CN109247065A - 启用不同应用的持续流识别器 - Google Patents
启用不同应用的持续流识别器 Download PDFInfo
- Publication number
- CN109247065A CN109247065A CN201780033582.5A CN201780033582A CN109247065A CN 109247065 A CN109247065 A CN 109247065A CN 201780033582 A CN201780033582 A CN 201780033582A CN 109247065 A CN109247065 A CN 109247065A
- Authority
- CN
- China
- Prior art keywords
- stream
- packets
- network
- grouping
- detector
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
- H04L43/106—Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/70—Routing based on monitoring results
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2416—Real-time traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/28—Timers or timing mechanisms used in protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供一种用于网络跟踪的系统和方法。通过使用具有流标识符和时间戳的分组捕获应用,从网络截获的来自一个或多个分组流的一个或多个原始分组可以用唯一标识符和时间戳来标记,后面用于聚合由一个或多个捕获应用已经分析过的分组流。唯一标识符可以涉及特定捕获应用的网络接口并且还可以具有增加的值,其中值的增加可以是单调的。虽然能够生成辅助时间戳,但后面捕获应用可以忽略用于所述第一捕获应用的主时间戳的那些辅助时间戳,以消除由延迟问题引起的复杂性。
Description
技术领域
本申请一般涉及一种系统和方法,该系统和方法可用于识别通过一个或多个网络应用路由的离散网络流以用于以后的聚合。
背景技术
网络安全和分析通常使用各种离散网络分析应用来捕获、跟踪和分析网络分组数据以保护网络免受恶意攻击。典型的网络捕获应用(也可用于网络安全之外的应用)具有有限的资源,导致串联工作的能力降低,并且随后使网络管理员能够在相同的数据分组流上实时执行多个分析。
例如,分组捕获应用通常仅具有足够的资源来捕获分组,将所有分组写入磁盘,并应用轻量索引以允许检索由五元组指定的分组(包含TCP/IP连接的一组五个不同的值,包括目的地IP地址,源IP地址,端口号以及由第三方应用指示的传输使用的特定协议(例如TCP或UDP)。类似地,流捕获应用只有足够的资源来检查数据分组并存储五元组的流记录和任意数量的附加流属性。这些资源约束阻止多个不同的应用以集合方式处理数据分组流。
为了安全目的,需要捕获应用来实时检查分组。在许多情况下,不同的捕获应用会检查相同的数据分组流,但由于数据分组时序略有不同,因此无法同化数据分组收集。数据分组时序不同,是因为捕获到达率与本地硬件或软件应用时间戳的时间不同。因为时序不同,所以不可能有100%确定一致流量识别的准确性。当数据分组流量密度可能达到每秒数十万个流时,数据分组流不能通过其五元组和时序进行唯一标识。
因此,本领域需要解决上述问题。
发明内容
从第一方面看,本发明提供了一种数据处理系统中计算机实现的方法,所述数据处理系统包括处理器和包括指令的存储器,所述指令由处理器执行以使所述处理器实现网络跟踪系统,所述方法包括:通过网络分流器(network tap)接收通过网络发送的包括一个或多个分组的一个或多个分组流;通过流检查器识别所述一个或多个分组流的一个或多个起始分组;通过所述流检查器用唯一标识符标记所述一个或多个分组流的每个分组;通过打时机用时间戳标记所述一个或多个分组流的每个分组;以及通过网络跟踪系统将一个或多个标记的分组转发到连接到所述网络的一个或多个辅助系统。
从另一方面来看,本发明提供了一种数据处理系统中计算机实现的方法,所述数据处理系统包括处理器和包括处理器和包括指令的存储器,所述指令由处理器执行以使处理器实现网络跟踪系统,该方法包括:通过包括打时机和流检查器的第一捕获应用从网络接收包括一个或多个原始分组的一个或多个分组流;通过所述打时机用时间戳标记每个原始分组;通过所述流检查器用唯一标识符标记每个原始分组;以及使用分组存储库存储所述一个或多个标记的分组。
从另一方面来看,本发明提供了一种数据处理系统中计算机实现的方法,所述数据处理系统包括处理器和包括指令的存储器,所述指令由处理器执行以使处理器实现网络跟踪系统,该方法包括:通过一个或多个第一捕获应用用唯一标识符和主时间戳标记包括一个或多个网络数据的原始分组一个或多个分组流;通过所述一个或多个第一捕获应用,将一个或多个标记的分组流转发到一个或多个其它捕获应用;以及通过所述一个或多个其它捕获应用,基于每个标记的分组流的唯一标识符,聚合从所述一个或多个第一捕获应用转发的所述一个或多个标记的分组流。
从另一方面来看,本发明提供了一种用于网络跟踪的数据处理系统中的计算机系统,所述数据处理系统包括处理器和包括指令的存储器,所述计算机系统包括:网络分流器,用于接收通过网络发送的包括一个或多个分组的一个或多个分组流;流检查器,用于识别所述一个或多个分组流的一个或多个起始分组,以及用唯一标识符标记所述一个或多个分组流的每个分组;打时机,用于使用时间戳标记所述一个或多个分组流的每个分组;以及网络跟踪系统,用于将一个或多个标记的分组转发到连接到网络的一个或多个辅助系统。
从另一方面来看,本发明提供了一种用于网络跟踪的计算机程序产品,所述计算机程序产品包括计算机可读存储介质,所述计算机可读存储介质可由处理电路读取并存储指令用于由执行本发明的步骤的方法的处理电路执行。
从另一方面来看,本发明提供了一种存储在计算机可读介质上并且可加载到数字计算机的内部存储器中的计算机程序,包括当所述程序在计算机上运行时用于执行本发明的步骤的软件代码部分。
实施例可以提供一种数据处理系统中计算机实现的方法,所述数据处理系统包括处理器和包括指令的存储器,所述指令由所述处理器执行以使所述处理器实现网络跟踪系统,该方法包括:通过网络分流器接收通过网络发送的包括一个或多个分组的一个或多个分组流;通过流检查器识别一个或多个分组流的一个或多个起始分组;通过所述流检查器用唯一标识符标记所述一个或多个分组流的每个分组;通过打时机用时间戳标记所述一个或多个分组流的每个分组;并且通过所述网络跟踪系统将一个或多个标记的分组转发到连接到所述网络的一个或多个辅助系统。
