或作为执行本文描述和/或示出的示例性实施例中的一者或多者的功能。除此之外或作为另外一种选择,可在固件和/或硬件中实施本文描述和/或示出的示例性实施例中的一者或多者。例如,计算系统510可被配置为用于实施本文所公开的示例性实施例中的一者或多者的专用集成电路(ASIC)。
图6是示例性网络体系结构600的框图,其中客户端系统610、620和630以及服务器640和645可耦合到网络650。如以上详述,网络体系结构600的全部或一部分可执行和/或作为一种装置单独或者与其它元件结合执行本文所公开的识别、取样、分析、检测、确定、转向和检索步骤中的一者或多者。网络体系结构600的全部或一部分还可用于执行和/或作为一种装置来执行本发明中阐述的其它步骤和特征。
客户端系统610、620和630通常表示任何类型或形式的计算设备或系统,诸如图5中的示例性计算系统510。类似地,服务器640和645通常表示被配置为提供各种数据库服务和/或运行某些软件应用程序的计算设备或系统,诸如应用程序服务器或数据库服务器。网络650通常表示任何电信或计算机网络,包括例如内联网、WAN、LAN、PAN或互联网。在一个实例中,客户端系统610、620和/或630和/或服务器640和/或645可包括图1的系统100的全部或一部分。
如图6所示,一个或多个存储设备660(1)-(N)可以直接连接到服务器640。类似地,一个或多个存储设备670(1)-(N)可以直接连接到服务器645。存储设备660(1)-(N)和存储设备670(1)-(N)通常表示能够存储数据和/或其它计算机可读指令的任何类型或形式的存储设备或介质。在某些实施例中,存储设备660(1)-(N)和存储设备670(1)-(N)可以表示被配置为使用各种协议(诸如网络文件系统(NFS)、服务器消息块(SMB)或通用互联网文件系统(CIFS))与服务器640和645进行通信的网络连接存储(NAS)设备。
服务器640和645也可以连接到存储区域网络(SAN)光纤网680。SAN光纤网680通常表示能够促进多个存储设备之间的通信的任何类型或形式的计算机网络或体系结构。SAN光纤网680可以促进服务器640和645与多个存储设备690(1)-(N)和/或智能存储阵列695之间的通信。SAN光纤网680还可以通过网络650以及服务器640和645以这样的方式促进客户端系统610、620和630与存储设备690(1)-(N)和/或智能存储阵列695之间的通信:设备690(1)-(N)和阵列695呈现为客户端系统610、620和630的本地连接设备。与存储设备660(1)-(N)和存储设备670(1)-(N)相同,存储设备690(1)-(N)和智能存储阵列695通常表示能够存储数据和/或其它计算机可读指令的任何类型或形式的存储设备或介质。
在某些实施例中,并参照图5的示例性计算系统510,通信接口,诸如图5中的通信接口522,可用于在每个客户端系统610、620和630与网络650之间提供连接。客户端系统610、620和630可能能够使用(例如)网页浏览器或其它客户端软件来访问服务器640或645上的信息。此类软件可允许客户端系统610、620和630访问由服务器640、服务器645、存储设备660(1)-(N)、存储设备670(1)-(N)、存储设备690(1)-(N)或智能存储阵列695托管的数据。尽管图6示出了使用网络(例如互联网)来交换数据,但本文描述和/或示出的实施例并非仅限于互联网或任何特定的基于网络的环境。
在至少一个实施例中,本文所公开的一个或多个示例性实施例中的全部或一部分可被编码为计算机程序并加载到服务器640、服务器645、存储设备660(1)-(N)、存储设备670(1)-(N)、存储设备690(1)-(N)或智能存储阵列695或它们的任意组合上并加以执行。本文所公开的一个或多个示例性实施例中的全部或一部分也可被编码为计算机程序,存储在服务器640中,由服务器645运行,以及通过网络650分配到客户端系统610、620和630。
如以上详述,计算系统510和/或网络体系结构600的一个或多个组件可执行和/或作为一种装置单独或者结合其它元件执行所述用于执行选择性深度包检测的示例性方法的一个或多个步骤。
虽然上述发明使用特定框图、流程图和例子阐述了各种实施例,但每个框图组件、流程图步骤、操作和/或本文描述和/或示出的组件可使用广泛范围的硬件、软件或固件(或其任何组合)配置单独和/或共同来实现。此外,包含在其它组件内的组件的任何公开内容应当被视为在本质上是示例性的,因为可实施许多其它体系结构来实现相同功能。
在一些例子中,图1中的示例性系统100的全部或一部分可表示云计算环境或基于网络的环境的部分。云计算环境可以通过互联网提供各种服务和应用程序。这些基于云的服务(例如软件即服务(software as aservice)、平台即服务(platform as a service)、基础结构即服务等(infrastructure as a service))可以通过网页浏览器或其它远程接口进行访问。本文所述的各种功能可以通过远程桌面环境或任何其它基于云的计算环境提供。
在各种实施例中,图1中的示例性系统100的全部或一部分可促进基于云的计算环境内的多租户。换句话讲,本文所述的软件模块可配置计算系统(例如,服务器)以促进多租户用于本文所述功能中的一者或多者。例如,本文所述软件模块中的一者或多者可对服务器编程以允许两个或多个客户端(例如,客户)共享服务器上正在运行的应用程序。以此种方式编程的服务器可在多个客户(即,租户)间共享应用程序、操作系统、处理系统和/或存储系统。本文所述模块中的一者或多者还可为每个客户分割多租户应用程序的数据和/或配置信息使得一个顾客不能访问另一个顾客的数据和/或配置信息。