进一步的实施例可以提供一种方法,所述方法可以通过所述打时机基于分组流的所述一个或多个起始分组被识别的时间标记所述时间戳。
进一步的实施例可以提供一种方法,所述方法可以包括通过所述流检查器将所述唯一标识符与所述网络分流器的标识符相关联。
进一步的实施例可以提供一种方法,所述方法可以包括通过所述流检查器用识别的每个唯一的分组流单调地增加唯一标识符的数值。
进一步的实施例可以提供一种方法,所述方法可以包括通过所述流检查器通过分组封装标记所述一个或多个分组流。
进一步的实施例可以提供一种方法,所述方法可以包括通过所述流检查器通过一个或多个固件应用程序接口标记所述一个或多个分组流。
进一步的实施例可以提供一种数据处理系统中计算机实现的方法,所述数据处理系统包括处理器和包括指令的存储器,所述指令由所述处理器执行以使所述处理器实现网络跟踪系统,所述方法包括:通过包括时间戳和流检查器的第一捕获应用从网络接收包括一个或多个原始分组的一个或多个分组流;通过所述打时机用时间戳标记每个原始分组;通过所述流检查器用唯一标识符标记每个原始分组;并使用分组存储库存储所述一个或多个标记的分组。
进一步的实施例可以提供一种方法,所述方法可以包括:通过一个或多个附加的第一捕获应用从网络接收所述一个或多个分组流,每个第一捕获应用包括时间戳和流检查器;通过每个打时机用时间戳标记每个原始分组;通过每个流检查器用唯一标识符标记每个原始分组;以及通过所述分组存储库存储所述一个或多个标记的分组。
进一步的实施例可以提供一种方法,所述方法可以包括通过分组存储库使用每个标记的分组的唯一标识符聚合所述一个或多个标记的分组。
进一步的实施例可以提供一种方法,所述方法可以包括通过每个流检查器将所述唯一标识符与所述特定的第一捕获应用相关联。
进一步的实施例可以提供一种方法,所述方法可以包括通过每个流检查器利用由所述特定第一捕获应用识别的每个唯一分组流单调增加所述唯一标识符的值。
进一步的实施例可以提供一种方法,所述方法可以包括通过每个流检查器通过分组封装标记所述一个或多个分组流。
进一步的实施例可以提供一种方法,该方法可以包括通过每个流检查器通过一个或多个固件应用程序接口标记所述一个或多个分组流。
进一步的实施例可以提供一种数据处理系统中的计算机实现的方法,所述数据处理系统包括处理器和包括指令的存储器,所述指令由所述处理器执行以使所述处理器实现网络跟踪系统,所述方法包括:通过一个或多个第一捕获应用用唯一标识符和主时间戳标记包括一个或多个网络数据的原始分组一个或多个分组流;通过所述一个或多个第一捕获应用,将一个或多个标记的分组流转发到一个或多个其它捕获应用;以及通过所述一个或多个其它捕获应用,基于每个标记的分组流的唯一标识符,聚合从所述一个或多个第一捕获应用转发的所述一个或多个标记的分组流。
进一步的实施例可以提供一种方法,所述方法可以包括通过所述一个或多个其它捕获应用基于由所述一个或多个其它捕获应用接收到的时间用辅助时间戳来标记所述一个或多个其它捕获应用接收的所述一个或多个标记的分组流。
进一步的实施例可以提供一种方法,所述方法可以包括通过所述一个或多个其它捕获应用用所述一个或多个第一捕获应用分配的主时间戳替换辅助时间戳。
进一步的实施例可以提供一种方法,所述方法可以包括通过每个第一捕获应用将所述唯一标识符与所述特定的第一捕获应用相关联。
进一步的实施例可以提供一种方法,所述方法可以包括通过每个第一捕获应用,使用由所述特定第一捕获应用识别的每个唯一分组流来单调地增加所述唯一标识符的值。
进一步的实施例可以提供一种方法,所述方法可以包括通过每个第一捕获应用通过分组封装来标记所述一个或多个分组流。
进一步的实施例可以提供一种方法,所述方法可以包括通过每个第一捕获应用通过一个或多个固件应用程序接口标记所述一个或多个分组流。
通过参考附图进行的说明性实施例的以下详细描述,本公开的附加特征和优点将变得显而易见。
附图说明
当结合附图阅读时,从以下详细描述中可以最好地理解本发明的前述和其他方面。出于说明本发明的目的,在附图中示出了目前优选的实施例,但是应该理解,本发明不限于所公开的特定手段。附图中包括:
图1描绘了网络跟踪系统的一个说明性实施例的示意图;
图2描绘了根据本文描述的实施例的网络跟踪系统的示意图;
图3描绘了根据本文描述的实施例的网络跟踪系统的功能框图;以及
图4是其中实现说明性实施例的各方面的示例数据处理系统的框图。
具体实施方式
关于说明性实施例的特定特征和元素,本说明书和权利要求可以使用术语“一个”,“至少一个”和“一个或多个”。应当理解,这些术语和短语旨在表明在特定说明性实施例中存在至少一个特定特征或元素,但是也可以存在多于一个。也就是说,这些术语/短语不旨在将说明书或权利要求限制为存在单个特征/元素或者要求存在多个这样的特征/元素。相反,在说明书和权利要求的范围内可能有多个这样的特征/元件的情况下,这些术语/短语仅需要至少单个特征/元件。
另外,应当理解,以下说明书使用用于说明性实施例的各种元件的多个各种示例来进一步示出说明性实施例的示例实现并且有助于理解说明性实施例的机制。这些示例旨在是非限制性的,并非穷举实现说明性实施例的机制的各种可能性。鉴于本说明书,对于本领域普通技术人员来说这些各种元件存在许多其它替代实施方式是显而易见的,在不脱离本发明的精神和范围的情况下,其可以用于补充或替代本文提供的示例。
本发明可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于使处理器实现本发明的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是——但不限于——电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本发明操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言-诸如Smalltalk、C++等,以及常规的过程式编程语言-诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络-包括局域网(LAN)或广域网(WAN)-连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本发明的各个方面。Java和所有基于Java的商标和徽标是Oracle和/或其附属公司的商标或注册商标。
这里参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本发明的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
图1描绘了网络跟踪系统的一个说明性实施例的示意图。为了向联网系统提供安全性,系统管理员可以使用各种捕获应用102、103、104、105、106,以便分析从特定网络100获取的流量捕获的一个或多个分组流101。网络100可以是局内网络、局间网络或分布式网络,例如因特网。分组流101(也可以称为分组流)可以包括从源到一个或多个目的地的一个或多个信息分组。作为网络安全或其它网络分析基础设施的一部分,除了路由到其预期目的地之外,分组流还可以通过一个或多个捕获应用同时路由。然而,如将在图3中描述的那样,由于与网络流量相关联的固有滞后时间,一个或多个捕获应用中的一个将首先接收分组流,并且可以根据本文描述的实施例执行标记功能。
可以在网络跟踪系统中使用的潜在捕获应用的示例可以包括但不限于分组捕获应用102、流捕获应用103、沙盒捕获应用104和机器学习捕获应用105。示例性分组捕获应用102可以捕获分组流的所述一个或多个分组,将这些分组写入磁盘或存储库,并且可以将轻量索引应用于捕获的分组,以便于后面基于来自第三方应用的五元组检索这些分组。示例性流捕获应用103可以检查所述一个或多个分组并存储五元组的流记录以及其它流属性(源/目的地MAC地址、哈希值、文件大小、文件名等)到磁盘或存储库。示例性沙盒捕获应用104可以在所述一个或多个分组流到达其目的地之前在实时虚拟环境中模拟一个或多个不可信或未知的分组流,以便评估是否存在与所述特定分组流相关联的任何安全漏洞(例如,如果与所述分组流相关联的文件包含恶意软件或病毒),并且可以创建详细说明任何漏洞或发现的其它信息的报告。示例性机器学习捕获应用105可以使用一种或多种机器学习技术(例如,分类、聚类、关联、数字预测、神经网络、决策树等)来分析与大量分组流数据相关联的趋势,以查找或预测安全漏洞或网络攻击。在实施例中,除了列出的示例之外的其它捕获应用106可以合并到网络系统中。在一个实施例中,一个或多个捕获应用或其组合可以合并到网络跟踪系统中。
在一个实施例中,当所述一个或多个分组流101进入并由所述一个或多个捕获应用102、103、104、105分析时,由接收所述分组流101(如图1所示)的第一捕获应用用持久流标识符107标记分组流101,其可以允许在未来的某个点在聚合视图108中聚合和分析所述一个或多个分析的分组流。分组流101的标记可以以图2和图3中更详细描述的方式实现。通过使用持久流标识符107,由分组捕获应用102捕获的一个或多个唯一分组流101可以与匹配持久流标识符107的流捕获应用103的流记录配对。这可以导致使用组合数据集的总可见性。除了组合分组捕获应用102和流捕获应用103的记录之外,沙箱捕获应用104、机器学习捕获应用105和/或其它捕获应用106的记录可以使用持久流标识符107以类似的方式组合。
图2描绘了根据本文描述的实施例的网络跟踪系统的示意图。在一个实施例中,主网络分流器200可以截取所有网络业务,其可以包括一个或多个分组流101,每个分组流101具有一个或多个原始信息分组210。网络分流器200可以将分组流101路由到第一接口(捕获点)203。在一个实施例中,第一接口203可以是位于第一捕获应用201上的主接口,以接收特定分组流101。
在一个实施例中,每个捕获应用可以具有第一接口203和第二接口211。然而,在一个实施例中,第一捕获应用201的第一接口203可以是用于分配流标识符209和主时间戳212的主要确定因素。与第一接口203通信的流检查器205可以使用标准检查算法识别与每个分组流101相关联的起始分组。流检查器205可以用流标识符209标记每个原始分组210,从而创建标记的分组207。
流标识符209可以包括两个组件:唯一标识符(唯一ID)206和单调递增值208。唯一标识符206可以基于正在通过例如网络分流器200的网络接口卡的MAC地址分析特定分组的特定捕获应用的全局唯一标识符。对于由流检查器205标记的每个分组流,单调增加值208可以增加。在一个实施例中,增加值208可以以非单调的方式增加。在一个实施例中,增加值208的值范围可以足够大,以在多年期间唯一地识别各个分组流101而无需重复。
打时机(time stamper)204也可以与第一接口203通信,并且可以用主时间戳212标记每个原始分组,主时间戳212可以通过第一接口203与原始分组210的第一次观察相对应。主时间戳212可以是持久的,与标记的分组207一起传送并且重写任何后续尝试对标记的分组207重新加的时间戳。在图3中更详细地描述了重写。
流检查器205和打时机204对原始分组210的标记可以通过各种方法完成。在一个实施例中,可以使用类似于VLAN标记的专有方法来封装原始分组210。在替换实施例中,可以使用诸如每分组信息(PPI)的标准封装方法来封装原始分组210。在替换实施例中,可以使用硬件应用编程接口(API)来标记原始分组210,例如,用于网络接口卡的现场可编程门阵列(FPGA)API。
一旦原始分组210被标记有主时间戳212和流标识符209,标记分组207就可以被转发到第二接口(捕获点)211以由一个或多个其它应用202进行分析。第二接口211在功能上可以类似于原始网络分流器200。第二接口211可以接收一个或多个标记分组207。然而,第二接口211可以具有关于用于标记原始分组210的特定标记格式的先验信息。虽然第二接口211可以具有用辅助时间戳标记标记分组207的能力,但是网络系统总是可以用主时间戳212替换或忽略辅助时间戳,因为辅助时间戳将总是包含与由特定捕获应用处理的一个或多个分组相关联的不需要的等待时间,然后将分组转发到第二接口211。在一个实施例中,该等待时间这是非重要的,因此用主时间戳212来替换辅助时间戳是可选的。
图3是根据本文描述的实施例的表示网络跟踪系统随时间的功能框图。图3描述了网络组件(网络分流器和捕获应用)的特定布置,即使在网络组件的不同布置下,网络跟踪系统也可以以所描述的相同方式起作用。如图3中描述的实施例中所示,源自网络100的一个或多个分组流101可以由网络分流器A 300和网络分流器B 301同时截获。虽然图中示出了两个网络分流器,但是对可以拦截特定分组流101的网络分流器的数量没有限制。在通过网络分流器A 300拦截时,分组流101可以被路由到捕获应用A 303的第一接口。在一个实施例中,虽然特定网络架构可以使每个捕获应用以并行方式连接(如图1所示),捕获应用A303可以及时被定义为第一捕获应用以接收分组流101。根据应用网络跟踪系统的特定基础设施的网络体系结构,捕获应用A的身份可以根据网络分流器A的多路复用能力而变化(即,第一分组流接收的捕获应用A是分组捕获应用,对于第二分组流接收的捕获应用A可以是机器学习捕获应用等),或者捕获应用A可以对于所接收的每个分组流保持相同的应用。在一个实施例中,连接到网络分流器B 301和所有其它网络分流器的捕获应用的功能、类型、数量和连接架构可以镜像连接到网络分流器A 300的那些功能、类型、数量和连接架构,或者它们可以根据特定需要而不同。由于每个捕获应用可以具有与图2中描述的相同的标记功能。网络跟踪系统中的每个捕获应用可以在其特定网络域中充当第一捕获应用(如图2所示的201)。