根据各种实施例,图1中的例性系统100的全部或一部分可在虚拟环境中实现。例如,本文所述模块和/或数据可在虚拟机内驻存和/或执行。如本文所用,短语“虚拟机”通常指由虚拟机管理器(例如,管理程序)从计算硬件中抽象出来的任何操作系统环境。另外或者作为另一种选择,本文所述的模块和/或数据可在虚拟化层内驻存和/或执行。如本文所用,短语“虚拟化层”通常指覆盖操作系统环境和/或从操作系统环境中抽象出来的任何数据层和/或应用程序层。虚拟化层可由软件虚拟化解决方案(例如,文件系统过滤器)管理,软件虚拟化解决方案将虚拟化层呈现为就好像它是底层基本操作系统的一部分。例如,软件虚拟化解决方案可将最初定向至基本文件系统和/或注册表内的位置的调用重定向至虚拟化层内的位置。
本文描述和/或示出的过程参数和步骤序列仅通过举例的方式给出并且可根据需要改变。例如,虽然本文示出和/或描述的步骤可以特定顺序示出或讨论,但这些步骤不必按示出或讨论的顺序来执行。本文描述和/或示出的各种示例性方法也可省略本文描述或示出的步骤中的一者或多者,或除了所公开的那些步骤之外还包括附加步骤。
虽然本文已经在完全功能计算系统的上下文中描述和/或示出了各种实施例,但这些示例性实施例中的一者或多者可作为各种形式的程序产品来分配,而不考虑用于实际进行分配的计算机可读存储介质的特定类型。本文所公开的实施例也可使用执行某些任务的软件模块来实现。这些软件模块可包括脚本、批处理或可存储在计算机可读存储介质上或计算系统中的其它可执行文件。在一些实施例中,这些软件模块可将计算系统配置为执行本文所公开的示例性实施例中的一者或多者。
此外,本文所述的模块中的一者或多者可将数据、物理设备和/或物理设备的表示从一种形式转向为另一种形式。例如,本文所述模块中的一者或多者可接收待转换的数据流,将所述数据流转换至可信度评估,利用转换的结果将所述数据流在计算资源和硬件加速器之间转向,并将转换结果存储至存储设备。另外或者作为另一种选择,本文所述模块中的一者或多者可通过在计算设备上执行、在计算设备上存储数据和/或以其它方式与计算设备进行交互,将处理器、易失性存储器、非易失性存储器和/或物理计算设备的任何其它部分从一种形式转换成另一种形式。
提供前面描述的目的是使本领域的其它技术人员能够最好地利用本文所公开的示例性实施例的各种方面。该示例性描述并非旨在是详尽的或局限于所公开的任何精确形式。在不脱离本发明精神和范围的前提下,可进行许多修改和变化。本文所公开的实施例在所有方面均应被视为示例性的而非限制性的。应当参考所附权利要求及其等同形式来确定本发明的范围。
除非另有说明,否则在本说明书和权利要求中使用的术语“一”或“一个”应当理解为是表示“中的至少一者”。此外,为了易于使用,在本说明书和权利要求中使用的词语“包括”和“具有”与词语“包含”可互换并且与词语“包含”具有相同含义。
Claims (20)
1.一种用于执行选择性深度包检测的计算机实现的方法,所述方法的至少一部分通过计算设备执行,所述计算设备至少包括一个处理器,所述方法包括:
识别包括数据包流的流量流;
从所述数据包流中提取至少一个样包;
利用计算资源分析所述样包以确定所述流量流是否可信;
基于分析所述样包确定所述流量流可信;
响应于确定所述流量流可信将所述流量流转向至硬件加速器。
2.根据权利要求1所述的计算机实现的方法,其中将所述流量流转向至所述硬件加速器包括将所述流量流转向远离所述计算资源。
3.根据权利要求1所述的计算机实现的方法,其中分析所述样包括检测下列中的至少一者:
所述样包的来源;
所述样包的目的地;
所述样包的内容。
4.根据权利要求1所述的计算机实现的方法,其中所述计算资源包括下列中的至少一者:
中央处理单元;
软件模块。
5.根据权利要求1所述的计算机实现的方法,所述方法还包括:
从所述硬件加速器检索可用于描述所述流量流的速率的数据;
在确定所述流量流可信后,基于所述数据确定所述流量流的所述速率已经改变到超过预定阈值;
响应于确定所述流量流的所述速率已经改变到超过所述预定阈值,从所述流量流提取至少一个另外的样包并且分析所述另外的样包以重新评估所述流量流是否可信。
6.根据权利要求5所述的计算机实现的方法,所述方法还包括:
基于分析所述另外的样包确定所述流量流仍然可信;
响应于确定所述流量流仍然可信将所述流量流转回至所述硬件加速器。
7.根据权利要求1所述的计算机实现的方法,所述方法还包括:
从所述硬件加速器检索可用于描述所述流量流的方向性的数据;
基于所述数据确定所述流量流的所述方向性已经改变到超过预定阈值;
响应于确定所述流量流的所述方向性已经改变到超过所述预定阈值,从所述流量流提取至少一个另外的样包并且分析所述另外的样包以重新评估所述流量流是否可信。
8.根据权利要求7所述的计算机实现的方法,所述方法还包括:
基于分析所述另外的样包确定所述流量流仍然可信;
响应于确定所述流量流仍然可信将所述流量流转回至所述硬件加速器。
9.根据权利要求1所述的计算机实现的方法,所述方法还包括:
从所述硬件加速器检索可用于确定有效载荷传输是否已经完成的数据;
基于所述数据确定所述有效载荷传输已经完成;
响应于确定所述有效载荷传输已经完成,从所述流量流提取至少一个另外的样包,并且分析所述另外的样包以重新评估所述流量流是否可信。
10.根据权利要求9所述的计算机实现的方法,所述方法还包括:
基于分析所述另外的样包确定所述流量流仍然可信;
响应于确定所述流量流仍然可信将所述流量流转回至所述硬件加速器。
11.一种用于执行选择性深度包检测的系统,所述系统包括:
被编程为识别包括数据包流的流量流的识别模块;
被编程为从所述数据包流提取至少一个样包的取样模块;
被编程为利用计算资源分析所述样包以确定所述流量流是否可信的分析模块;
被编程为基于分析所述样包确定所述流量流可信的确定模块;
被编程为响应于确定所述流量流可信将所述流量流转向至硬件加速器的转向模块;
被配置为执行所述识别模块、所述取样模块、所述分析模块、所述确定模块以及所述转向模块的至少一个处理器。
12.根据权利要求11所述的系统,其中所述转向模块被编程为通过将所述流量流转向远离所述计算资源而将所述流量流转向至所述硬件加速器。
13.根据权利要求11所述的系统,其中所述分析模块被编程为通过检测下列中的至少一者来分析所述样包:
所述样包的来源;
所述样包的目的地;
所述样包的内容。
14.根据权利要求11所述的系统,其中所述计算资源包括下列中的至少一者:
中央处理单元;
软件模块。
15.根据权利要求11所述的系统,
所述系统还包括重估模块,所述重估模块被编程为:
从所述硬件加速器检索可用于描述所述流量流的速率的数据;
在确定所述流量流可信后,基于所述数据确定所述流量流的所述速率已经改变到超过预定阈值;
其中所述取样模块进一步被编程为:响应于确定所述流量流的所述速率已经改变到超过所述预定阈值,从所述流量流提取至少一个另外的样包,并且分析所述另外的样包以重新评估所述流量流是否可信。
16.根据权利要求15所述的系统,其中:
所述分析模块进一步被编程为基于分析所述另外的样包以确定所述流量流仍然可信;
所述转向模块进一步被编程为响应于确定所述流量流仍然可信,将所述流量流转回至所述硬件加速器。
17.根据权利要求11所述的系统,
所述系统还包括重估模块,所述重估模块被编程为:
从所述硬件加速器检索可用于描述所述流量流的方向性的数据;
基于所述数据确定所述流量流的所述方向性已经改变到超过预定阈值;
其中所述取样模块进一步被编程为响应于确定所述流量流的所述方向性已经改变到超过所述预定阈值,从所述流量流提取至少一个另外的样包,并且分析所述另外的样包以重新评估所述流量流是否可信。
18.根据权利要求17所述的系统,所述系统还包括:
所述分析模块进一步被编程为基于分析所述另外的样包以确定所述流量流仍然可信;
所述转向模块进一步被编程为响应于确定所述流量流仍然可信,将所述流量流转回至所述硬件加速器。
19.根据权利要求11所述的系统,
所述系统还包括重估模块,所述重估模块被编程为:
从所述硬件加速器检索可用于确定有效载荷传输是否已经完成的数据;
基于所述数据确定所述有效载荷传输已经完成;
其中所述取样模块进一步被编程为响应于确定所述有效载荷传输已经完成,从所述流量流提取至少一个另外的样包,并且分析所述另外的样包以重新评估所述流量流是否可信。
20.一种计算机可读存储介质,其包括一个或多个计算机可执行指令,当由计算设备的至少一个处理器执行时,所述指令可使所述计算设备:
识别包括数据包流的流量流;
从所述数据包流提取至少一个样包;
利用计算资源分析所述样包以确定所述流量流是否可信;
基于分析所述样包确定所述流量流可信;
响应于确定所述流量流可信将所述流量流转向至硬件加速器。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/615444 | 2012-09-13 | ||
US13/615,444 US8943587B2 (en) | 2012-09-13 | 2012-09-13 | Systems and methods for performing selective deep packet inspection |
PCT/US2013/057890 WO2014042914A1 (en) | 2012-09-13 | 2013-09-03 | Systems and methods for performing selective deep packet inspection |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104704782A true CN104704782A (zh) | 2015-06-10 |
Family
ID=50234812
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380044933.4A Pending CN104704782A (zh) | 2012-09-13 | 2013-09-03 | 用于执行选择性深度包检测的系统和方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US8943587B2 (zh) |
EP (1) | EP2896169B1 (zh) |
JP (1) | JP5963966B2 (zh) |
CN (1) | CN104704782A (zh) |
WO (1) | WO2014042914A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114024887A (zh) * | 2021-11-10 | 2022-02-08 | 北京天融信网络安全技术有限公司 | 转发表项的处理方法、装置、设备及存储介质 |
Families Citing this family (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8811431B2 (en) | 2008-11-20 | 2014-08-19 | Silver Peak Systems, Inc. | Systems and methods for compressing packet data |
US8489562B1 (en) | 2007-11-30 | 2013-07-16 | Silver Peak Systems, Inc. | Deferred data storage |
US8885632B2 (en) | 2006-08-02 | 2014-11-11 | Silver Peak Systems, Inc. | Communications scheduler |
US8307115B1 (en) | 2007-11-30 | 2012-11-06 | Silver Peak Systems, Inc. | Network memory mirroring |
US10164861B2 (en) | 2015-12-28 | 2018-12-25 | Silver Peak Systems, Inc. | Dynamic monitoring and visualization for network health characteristics |
US10805840B2 (en) | 2008-07-03 | 2020-10-13 | Silver Peak Systems, Inc. | Data transmission via a virtual wide area network overlay |
US9717021B2 (en) * | 2008-07-03 | 2017-07-25 | Silver Peak Systems, Inc. | Virtual network overlay |
US9130991B2 (en) | 2011-10-14 | 2015-09-08 | Silver Peak Systems, Inc. | Processing data packets in performance enhancing proxy (PEP) environment |
US9626224B2 (en) | 2011-11-03 | 2017-04-18 | Silver Peak Systems, Inc. | Optimizing available computing resources within a virtual environment |
US9225647B2 (en) * | 2013-02-11 | 2015-12-29 | Vmware, Inc. | Distributed deep packet inspection |
US9948496B1 (en) | 2014-07-30 | 2018-04-17 | Silver Peak Systems, Inc. | Determining a transit appliance for data traffic to a software service |
US9875344B1 (en) | 2014-09-05 | 2018-01-23 | Silver Peak Systems, Inc. | Dynamic monitoring and authorization of an optimization device |
US20160088001A1 (en) * | 2014-09-22 | 2016-03-24 | Alcatel-Lucent Usa Inc. | Collaborative deep packet inspection systems and methods |
US10432484B2 (en) | 2016-06-13 | 2019-10-01 | Silver Peak Systems, Inc. | Aggregating select network traffic statistics |
US9967056B1 (en) | 2016-08-19 | 2018-05-08 | Silver Peak Systems, Inc. | Forward packet recovery with constrained overhead |
US10257082B2 (en) | 2017-02-06 | 2019-04-09 | Silver Peak Systems, Inc. | Multi-level learning for classifying traffic flows |
US10771394B2 (en) | 2017-02-06 | 2020-09-08 | Silver Peak Systems, Inc. | Multi-level learning for classifying traffic flows on a first packet from DNS data |
US10892978B2 (en) | 2017-02-06 | 2021-01-12 | Silver Peak Systems, Inc. | Multi-level learning for classifying traffic flows from first packet data |
US11044202B2 (en) | 2017-02-06 | 2021-06-22 | Silver Peak Systems, Inc. | Multi-level learning for predicting and classifying traffic flows from first packet data |
JP6928241B2 (ja) * | 2017-08-04 | 2021-09-01 | 富士通株式会社 | トラフィック分析装置、トラフィック分析方法、トラフィック分析プログラム、及び通信システム |
US11212210B2 (en) | 2017-09-21 | 2021-12-28 | Silver Peak Systems, Inc. | Selective route exporting using source type |
US10637721B2 (en) | 2018-03-12 | 2020-04-28 | Silver Peak Systems, Inc. | Detecting path break conditions while minimizing network overhead |
TWI691186B (zh) * | 2018-10-17 | 2020-04-11 | 中華電信股份有限公司 | 一對多異質網路整合之控制系統及方法 |
CN110365551B (zh) * | 2019-07-04 | 2021-05-07 | 杭州吉讯汇通科技有限公司 | 网络信息采集方法、装置、设备及介质 |
EP3799386A1 (en) * | 2019-09-26 | 2021-03-31 | SECURING SAM Ltd. | System and method for detecting and blocking malicious attacks on a network |