当分组流101被网络分流器A 300拦截并路由到捕获应用A 303时,分组流101的每个分组可以用如本文所述的时间戳A 304和流标识符A 305标记。在一个实施例中,标记的分组被发送到连接到网络分流器A 300的其它捕获应用x 309。然而,虽然其它捕获应用x309可以或可以不将它们自己的时间戳和/或流标识符应用于分组,但是在一个实施例中,可以在主时间戳A 304上忽略所有辅助时间戳和/或流标识符,使得公共时间戳和/或流标识符被应用于由网络分流器A 300拦截的所有分组。
类似地,当分组流101被网络分流器B 301拦截并路由到捕获应用B 306时,分组流101的每个分组可以用如本文所述的时间戳B 307和流标识符B 308标记。在一个实施例中,标记的分组被发送到连接到网络分流器B 301的其它捕获应用y 310。然而,虽然其它捕获应用y 310可以或可以不将它们自己的时间戳和/或流标识符应用于分组,但是在一个实施例中,可以在主时间戳B 307上忽略所有辅助时间戳和/或流标识符,使得公共时间戳和/或流标识符被应用于由网络分流器B 301拦截的所有分组。
用主时间戳和/或流标识符替换任何辅助时间戳和/或流标识符对于网络跟踪系统的运行可能是必要的,因为除了与将分组流转发到辅助分流点相关联的等待时间之外,辅助时间戳和/或流标识符通常将具有基于初始分流点的时间戳和/或流标识符值。然而,在等待时间被认为是非重要的备选网络实施例中,用主时间戳和/或流标识符替换辅助时间戳和/或流标识符可以是可选的。
在一个实施例中,时间戳和流标识符可以以与本文所述相同的方式分配给通过任何附加网络域(由它们各自的网络分流器定义)的分组流。尽管这种标记分组流的一致方式,但是可以通过基于公共时间戳和流标识符的排序来创建由包括在网络跟踪系统中的一个或多个捕获应用分析的分组的聚合视图。
图4是可以实现说明性实施例的各方面例如捕获应用的示例数据处理系统400的框图。数据处理系统400是计算机(例如服务器或客户端)的示例,其中定位了实现本发明的说明性实施例的过程的计算机可用代码或指令。在一个实施例中,图4表示服务器计算设备例如服务器,其实现本文描述的网络跟踪系统。
在所描绘的示例中,数据处理系统400可以采用包括北桥和存储控制器集线器(NB/MCH)401以及南桥和输入/输出(I/O)控制集线器(SB/ICH)402的集线器架构。处理单元403,主存储器404和图形处理器405可以连接到NB/MCH 401。图形处理器405可以通过加速图形端口(AGP)连接到NB/MCH。
在所描绘的示例中,网络适配器406连接到SB/ICH 402。音频适配器407、键盘和鼠标适配器408、调制解调器409、只读存储器(ROM)410、硬盘驱动器(HDD)411、光驱(CD或DVD)412、通用串行总线(USB)端口和其它通信端口413以及PCI/PCIe设备414可以通过总线系统416连接到SB/ICH 402。PCI/PCIe设备414可以包括以太网适配器、附加卡以及笔记本电脑的PC卡。ROM 410可以是例如闪存基本输入/输出系统(BIOS)。HDD 411和光学驱动器412可以使用集成驱动电子设备(IDE)或串行高级技术附件(SATA)接口。超级I/O(SIO)设备415可以连接到SB/ICH。
操作系统可以在处理单元403上运行。操作系统可以协调并提供对数据处理系统400内的各种组件的控制。作为客户端,操作系统可以是商业上可用的操作系统。面向对象的编程系统,例如JavaTM编程系统,可以与操作系统一起运行,并且从在数据处理系统400上执行的面向对象的程序或应用提供对操作系统的调用。作为服务器,数据处理系统400可以是运行Advanced Interactive Executive操作系统或Linux操作系统的eServerTMSystem数据处理系统400可以是对称多处理器(SMP)系统,其可以包括处理单元403中的多个处理器。或者,可以采用单个处理器系统。
用于操作系统,面向对象的编程系统和应用或程序的指令位于诸如HDD 411的存储设备上,并且被加载到主存储器404中以供处理单元403执行。网络跟踪系统的实施例的处理可以由使用计算机可用程序代码的处理单元403来执行,该计算机可用程序代码可以位于存储器中,例如主存储器404、ROM 410或者位于一个或多个外围设备中。
总线系统416可以包括一个或多个总线。总线系统416可以使用任何类型的通信结构或体系结构来实现,该通信结构或体系结构可以提供在连接到结该构或体系结构的不同组件或设备之间的数据传输。诸如调制解调器409或网络适配器406的通信单元可以包括可以用于发送和接收数据的一个或多个设备。
本领域普通技术人员将理解,图4中描绘的硬件可以根据实现而变化。除了所示硬件之外或代替所示硬件,可以使用其它内部硬件或外围设备,例如闪存、等效非易失性存储器或光盘驱动器。此外,数据处理系统400可以采用多种不同数据处理系统中的任何一种的形式,包括但不限于客户端计算设备、服务器计算设备、平板计算机、膝上型计算机、电话或其它通信设备,个人数字助理等。本质上,数据处理系统400可以是任何已知的或以后开发的数据处理系统,而没有架构限制。
附图的系统和过程不是排它性的。可以根据这里描述的实施例的原理导出其它系统、过程和菜单以实现相同的目的。应理解,本文所示和所述的实施例和变化仅用于说明目的。在不脱离实施例的范围的情况下,本领域技术人员可以实现对当前设计的修改。如本文所述,可以使用硬件组件、软件组件和/或其组合来实现各种系统、子系统、代理、管理器和过程。本文中的任何元素都不应根据35U.S.C 112第六段的规定来解释,除非使用短语“用于...装置”明确叙述该元素。
尽管已经参考示例性实施例描述了本发明,但是本发明不限于此。本领域技术人员将理解,可以对本发明的优选实施例进行许多改变和修改,并且可以在不脱离本发明的真实精神的情况下进行这些改变和修改。因此,所附权利要求旨在被解释为涵盖落入本发明的真实精神和范围内的所有这些等同变化。
Claims (28)
1.一种数据处理系统中计算机实现的方法,所述数据处理系统包括处理器和包括指令的存储器,所述指令由所述处理器执行以使所述处理器实现网络跟踪系统,所述方法包括:
通过网络分流器接收通过网络发送的包括一个或多个分组的一个或多个分组流;
通过流检查器识别所述一个或多个分组流的一个或多个起始分组;
通过所述流检查器用唯一标识符标记所述一个或多个分组流的每个分组;
通过打时机用时间戳标记所述一个或多个分组流的每个分组;以及
通过所述网络跟踪系统将一个或多个标记的分组转发到连接到所述网络的一个或多个辅助系统。
2.如权利要求1所述的方法,还包括:
通过所述打时机基于所述分组流的所述一个或多个起始分组被识别的时间标记所述时间戳。
3.如前述权利要求中任一项所述的方法,还包括:
通过所述流检查器将所述唯一标识符与所述网络分流器的标识符相关联。
4.如权利要求3所述的方法,还包括:
通过所述流检查器在每个唯一分组流被识别的情况下单调地增加所述唯一标识符的数值。
5.如前述权利要求中任一项所述的方法,还包括:通过所述流检查器通过分组封装标记所述一个或多个分组流。
6.如前述权利要求中任一项所述的方法,还包括:
由所述流检查器通过一个或多个固件应用程序接口标记所述一个或多个分组流。
7.一种数据处理系统中计算机实现的方法,所述数据处理系统包括处理器和包括指令的存储器,所述指令由所述处理器执行以使所述处理器实现网络跟踪系统,该方法包括:
通过包括打时机和流检查器的第一捕获应用从网络接收包括一个或多个原始分组的一个或多个分组流;
通过所述打时机用时间戳标记每个原始分组;
通过所述流检查器用唯一标识符标记每个原始分组;以及
使用分组存储库存储所述一个或多个标记的分组。
8.如权利要求7所述的方法,还包括:
通过一个或多个附加的第一捕获应用从网络接收所述一个或多个分组流,每个所述第一捕获应用包括打时机和流检查器;
通过每个打时机用时间戳标记每个原始分组;
通过每个流检查器用唯一标识符标记每个原始分组;以及
通过所述分组存储库存储所述一个或多个标记的分组。
9.如权利要求8所述的方法,还包括:
通过所述分组存储库使用每个标记的分组的唯一标识符聚合所述一个或多个标记的分组。
10.如权利要求8或9所述的方法,还包括:
通过每个流检查器将所述唯一标识符与特定的所述第一捕获应用相关联。
11.如权利要求10所述的方法,还包括:
通过每个流检查器在每个唯一分组流被所述特定的捕获应用识别的情况下单调地增加所述唯一标识符的数值。
12.如权利要求7至11中任一项所述的方法,还包括:
通过每个流检查器通过分组封装标记所述一个或多个分组流。
13.如权利要求7至12中任一项所述的方法,还包括:
由每个流检查器通过一个或多个固件应用接口标记所述一个或多个分组流。
14.一种数据处理系统中计算机实现的方法,所述数据处理系统包括处理器和包括指令的存储器,所述指令由所述处理器执行以使所述处理器实现网络跟踪系统,所述方法包括:
通过一个或多个第一捕获应用用唯一标识符和主时间戳标记包括一个或多个网络数据的原始分组的一个或多个分组流;
通过所述一个或多个第一捕获应用将一个或多个标记的分组流转发到一个或多个其它捕获应用;以及
通过所述一个或多个其它捕获应用,基于每个标记的分组流的唯一标识符,聚合从所述一个或多个第一捕获应用转发的所述一个或多个标记的分组流。
15.如权利要求14所述的方法,还包括:通过所述一个或多个其它捕获应用基于由所述一个或多个其它捕获应用接收的时间用辅助时间戳标记由所述一个或多个其它捕获应用接收的所述一个或多个标记的分组流。
16.如权利要求15所述的方法,还包括:
通过所述一个或多个其它捕获应用由所述一个或多个第一捕获应用分配的所述主时间戳替换所述辅助时间戳。
17.如权利要求14至16中任一项所述的方法,还包括:
通过每个第一捕获应用将所述唯一标识符与所述特定的第一捕获应用相关联。
18.如权利要求17所述的方法,还包括:
通过每个第一捕获应用在每个唯一分组流被所述特定的第一捕获应用识别的情况下单调地增加所述唯一标识符的数值。
19.如权利要求14至18中任一项所述的方法,还包括:
通过每个第一捕获应用通过分组封装标记所述一个或多个分组流。
20.如权利要求14至19中任一项所述的方法,还包括:
由每个第一捕获应用通过一个或多个固件应用程序接口标记所述一个或多个分组流。
21.一种用于网络跟踪的数据处理系统中的计算机系统,所述数据处理系统包括处理器和包括指令的存储器,所述计算机系统包括:
网络分流器,用于接收包括通过网络发送的一个或多个分组的一个或多个分组流;
流检查器,用于识别所述一个或多个分组流的一个或多个起始分组,以及利用唯一标识符标记所述一个或多个分组流的每个分组;
打时机,用于利用时间戳标记所述一个或多个分组流的每个分组;以及
网络跟踪系统,用于将一个或多个标记的分组转发到连接到所述网络的一个或多个辅助系统。
22.根据权利要求21所述的系统,其中所述打时机还可操作用于基于所述分组流的所述一个或多个起始分组被识别的时间来标记所述时间戳。
23.如权利要求21或22所述的系统,还包括:
所述流检查器还可操作用于将所述唯一标识符与所述网络分流器的标识符相关联。
24.如权利要求23所述的系统,还包括:
所述流检查器还可操作用于在识别出每个唯一分组流的情况下单调地增加所述唯一标识符的数值。
25.根据权利要求21至24中任一项所述的系统,还包括:
所述流检查器还可操作用于通过分组封装标记所述一个或多个分组流。
26.如权利要求21至25中任一项所述的系统,还包括:
流检查器还可操作用于通过一个或多个固件应用程序接口标记所述一个或多个分组流。
27.一种用于网络跟踪的计算机程序产品,所述计算机程序产品包括:
计算机可读存储介质,其可由处理电路读取并存储用于由所述处理电路执行的指令,用于执行根据权利要求1至20中任一项所述的方法。
28.一种存储在计算机可读介质上并且可加载到数字计算机的内部存储器中的计算机程序,所述计算机程序包括软件代码部分,当所述程序在计算机上运行时用于执行权利要求1到20中任一项所述的方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/179,442 US10250511B2 (en) | 2016-06-10 | 2016-06-10 | Persistent flow identifiers enabling disparate applications |
US15/179,442 | 2016-06-10 | ||
PCT/IB2017/053462 WO2017212461A1 (en) | 2016-06-10 | 2017-06-12 | Persistent flow identifiers enabling disparate applications |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109247065A true CN109247065A (zh) | 2019-01-18 |
CN109247065B CN109247065B (zh) | 2021-08-24 |
Family
ID=60573205
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780033582.5A Active CN109247065B (zh) | 2016-06-10 | 2017-06-12 | 启用不同应用的持续流识别器 |
Country Status (6)
Country | Link |
---|---|
US (2) | US10250511B2 (zh) |
JP (1) | JP6945787B2 (zh) |
CN (1) | CN109247065B (zh) |
DE (1) | DE112017000937B4 (zh) |
GB (1) | GB2566226B (zh) |