WO2021207922A1 (zh) * | 2020-04-14 | 2021-10-21 | 华为技术有限公司 | 报文传输方法、装置及系统 |
CN113676402B (zh) * | 2020-05-13 | 2022-12-27 | 华为技术有限公司 | 一种协议报文的处理方法、网络设备及计算机存储介质 |
US11949570B2 (en) | 2021-07-30 | 2024-04-02 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for utilizing machine learning to automatically configure filters at a network packet broker |
US20230300045A1 (en) * | 2022-03-15 | 2023-09-21 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for selectively processing a packet flow using a flow inspection engine |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6157644A (en) * | 1997-10-07 | 2000-12-05 | Northern Telecom Limited | Method and apparatus for accelerating OSI layer 3 routers |
WO2006060581A2 (en) * | 2004-11-30 | 2006-06-08 | Sensory Networks Inc. | Apparatus and method for acceleration of security applications through pre-filtering |
WO2006108281A1 (en) * | 2005-04-13 | 2006-10-19 | Zeugma Systems Canada, Inc. | Network element architecture for deep packet inspection |
CN101026505A (zh) * | 2006-01-03 | 2007-08-29 | 阿尔卡特朗讯公司 | 用于监控通信网络中的恶意流量的方法和装置 |
US20080201772A1 (en) * | 2007-02-15 | 2008-08-21 | Maxim Mondaeev | Method and Apparatus for Deep Packet Inspection for Network Intrusion Detection |
CN101841440A (zh) * | 2010-04-30 | 2010-09-22 | 南京邮电大学 | 基于支持向量机与深层包检测的对等网络流量识别方法 |
CN101984598A (zh) * | 2010-11-04 | 2011-03-09 | 成都市华为赛门铁克科技有限公司 | 一种报文转向的方法和深度包检测设备 |
US20110113490A1 (en) * | 2005-12-28 | 2011-05-12 | Foundry Networks, Llc | Techniques for preventing attacks on computer systems and networks |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
KR100609170B1 (ko) * | 2004-02-13 | 2006-08-02 | 엘지엔시스(주) | 네트워크 보안 시스템 및 그 동작 방법 |
US8028160B1 (en) * | 2005-05-27 | 2011-09-27 | Marvell International Ltd. | Data link layer switch with protection against internet protocol spoofing attacks |
US7782793B2 (en) | 2005-09-15 | 2010-08-24 | Alcatel Lucent | Statistical trace-based methods for real-time traffic classification |
US8397284B2 (en) * | 2006-01-17 | 2013-03-12 | University Of Maryland | Detection of distributed denial of service attacks in autonomous system domains |
US8059532B2 (en) * | 2007-06-21 | 2011-11-15 | Packeteer, Inc. | Data and control plane architecture including server-side triggered flow policy mechanism |
US7706291B2 (en) | 2007-08-01 | 2010-04-27 | Zeugma Systems Inc. | Monitoring quality of experience on a per subscriber, per session basis |