WO (1) | WO2017212461A1 (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11153175B2 (en) * | 2017-10-16 | 2021-10-19 | International Business Machines Corporation | Latency management by edge analytics in industrial production environments |
US11212259B2 (en) * | 2018-02-09 | 2021-12-28 | Forcepoint Llc | Inspection offload clustering |
KR102023777B1 (ko) * | 2018-05-15 | 2019-09-20 | 엑사비스 주식회사 | 패킷 저장을 수행하는 네트워크 검사 방법 및 이를 수행하는 시스템 |
US11444877B2 (en) * | 2019-03-18 | 2022-09-13 | At&T Intellectual Property I, L.P. | Packet flow identification with reduced decode operations |
DE102020104098A1 (de) * | 2020-02-17 | 2021-08-19 | Hirschmann Automation And Control Gmbh | Netzwerkgerät sowie Verfahren zum Erfassen und Verarbeiten von Paketinformationen mit dem Netzwerkgerät |
WO2021215011A1 (ja) * | 2020-04-24 | 2021-10-28 | 株式会社東陽テクニカ | パケットキャプチャ装置及び方法 |
US11425017B2 (en) * | 2020-05-20 | 2022-08-23 | Verizon Patent And Licensing Inc. | Systems and methods for utilizing a neural network model to perform packet capture data analysis |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101060439A (zh) * | 2007-06-18 | 2007-10-24 | 华为技术有限公司 | 网络管理系统及内部通信方法、网管服务端和网管客户端 |
US20100260204A1 (en) * | 2009-04-08 | 2010-10-14 | Gerald Pepper | Traffic Receiver Using Parallel Capture Engines |
CN102656844A (zh) * | 2009-12-21 | 2012-09-05 | 瑞典爱立信有限公司 | 路由器中的跟踪支持 |
CN102999314A (zh) * | 2011-09-23 | 2013-03-27 | 微软公司 | 立即延迟跟踪器工具 |
US20140029617A1 (en) * | 2012-07-27 | 2014-01-30 | Ren Wang | Packet processing approach to improve performance and energy efficiency for software routers |
CN104537091A (zh) * | 2015-01-06 | 2015-04-22 | 湖南科技大学 | 一种基于层次标识路由的网络化关系数据查询方法 |
Family Cites Families (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2852762B1 (fr) * | 2003-03-19 | 2005-06-17 | Acterna Ipms | Procede d'evaluation de la bande passante d'une liaison numerique |
US8228956B2 (en) | 2005-04-19 | 2012-07-24 | Alcatel Lucent | Time stamp offset in data packet bundling |
US20070189509A1 (en) | 2006-02-13 | 2007-08-16 | Foody Daniel M | Data path identification and analysis for distributed applications |
US7821962B2 (en) * | 2006-06-16 | 2010-10-26 | Ixia | Memory access optimization |
US7813350B2 (en) | 2006-10-23 | 2010-10-12 | Cisco Technology, Inc. | System and method to process data packets in a network using stateful decision trees |
US7787454B1 (en) * | 2007-10-31 | 2010-08-31 | Gigamon Llc. | Creating and/or managing meta-data for data storage devices using a packet switch appliance |
CN100568967C (zh) | 2008-02-01 | 2009-12-09 | 中国传媒大学 | 一种数字电视信号码流特征提取与识别方法及其设备 |
US8457128B2 (en) * | 2009-04-08 | 2013-06-04 | Ixia | Capturing packets with parallel capture engines |
US8140580B2 (en) | 2008-12-12 | 2012-03-20 | Sap Ag | Aggregating persisted operational data in a distributed environment |
CN101854286B (zh) | 2009-04-01 | 2012-09-05 | 北京大学 | 基于用户数据报协议的数据流发送、接收方法及装置 |
US8134927B2 (en) * | 2009-07-31 | 2012-03-13 | Ixia | Apparatus and methods for capturing data packets from a network |
US8457126B2 (en) * | 2009-10-14 | 2013-06-04 | Vss Monitoring, Inc. | System, method and apparatus for distributing captured data packets including tunneling identifiers |
US8767727B2 (en) | 2009-12-02 | 2014-07-01 | Vss Monitoring, Inc. | System, apparatus, and method for modifying captured data packets |
US9755947B2 (en) * | 2010-05-18 | 2017-09-05 | Intel Corporation | Hierarchical self-organizing classification processing in a network switch |
US8520540B1 (en) | 2010-07-30 | 2013-08-27 | Cisco Technology, Inc. | Remote traffic monitoring through a network |
US8635617B2 (en) | 2010-09-30 | 2014-01-21 | Microsoft Corporation | Tracking requests that flow between subsystems using transaction identifiers for generating log data |
US9166384B2 (en) * | 2011-04-28 | 2015-10-20 | Mitsubishi Electric Corporation | Switchgear |
US20130094515A1 (en) * | 2011-08-31 | 2013-04-18 | Nils Gura | Systems, apparatus, and methods for removing duplicate data packets from a traffic flow of captured data packets transmitted via a communication network |
JP5794181B2 (ja) * | 2012-03-15 | 2015-10-14 | 富士通株式会社 | プログラム、分析方法、情報処理装置 |
EP2809033B1 (en) * | 2013-05-30 | 2018-03-21 | Solarflare Communications Inc | Packet capture in a network |
US9191325B2 (en) * | 2013-10-29 | 2015-11-17 | Solana Networks Inc. | Method and system for processing network traffic flow data |
US9178824B2 (en) * | 2013-10-29 | 2015-11-03 | Solana Networks Inc. | Method and system for monitoring and analysis of network traffic flows |
US10909621B2 (en) * | 2013-11-05 | 2021-02-02 | Refinitiv Us Organization Llc | Systems and methods for quantifying temporal fairness on electronic trading venues |
CN103780610A (zh) | 2014-01-16 | 2014-05-07 | 绵阳师范学院 | 基于协议特征的网络数据恢复方法 |
US10334004B2 (en) * | 2014-05-21 | 2019-06-25 | videoNEXT Federal, Inc. | System and method for networked video capture, backup, and serving |
US9800595B2 (en) * | 2015-09-21 | 2017-10-24 | Ixia | Methods, systems, and computer readable media for detecting physical link intrusions |
US10148796B2 (en) * | 2015-10-20 | 2018-12-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Checksum friendly timestamp update |
US10142210B2 (en) * | 2015-11-13 | 2018-11-27 | Gigamon Inc. | In-line tool performance monitoring and adaptive packet routing |
US9942122B2 (en) * | 2016-02-29 | 2018-04-10 | Airmagnet, Inc. | Fast packet retrieval based on flow ID and metadata |
-
2016
- 2016-06-10 US US15/179,442 patent/US10250511B2/en not_active Expired - Fee Related
-
2017
- 2017-06-12 WO PCT/IB2017/053462 patent/WO2017212461A1/en unknown
- 2017-06-12 DE DE112017000937.5T patent/DE112017000937B4/de active Active
- 2017-06-12 JP JP2018560983A patent/JP6945787B2/ja active Active
- 2017-06-12 CN CN201780033582.5A patent/CN109247065B/zh active Active
- 2017-06-12 GB GB1900217.9A patent/GB2566226B/en active Active
-
2018
- 2018-12-03 US US16/207,683 patent/US10693796B2/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101060439A (zh) * | 2007-06-18 | 2007-10-24 | 华为技术有限公司 | 网络管理系统及内部通信方法、网管服务端和网管客户端 |