EP2086186A1 (en) | 2008-02-01 | 2009-08-05 | Alcatel Lucent | Traffic control device, packet-based network and method for controlling traffic in a packet-based network |
EP2509000A4 (en) * | 2009-12-04 | 2017-09-20 | Nec Corporation | Server and flow control program |
US20110138463A1 (en) * | 2009-12-07 | 2011-06-09 | Electronics And Telecommunications Research Institute | Method and system for ddos traffic detection and traffic mitigation using flow statistics |
JP5402688B2 (ja) * | 2010-02-02 | 2014-01-29 | 日本電気株式会社 | パケット転送システム、パケット転送システム内におけるパケット集中回避方法 |
US8984627B2 (en) * | 2010-12-30 | 2015-03-17 | Verizon Patent And Licensing Inc. | Network security management |
US9167004B2 (en) * | 2011-02-17 | 2015-10-20 | Sable Networks, Inc. | Methods and systems for detecting and mitigating a high-rate distributed denial of service (DDoS) attack |
CN104488229A (zh) * | 2012-07-31 | 2015-04-01 | 惠普发展公司,有限责任合伙企业 | 网络业务处理系统 |
-
2012
- 2012-09-13 US US13/615,444 patent/US8943587B2/en active Active
-
2013
- 2013-09-03 CN CN201380044933.4A patent/CN104704782A/zh active Pending
- 2013-09-03 JP JP2015530144A patent/JP5963966B2/ja active Active
- 2013-09-03 EP EP13836736.2A patent/EP2896169B1/en active Active
- 2013-09-03 WO PCT/US2013/057890 patent/WO2014042914A1/en unknown
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6157644A (en) * | 1997-10-07 | 2000-12-05 | Northern Telecom Limited | Method and apparatus for accelerating OSI layer 3 routers |
WO2006060581A2 (en) * | 2004-11-30 | 2006-06-08 | Sensory Networks Inc. | Apparatus and method for acceleration of security applications through pre-filtering |
WO2006108281A1 (en) * | 2005-04-13 | 2006-10-19 | Zeugma Systems Canada, Inc. | Network element architecture for deep packet inspection |
US20110113490A1 (en) * | 2005-12-28 | 2011-05-12 | Foundry Networks, Llc | Techniques for preventing attacks on computer systems and networks |
CN101026505A (zh) * | 2006-01-03 | 2007-08-29 | 阿尔卡特朗讯公司 | 用于监控通信网络中的恶意流量的方法和装置 |
US20080201772A1 (en) * | 2007-02-15 | 2008-08-21 | Maxim Mondaeev | Method and Apparatus for Deep Packet Inspection for Network Intrusion Detection |
CN101841440A (zh) * | 2010-04-30 | 2010-09-22 | 南京邮电大学 | 基于支持向量机与深层包检测的对等网络流量识别方法 |
CN101984598A (zh) * | 2010-11-04 | 2011-03-09 | 成都市华为赛门铁克科技有限公司 | 一种报文转向的方法和深度包检测设备 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114024887A (zh) * | 2021-11-10 | 2022-02-08 | 北京天融信网络安全技术有限公司 | 转发表项的处理方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
JP5963966B2 (ja) | 2016-08-03 |
EP2896169B1 (en) | 2018-05-02 |
EP2896169A1 (en) | 2015-07-22 |
WO2014042914A1 (en) | 2014-03-20 |
US20140075554A1 (en) | 2014-03-13 |
EP2896169A4 (en) | 2016-05-11 |
JP2015530831A (ja) | 2015-10-15 |
US8943587B2 (en) | 2015-01-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104704782A (zh) | 用于执行选择性深度包检测的系统和方法 | |
US9356943B1 (en) | Systems and methods for performing security analyses on network traffic in cloud-based environments | |
US9654503B1 (en) | Systems and methods for evaluating networks | |
US20190372937A1 (en) | Systems and methods for split network tunneling based on traffic inspection | |
US9843594B1 (en) | Systems and methods for detecting anomalous messages in automobile networks | |
US10887307B1 (en) | Systems and methods for identifying users | |
US9730075B1 (en) | Systems and methods for detecting illegitimate devices on wireless networks | |
EP3427460B1 (en) | Systems and methods for automated classification of application network activity | |
US9888035B2 (en) | Systems and methods for detecting man-in-the-middle attacks | |
CN104937897B (zh) | 用于消除对网络数据包的冗余安全分析的系统和方法 | |
US9122869B1 (en) | Systems and methods for detecting client types | |
US11449637B1 (en) | Systems and methods for providing web tracking transparency to protect user data privacy | |
US9882931B1 (en) | Systems and methods for detecting potentially illegitimate wireless access points | |
US11025666B1 (en) | Systems and methods for preventing decentralized malware attacks | |
US9146950B1 (en) | Systems and methods for determining file identities | |
US11461462B1 (en) | Systems and methods for producing adjustments to malware-detecting services | |
US11095666B1 (en) | Systems and methods for detecting covert channels structured in internet protocol transactions | |
EP3346663B1 (en) | Apparatus, system, and method for accelerating security inspections using inline pattern matching | |
US9942264B1 (en) | Systems and methods for improving forest-based malware detection within an organization | |
US9913201B1 (en) | Systems and methods for detecting potentially illegitimate wireless access points | |
EP3734482A1 (en) | System and method for improved accessing of a shared object | |
Alzubi et al. | EdgeFNF: Toward Real-time Fake News Detection on Mobile Edge Computing | |
Zhao et al. | TMT-RF: tunnel mixed traffic classification based on random forest | |
US10432720B1 (en) | Systems and methods for strong information about transmission control protocol connections | |
US11212259B2 (en) | Inspection offload clustering |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150610 |
|
WD01 | Invention patent application deemed withdrawn after publication |