US20100260204A1 (en) * | 2009-04-08 | 2010-10-14 | Gerald Pepper | Traffic Receiver Using Parallel Capture Engines |
CN102656844A (zh) * | 2009-12-21 | 2012-09-05 | 瑞典爱立信有限公司 | 路由器中的跟踪支持 |
CN102999314A (zh) * | 2011-09-23 | 2013-03-27 | 微软公司 | 立即延迟跟踪器工具 |
US20140029617A1 (en) * | 2012-07-27 | 2014-01-30 | Ren Wang | Packet processing approach to improve performance and energy efficiency for software routers |
CN104537091A (zh) * | 2015-01-06 | 2015-04-22 | 湖南科技大学 | 一种基于层次标识路由的网络化关系数据查询方法 |
Also Published As
Publication number | Publication date |
---|---|
GB2566226A (en) | 2019-03-06 |
US20170359264A1 (en) | 2017-12-14 |
US10693796B2 (en) | 2020-06-23 |
CN109247065B (zh) | 2021-08-24 |
DE112017000937B4 (de) | 2023-03-30 |
JP2019521581A (ja) | 2019-07-25 |
WO2017212461A1 (en) | 2017-12-14 |
US10250511B2 (en) | 2019-04-02 |
GB2566226B (en) | 2019-07-31 |
DE112017000937T5 (de) | 2019-03-14 |
US20190109794A1 (en) | 2019-04-11 |
JP6945787B2 (ja) | 2021-10-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109247065A (zh) | 启用不同应用的持续流识别器 | |
US11128550B2 (en) | Logical network traffic analysis | |
Braun et al. | Software-defined networking using OpenFlow: Protocols, applications and architectural design choices | |
Vlăduţu et al. | Internet traffic classification based on flows' statistical properties with machine learning | |
Alhijawi et al. | A survey on DoS/DDoS mitigation techniques in SDNs: Classification, comparison, solutions, testing tools and datasets | |
CA3073263A1 (en) | System and method for classifying network traffic | |
US9088549B2 (en) | Securing sensitive information in a network cloud | |
CN105099916B (zh) | 开放流路由交换设备及其对数据报文的处理方法 | |
Sanz et al. | SFCPerf: An automatic performance evaluation framework for service function chaining | |
CN111953552B (zh) | 数据流的分类方法和报文转发设备 | |
CN105827629A (zh) | 云计算环境下软件定义安全导流装置及其实现方法 | |
Salman et al. | Data representation for CNN based internet traffic classification: a comparative study | |
Audah et al. | Towards efficient and scalable machine learning-based QoS traffic classification in software-defined network | |
Wang et al. | Honeynet construction based on intrusion detection | |
US11516138B2 (en) | Determining network flow direction | |
US11233703B2 (en) | Extending encrypted traffic analytics with traffic flow data | |
Mankov et al. | Collection of individual packet statistical information in a flow based on P4-switch | |
Mercaldo et al. | Classification of web applications using AiFlow features | |
Zaki et al. | Grano-GT: A granular ground truth collection tool for encrypted browser-based Internet traffic | |
CN106411775B (zh) | 一种互联网流量分类样本标注方法 | |
CN110519413A (zh) | 基于DNS over QUIC的排名统计方法、装置、系统及介质 | |
Niehaus et al. | A Modern ICT Network Simulator for Co-Simulations in Smart Grid Applications | |
Hou et al. | Intelligent system security event description method | |
Fernandes et al. | Internet traffic profiling | |
JP7435744B2 (ja) | 識別方法、識別装置及び識別プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |