CN113630251A - 使用签名后的统一资源定位符进行网络业务监测或存储 - Google Patents

使用签名后的统一资源定位符进行网络业务监测或存储 Download PDF

Info

Publication number
CN113630251A
CN113630251A CN202010836710.3A CN202010836710A CN113630251A CN 113630251 A CN113630251 A CN 113630251A CN 202010836710 A CN202010836710 A CN 202010836710A CN 113630251 A CN113630251 A CN 113630251A
Authority
CN
China
Prior art keywords
traffic
traffic flow
flow
network
signed url
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010836710.3A
Other languages
English (en)
Other versions
CN113630251B (zh
Inventor
S·杰·斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Juniper Networks Inc
Original Assignee
Juniper Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US16/912,930 external-priority patent/US11245599B2/en
Application filed by Juniper Networks Inc filed Critical Juniper Networks Inc
Publication of CN113630251A publication Critical patent/CN113630251A/zh
Application granted granted Critical
Publication of CN113630251B publication Critical patent/CN113630251B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • G06F16/9566URL specific, e.g. using aliases, detecting broken or misspelled links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/108Source integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/80Arrangements enabling lawful interception [LI]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Technology Law (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开的实施例涉及使用签名后的统一资源定位符进行网络业务监测或存储。一种网络监测设备可以从中介设备接收流分接信息,该流分接信息标识业务流特性和与签名后的URL平台相关联的签名后的URL。网络设备可以在流分接过滤器的条目中将业务流特性映射到签名后的URL,流分接过滤器被维持在网络设备的数据结构内。网络设备可以使用流分接过滤器分析网络的网络业务,以检测与业务流特性相关联的业务流。网络设备可以基于检测到网络业务中的业务流,生成与业务流相关联的业务流副本。网络设备可以基于签名后的URL将业务流副本提供给签名后的URL平台,其中业务流副本将经由签名后的URL对经过授权的用户设备可访问。

Description

使用签名后的统一资源定位符进行网络业务监测或存储
相关申请的交叉引用
本申请要求于2020年5月8日提交的名称为“NETWORK TRAFFIC MONITORING ORSTORAGE USING A SIGNED UNIFORM RESOURCE LOCATOR”的印度临时申请第202041019577号的优先权。该申请的全部内容通过引用明确地并入本文。
背景技术
合法拦截包括出于分析和/或证据的目的而按照合法权力从网络设备获得网络业务。这种业务可以包括信令或网络管理信息或通信内容。
发明内容
根据一些实现,一种方法可以包括:由网络的网络设备接收标识业务流特性的流分接(flow-tap)信息和签名后的统一资源定位符(URL),其中该签名后的URL与签名后的URL平台相关联;由网络设备在流分接过滤器的条目中将业务流特性映射到签名后的URL,其中流分接过滤器被维持在网络设备的数据结构内;由网络设备使用流分接过滤器分析网络的网络业务,以检测与业务流特性相关联的业务流;由网络设备基于检测到网络业务中的业务流,生成与该业务流相关联的业务流副本;以及由网络设备基于签名后的URL,将业务流副本提供给签名后的URL平台,其中业务流副本将经由签名后的URL对经过授权的用户设备可访问。
根据一些实现,网络设备可以包括一个或多个存储器和用以执行以下操作的一个或多个处理器:从中介设备接收与业务流特性相关联的签名后的URL,其中该签名后的URL与签名后的URL平台相关联;使用流分接过滤器监测网络的网络业务,以标识与业务流特性相关联的业务流,其中流分接过滤器包括标识签名后的URL和业务流特性的条目;基于标识业务流,处理该业务流以用于该业务流向该业务流的业务流目的地的传输;基于处理业务流,生成该业务流的业务流副本;基于签名后的URL,将业务流的业务流副本提供给签名后的URL平台;以及执行业务流向业务流目的地的传输。
根据一些实现,一种非瞬态计算机可读介质可以存储一个或多个指令。一个或多个指令在由网络设备的一个或多个处理器执行时,可以使一个或多个处理器:使用流分接过滤器监测网络的网络业务,以标识与业务流特性相关联的业务流,其中流分接过滤器包括将业务流特性映射到签名后的URL平台的签名后的URL的条目;基于标识业务流,处理该业务流以用于该业务流向业务流目的地的传输;生成业务流的业务流副本;以及基于签名后的URL,将业务流的业务流副本提供给签名后的URL平台,其中业务流的业务流副本将经由签名后的URL对经过授权的用户设备可访问。
附图说明
图1A至图1E是本文中描述的示例实现的示意图。
图2是本文中描述的系统和/或方法可以被实现的示例环境的示意图。
图3至图4是图2的一个或多个设备的示例组件的示意图。
图5至图7是与使用签名后的统一资源定位符的网络业务监测或存储有关的示例过程的流程图。
具体实施方式
示例实现的以下详细描述参考附图。不同图中的相同附图标记可以标识相同或类似的元件。
合法拦截(LI)是一种用于获得如由司法或行政命令授权的与个体(目标)有关的网络业务并将网络业务提供给执法机构(LEA)(例如警察局、政府机构等)的过程。网络业务可以经由流分接合法地在网络设备(例如路由器、防火墙等)处被拦截。为了执行流分接,网络设备复制或镜像传递通过网络设备的网络业务,将原始网络业务转发给预期目的地,并将复制的网络业务转发给分析复制的网络业务的内容目的地设备(例如,与LEA相关联)。
然而,内容目的地设备可能不可用于接收复制的网络业务(例如,内容目的地设备遇到错误并且无法接收复制的网络业务,内容目的地设备被关闭,内容目的地设备不被连接到网络以接收复制的网络业务等),并且因此复制的网络业务无法被分析。这种情况可能会使与复制的网络业务相关联的欺诈活动、危险活动(例如恐怖活动、有组织的犯罪活动等)等将不被LEA检测到和/或解决。此外,计算资源(例如处理资源、存储器资源等)可能通过使用这种计算资源来标识、调查和/或纠正可以以其他方式被避免的欺诈活动、危险活动等而被浪费。
本文中描述的一些实现提供了一种网络设备(例如监测设备),该网络设备能够执行流分接过程,以将业务流的业务流副本发送给与LEA和/或签名后的URL目的地(例如,在签名后的URL平台内所存储和/或维持的数据结构)相关联的签名后的统一资源定位符(URL)平台而不是内容目的地设备。在一些实现中,中介设备(例如经过授权的分接设备、经过授权的用户设备等)可以向网络设备发送流分接信息,该流分接信息标识业务流特性和与签名后的URL平台和/或签名后的URL目的地相关联的签名后的URL。在一些实现中,网络设备可以在与流分接信息和签名后的URL相关联的流分接过滤器中生成条目。网络设备可以使用流分接过滤器来分析和/或监测网络业务,以标识与流分接过滤器中的条目相匹配或相对应的分组。因此,网络设备可以对与分组相关联的业务流执行流分接过程,以使用签名后的URL将业务流副本发送给签名后的URL平台和/或签名后的URL目的地。一个或多个中介设备可以与签名后的URL平台和/或签名后的URL目的地通信,以分析业务流副本。
以此方式,网络设备可以将业务流副本提供给签名后的URL平台和/或签名后的URL目的地,这提高了要被一个或多个中介设备分析的业务流副本的整体可用性和可靠性。这种情况可能会增加与业务流相关联的欺诈活动、危险活动等将被LEA检测到和/或解决的可能性。此外,计算资源(例如处理资源、存储器资源等)可能通过防止欺诈活动、危险活动等而被节省,其中将以其他方式需要这种计算资源来标识、调查和/或纠正欺诈活动、危险活动等。
图1A至图1E是与使用签名后的URL的网络业务监测相关联的一个或多个示例100的示意图。如图1A至图1E中所示,(多个)示例100包括签名后的URL平台、一个或多个中介设备(也被称为经过授权的分接设备、经过授权的用户设备等)、一个或多个业务源(例如一个或多个起始端点设备)、一个或多个业务目的地(例如一个或多个目的地端点设备)和/或网络设备(也被称为监测设备、网络监测设备等)。如图1A中所示,一个或多个业务源可以将网络业务(例如互联网协议(IP)版本4(IPv4)业务、IP版本6(IPv6业务)等)经由网络设备(例如路由器、交换机等)传输给一个或多个业务目的地。中介设备可以是LEA或其他经过授权的组织的用户设备、客户端设备等,以用于对在一个或多个业务源与一个或多个业务目的地之间被传输的一些或全部网络业务进行监测、分析等。如图1A中所示,签名后的URL平台可以是服务器、云计算系统中的服务器等,并且可以包括签名后的URL目的地(例如,在签名后的URL平台内所存储和/或维持的数据结构)。如图1A中进一步所示,网络设备可以包括流分接过滤器、分组转发引擎、流分接接口、路由模块等(例如,各自被存储和/或维持在网络设备的相应数据结构内)。
如图1B中所示,并且由附图标记110所示,网络设备可以从中介设备接收流分接内容信息。例如,用户(例如LEA代表)可以与中介设备的用户界面进行交互,以使中介设备生成流分接信息并将流分接信息发送给网络设备。流分接信息可以标识至少一个业务流特性和/或签名后的URL。业务流特性可以是业务流的源(例如,与要提供业务流的至少一个业务源相关联的地址、端口等)、业务流的目的地(例如,与要接收业务流的至少一个业务目的地相关联的地址、端口等)、业务流的内容数据(例如,将被网络设备监测和/或分析)等。签名后的URL可以指定签名后的URL平台和/或签名后的URL目的地是流分接目的地。内容数据可以与关键词集合、关键短语集合、单词模式集合等(例如,被配置为通过网络设备触发流分接过程,如本文中所描述)相关联。在一些实现中,中介设备可以基于与流分接相关联的当前和/或先前的调查报告来生成内容数据。
签名后的URL可以被配置为安全地允许一个或多个中介设备对业务流副本(例如,通过本文中所描述的流分接过程被生成)进行经过授权的访问(例如,经由签名后的URL平台和/或签名后的URL目的地)(例如,以允许一个或多个中介设备执行业务流的内容数据的经过授权的分析)。在一些实现中,流分接信息可以标识与签名后的URL平台和/或签名后的URL目的地相关联的协议(诸如超文本传输协议(HTTP))(例如,用于网络设备将业务流副本传输给签名后的URL平台和/或签名后的URL目的地)。
作为示例,流分接信息可以被包括在动态任务控制协议(DTCP)消息(例如DTCPADD消息)中。如图1B中所示,DTCP ADD消息可以包括源地址字段(示出为源-地址),其指示要被监测的业务源的地址(示出为50.50.50.2);源端口字段(示出为源-端口),其指示要被监测的业务源的端口(示出为1000);目的地地址字段(示出为目的地-地址),其指示要被监测的业务目的地的地址(示出为60.60.60.2);以及目的地端口字段(示出为目的地-端口),其指示要被监测的业务目的地的端口(示出为2000);和/或流分接目的地字段(示出为Ftap-目的地),其标识签名后的URL(示出为“签名后的URL”)。因此,DTCP ADD消息可以指示网络设备将针对业务源的地址和端口与业务目的地的地址和端口之间的业务流监测网络业务,并使用签名后的URL将业务流副本发送给签名后的URL平台和/或签名后的URL目的地。
在一些实现中,网络设备可以执行认证过程以确定中介设备是否是经过授权的设备(例如,中介设备是否被授权向网络设备发送流分接信息)。例如,中介设备可以将中介设备的证书发送给网络设备(例如,具有流分接信息或作为单独的数据传输)。网络设备可以基于证书验证中介设备是经过授权的设备。替代地或备选地,网络设备可以将证书发送给处理证书的服务器设备(例如认证服务器设备),以确定证书是被接受还是被拒绝。因此,网络设备可以从服务器设备接收认证接受消息(例如,指示证书被接受)或认证拒绝消息(例如,指示证书被拒绝)。因此,网络设备可以基于接收到认证接受消息来确定中介设备是经过授权的设备,或可以基于接收到认证拒绝消息来确定中介设备不是经过授权的设备。
在一些实现中,当网络设备确定中介设备不是经过授权的设备时,网络设备可以丢弃流分接信息。在一些实现中,如本文中所描述,当网络设备确定中介设备是经过授权的设备时,网络设备可以存储流分接信息和/或基于流分接信息来分析网络业务。
如由附图标记120所示,网络设备可以将一些或全部流分接信息存储在流分接过滤器中。例如,网络设备可以基于流分接信息在流分接过滤器中生成条目(例如,与流分接信息相关联的流分接条目)。如图1B中所示,条目可以包括条目标识符(示出为分接ID)、源字段(示出为源(Src))、目的地字段(示出为目的地(Dest))、内容字段(示出为内容(Content))和流分接目的地字段(在图1B中示出为分接目的地(Tap Dest))。
网络设备可以使条目的源字段标识在流分接信息中所标识的业务流的源(例如,要提供业务流的至少一个业务源的地址、端口等)。当业务流的源未在流分接信息中被标识时,网络设备可以使源字段包括指示条目应用于源自任何业务源的网络业务的“任何”指定(designation)。在一些实现中,网络设备可以使条目的目的地字段标识在流分接信息中所标识的业务流的目的地(例如,要接收业务流的至少一个业务目的地的地址、端口等)。当业务流的目的地未在流分接信息中被标识时,网络设备可以使目的地字段包括指示条目应用于以任何业务目的地为目的地的网络业务的“任何”指定。
在一些实现中,网络设备可以使条目的内容字段包括在流分接信息中所包括的一些或全部内容数据。例如,网络设备可以使内容字段包括内容数据的关键词集合、关键短语集合、单词模式集合等。当流分接信息不包括内容数据时,网络设备可以使内容字段包括指示条目应用于具有任何类型的内容的网络业务的“任何”指定。在一些实现中,网络设备可以使条目的流分接目的地字段标识流分接信息中的签名后的URL(例如,将签名后的URL平台和/或签名后的URL目的地指定为流分接目的地)和/或标识与签名后的URL平台和/或签名后的URL目的地相关联的协议(例如,用于网络设备与签名后的URL平台和/或签名后的URL目的地通信)。当流分接目的地信息中不被包括在流分接内容信息中时,网络设备可以使流分接目的地字段包括默认的签名后的URL。以此方式,网络设备可以在流分接过滤器的条目中将流分接信息的业务流特性(例如业务流的源、业务流的目的地、业务流的内容数据等)映射到签名后的URL。
如图1B中所示,流分接过滤器可以包括一个或多个条目(示出有Tap_ID Tap_1至Tap_n,其中n大于或等于1)。例如,第一条目(示出为Tap_1)包括指示“Src_1”业务源的源字段、指示“Dest_1”业务目的地的目的地字段、指示“Content_1”内容的内容字段和指示“签名后的URL_1”签名后的URL的分接目的地字段。作为另一示例,第二条目(示出为Tap_2)包括指示“任何”业务源(例如,指示条目应用于源自任何业务源的网络业务)的源字段、指示“Dest_2”业务目的地的目的地字段、指示“Content_2”内容的内容字段和指示“签名后的URL_2”签名后的URL的分接目的地字段。
在一些实现中,网络设备可以从一个或多个业务源接收以一个或多个业务目的地为目的地的网络业务。如图1C中所示,并且由附图标记130所示,网络设备可以使用流分接过滤器监测和/或分析网络业务。例如,网络设备可以分析网络业务的分组,如图1C中所示,该分组可以包括指示源地址“SrcAdd_1”的信息(例如,在分组的源字段中)、目的地地址“DestAdd_1”(例如,在分组的目的地字段中)和/或分组内容“PacketContent_1”(例如,在分组的有效负载字段中)。
在一些实现中,网络设备可以确定(例如,使用深度分组检查(DPI))分组是否与流分接过滤器中的条目相匹配或相对应(例如,分组的至少一个字段包括与条目的至少一个对应字段相同或类似的信息)。网络设备可以执行查找操作,该查找操作涉及针对与分组相匹配或相对应的条目扫描流分接过滤器。例如,网络设备可以(例如,使用DPI)比较分组的一个或多个字段和流分接过滤器的一个或多个条目中的一个或多个相应字段。网络设备可以标识条目,该条目指示与分组相同或类似的源地址、与分组相同或类似的目的地地址和/或分组的相同或类似的内容。例如,如图1C中所示,流分接过滤器的第一条目(示出为Tap_1)包括:源字段,其指示与由分组的源字段所指示的“SrcAdd_1”业务源相同或类似的“Src_1”业务源;目的地字段,其指示与由分组的目的地字段所指示的“DestAdd_1”业务目的地相同或类似的“Dest_1”业务目的地;以及内容字段,其指示与由分组的内容字段所指示的“PacketContent_1”内容相同或类似的“Content_1”(例如内容字段的关键词集合、关键短语集合、单词模式集合等与分组的内容字段的内容相对应或相匹配)。
在一些实现中,网络设备可以基于分组的源地址字段和目的地地址字段来标识与分组相关联的特定业务源(在图1C中示出为业务源1)和特定业务目的地(在图1C中示出为业务目的地1)。如由附图标记140所示,网络设备可以检测(例如,基于确定分组与流分接过滤器中的条目相匹配或相对应)业务流,该业务流包括分组和/或从特定业务源被传输给特定第二业务源的网络业务的一个或多个附加分组。例如,业务流可以包括在网络设备确定分组与流分接过滤器中的条目相匹配或相对应之后从特定业务源被传输给特定业务目的地的特定数量的分组(例如,在该分组之后,接下来的100个附加分组、接下来的1,000个附加分组、接下来的10,000个附加分组等)。作为另一示例,业务流可以包括在网络设备确定分组与流分接过滤器中的条目相匹配或相对应之后的时间段期间(例如,在网络设备确定分组与流分接过滤器中的条目相匹配或相对应之后,达到1秒、10秒、20秒等)从特定业务源被传输给特定业务目的地的任何数量的分组。
在一些实现中,网络设备可以基于确定分组与流分接过滤器中的条目相匹配或相对应和/或检测到业务流,通知中介设备分组和/或业务流被标识。例如,传输网络设备可以将指示分组和/或业务流与条目相匹配或相对应的消息发送给由流分接过滤器中的条目所指示的(例如,中介设备和/或一个或多个其他中介设备的)流分接目的地地址。在一些实现中,网络设备可以从中介设备(或另一中介设备)接收响应,该响应指示网络设备要对业务流执行流分接过程(例如,以将业务流副本提供给签名后的URL平台和/或签名后的URL目的地)。因此,网络设备可以如本文中关于图1D所描述处理业务流。附加地或备选地,网络设备可以从中介设备(或另一中介设备)接收指示网络设备将不对业务流执行流分接过程的响应。因此,网络设备可以使用典型的路由过程来路由传送业务流。
如图1D中所示,并且由附图标记150所表示,网络设备(例如,使用网络设备的分组转发引擎)可以处理业务流。在一些实现中,网络设备可以处理业务流以生成与业务流相对应的业务流副本。例如,网络设备可以复制业务流的每个分组以生成业务流副本。基于与业务流相关联的流分接过滤器的条目,网络设备可以在业务流副本中包括来自条目的流分接目的地字段的签名后的URL(例如,网络设备可以用签名后的URL封装业务流副本的每个分组)。作为另一示例,网络设备可以(例如,从包括业务流的分组的相应有效负载字段中)提取业务流的有效负载数据(例如内容数据),并生成包括所提取的有效负载数据以生成业务流副本的新分组。业务流副本的每个新分组可以包括来自条目的流分接目的地字段的签名后的URL。
附加地或备选地,网络设备可以处理业务流,以将业务流传输给与业务流相关联的业务目的地(例如,如同网络设备没有执行流分接过程一样)。例如,网络设备可以生成和/或修改业务流的路由数据,以指示网络设备接收到业务流和/或将业务流路由传送到与业务流相关联的业务目的地。网络设备可以在业务流的每个分组中包括路由数据(例如,网络设备可以将业务流的每个分组与路由数据一起封装)。
如由附图标记160所示,网络设备(例如,使用网络设备的流分接接口)可以将业务流副本发送给签名后的URL平台和/或签名后的URL目的地。例如,网络设备可以基于被包括在业务流副本的分组中的签名后的URL,将业务流副本发送给签名后的URL平台和/或签名后的URL目的地。附加地或备选地,网络设备可以标识签名后的URL平台和/或签名后的URL目的地的通信协议(例如HTTP协议、IP协议、DTCP协议等)(例如,以用于从网络设备接收业务流副本)。例如,网络设备可以在流分接过滤器的条目的流分接目的地字段中标识通信协议。因此,网络设备可以根据通信协议将业务流副本发送给签名后的URL平台和/或签名后的URL目的地。例如,当通信协议是HTTP时,网络设备可以使用PUT命令或POST命令将业务流副本发送给签名后的URL平台和/或签名后的URL目的地。
在一些实现中,签名后的URL平台可以从网络设备接收业务流副本,并且可以使业务流副本被存储在签名后的URL目的地中(例如,以允许业务流副本对如本文中所描述的一个或多个中介设备可访问)。附加地或备选地,签名后的URL目的地可以直接从网络设备接收业务流副本并且可以存储业务流副本。
如由附图标记170所示,网络设备(例如,使用网络设备的路由模块)可以将业务流路由传送到与业务流相关联的业务目的地。网络设备可以将业务流路由传送到业务目的地,而没有对业务目的地指示流分接过程发生的任何指示(例如,没有通知业务流目的地业务流副本被生成)。
如图1E中所示,并且由附图标记180所示,一个或多个中介设备中的中介设备可以与签名后的URL平台和/或签名后的URL目的地通信以访问业务流副本。例如,中介设备可以使用签名后的URL访问签名后的URL平台和/或签名后的URL目的地以获得业务流副本。在一些实现中,网络设备可以向中介设备提供业务流副本已经被提供给签名后的URL平台的通知。因此,中介设备可以与签名后的URL平台通信,以从签名后的URL目的地获得业务流副本。
在一些实现中,中介设备可以处理业务流副本,以确定上下文分析(例如,确定业务流副本是否与欺诈活动、危险活动等相关联)。中介设备可以(例如,从包括业务流副本的分组的相应有效负载字段)提取业务流副本的有效负载数据,并分析有效负载数据(例如,使用自然语言处理)以确定业务流是否与欺诈活动、危险活动等相关联。
如上文所指示,图1A至图1E被提供为示例。其他示例可以与关于图1A至图1E所描述的示例不同。图1A至图1E中所示的设备的数量和布置被提供为示例。实际上,与图1A至图1E中所示的设备相比,可以存在附加设备、更少设备、不同的设备或不同地布置的设备。此外,图1A至图1E中所示的两个或更多个设备可以被实现在单个设备内,或图1A至图1E中所示的单个设备可以被实现为多个分布式设备。附加地或备选地,图1A至图1E中所示的设备集合(例如一个或多个设备)可以执行被描述为由图1A至图1E中所示的另一设备集合执行的一个或多个功能。
图2是本文中描述的系统和/或方法可以被实现的示例环境200的示意图。如图2中所示,环境200可以包括一个或多个端点设备210、一个或多个网络设备220、网络230、中介设备240、签名后的URL平台250和/或数据结构260。环境200的设备可以经由有线连接、无线连接或有线和无线连接的组合来互连。
端点设备210包括能够接收、生成、存储、处理和/或提供信息(诸如本文中所描述的信息)的一个或多个设备。例如,端点设备210可以包括移动电话(例如智能电话、无线电话等)、膝上型计算机、平板计算机、台式计算机、手持式计算机、游戏设备、可穿戴式通信设备(例如智能手表、一副智能眼镜、心率监测器、健身追踪器、智能服装、智能珠宝、头戴式显示器等)、网络设备或类似类型的设备。在一些实现中,端点设备210可以经由网络230从其他端点设备210接收网络业务和/或可以向其他端点设备210提供网络业务(例如,通过使用网络设备220作为中介物来路由传送分组)。
网络设备220包括能够以本文中所描述的方式接收、处理、存储、路由传送和/或提供业务(例如分组、其他信息或元数据等)的一个或多个设备。例如,网络设备220可以包括路由器,诸如标签交换路由器(LSR)、标签边缘路由器(LER)、入口路由器、出口路由器、提供者路由器(例如提供者边缘路由器、提供者核心路由器等)、虚拟路由器等。附加地或备选地,网络设备220可以包括网关、交换机、防火墙、集线器、桥接器、反向代理、服务器(例如代理服务器、云服务器、数据中心服务器等)、负载平衡器和/或类似设备。在一些实现中,网络设备220可以是被实现在外壳(诸如机架)内的物理设备。在一些实现中,网络设备220可以是被云计算环境或数据中心的一个或多个计算机设备实现的虚拟设备。在一些实现中,一组网络设备220可以是用于通过网络230路由传送业务流的一组数据中心节点。
网络230包括一个或多个有线和/或无线网络。例如,网络230可以包括分组交换网络、蜂窝网络(例如第五代(5G)网络、第四代(4G)网络(诸如长期演进(LTE)网络)、第三代(3G)网络、码分多址(CDMA)网络、公共陆地移动网络(PLMN)、局域网(LAN)、广域网(WAN)、城域网(MAN)、电话网络(例如公共交换电话网络(PSTN))、专用网络、自组网、内联网、互联网、基于光纤的网络、云计算网络等,和/或这些或其他类型的网络的组合。
中介设备240包括能够接收、生成、存储、处理和/或提供信息(诸如本文中所描述的信息)的一个或多个设备。中介设备240可以包括通信设备和/或计算设备。例如,中介设备240可以包括无线通信设备、用户装备(UE)、移动电话(例如智能电话或蜂窝电话,在其他示例中)、膝上型计算机、平板计算机、手持式计算机、台式计算机或类似类型的设备。中介设备240可以与一个或多个执法机构(例如警察局、政府机构等)相关联,并且可以被执法机构用来指定网络230的将出于分析和/或证据的目的而被监测的特定网络业务。中介设备240可以与环境2的一个或多个其他设备通信,如本文中其他地方所描述。
签名后的URL平台250包括能够接收、生成、存储、处理、提供和/或路由传送信息(诸如本文中所描述的信息)的一个或多个设备。签名后的URL平台250可以包括通信设备和/或计算设备。例如,签名后的URL平台250可以包括服务器、应用服务器、客户端服务器、web服务器、数据库服务器、主机服务器、代理服务器、虚拟服务器(例如,在计算硬件上执行)、云计算系统中的服务器、包括在云计算环境中所使用的计算硬件的设备或类似类型的设备。在一些实现中,签名后的URL平台250可以包括数据结构260。签名后的URL平台250可以与环境200的一个或多个其他设备通信,如本文中其他地方所描述。
数据结构260包括一个或多个数据结构,其被配置为存储如本文中所描述的数据。例如,数据结构260可以包括列表、表、索引、数据库、图表等。数据结构260可以包括永久存储器和/或只读存储器。
图2中所示的设备和网络的数量和布置被提供为示例。实际上,与图2中所示的设备和/或网络相比,可能存在附加设备和/或网络、更少设备和/或网络、不同的设备和/或网络或不同地布置的设备和/或网络。此外,图2中所示的两个或更多个设备可以被实现在单个设备内,或图2中所示的单个设备可以被实现为多个分布式设备。附加地或备选地,环境200的设备集合(例如一个或多个设备)可以执行被描述为由环境200的另一设备集合执行的一个或多个功能。
图3是设备300的示例组件的示意图。设备300可以与端点设备210、网络设备220、中介设备240、签名后的URL平台250和/或数据结构260相对应。在一些实现中,端点设备210、网络设备220、中介设备240、签名后的URL平台250和/或数据结构260可以包括一个或多个设备300和/或设备300的一个或多个组件。如图3中所示,设备300可以包括总线310、处理器320、存储器330、存储组件340、输入组件350、输出组件360和通信接口370。
总线310包括允许在设备300的组件当中通信的组件。处理器320被实现在硬件、固件或硬件和软件的组合中。处理器320是中央处理单元(CPU)、图形处理单元(GPU)、加速处理单元(APU)、微处理器、微控制器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)或另一类型的处理组件。在一些实现中,处理器320包括能够被编程以执行功能的一个或多个处理器。存储器330包括存储信息和/或指令以供处理器320使用的随机存取存储器(RAM)、只读存储器(ROM)和/或另一类型的动态或静态存储设备(例如闪速存储器、磁存储器和/或光学存储器)。
存储组件340存储与设备300的操作和使用有关的信息和/或软件。例如,存储组件340可以包括硬盘(例如磁盘、光盘、磁光盘和/或固态盘)、压缩光盘(CD)、数字通用光盘(DVD)、软盘、磁带盒、磁带和/或另一类型的非瞬态计算机可读介质以及对应驱动器。
输入组件350包括允许设备300诸如经由用户输入端(例如触摸屏显示器、键盘、小键盘、鼠标、按钮、开关和/或麦克风)接收信息的组件。附加地或备选地,输入组件350可以包括用于感测信息的传感器(例如全球定位系统(GPS)组件、加速度计、陀螺仪和/或致动器)。输出组件360包括提供来自设备300的输出信息的组件(例如显示器、扬声器和/或一个或多个LED)。
通信接口370包括类收发器组件(例如收发器和/或单独的接收器和传输器),该类收发器组件使设备300能够(诸如经由有线连接、无线连接或有线和无线连接的组合)与其他设备通信。通信接口370可以允许设备300从另一设备接收信息和/或向另一设备提供信息。例如,通信接口370可以包括以太网接口、光学接口、同轴接口、红外接口、RF接口、通用串行总线(USB)接口、无线局域网接口、蜂窝网络接口等。
设备300可以执行本文中所描述的一个或多个过程。设备300可以基于处理器320执行由非瞬态计算机可读介质(诸如存储器330和/或存储组件340)所存储的软件指令来执行这些过程。计算机可读介质在本文中被定义为非瞬态存储器设备。存储器设备包括单个物理存储设备内的存储器空间或被分布在多个物理存储设备上的存储器空间。
软件指令可以经由通信接口370从另一计算机可读介质或另一设备被读入存储器330和/或存储组件340中。当被执行时,被存储在存储器330和/或存储组件340中的软件指令可以使处理器320执行本文中所描述的一个或多个过程。附加地或备选地,硬接线电路装置可以代替软件指令或与软件指令结合被使用,以执行本文中所描述的一个或多个过程。因此,本文中所描述的实现不被限于硬件电路装置和软件的任何特定组合。
图3中所示的组件的数量和布置被提供为示例。实际上,与图3中所示的组件相比,设备300可以包括附加组件、更少组件、不同组件或不同地布置的组件。附加地或备选地,设备300的组件集合(例如一个或多个组件)可以执行被描述为由设备300的另一组件集合执行的一个或多个功能。
图4是设备400的示例组件的示意图。设备400可以与端点设备210、网络设备220、中介设备240、签名后的URL平台250和/或数据结构260相对应。在一些实现中,端点设备210、网络设备220、中介设备240、签名后的URL平台250和/或数据结构260可以包括一个或多个设备400和/或设备400的一个或多个组件。如图4中所示,设备400可以包括一个或多个输入组件410-1至410-B(B≥1)(在下文中被统称为输入组件410,并单独被称为输入组件410)、交换组件420、一个或多个输出组件430-1至430-C(C≥1)(在下文中被统称为输出组件430,并单独被称为输出组件430)和控制器440。
输入组件410可以是用于物理链路的一个或多个附接点,并且可以是用于传入业务的一个或多个入口点,诸如分组。输入组件410可以诸如通过执行数据链路层封装或解封装来处理传入业务。在一些实现中,输入组件410可以传输和/或接收分组。在一些实现中,输入组件410可以包括输入线卡,该输入线卡包括一个或多个分组处理组件(例如,呈集成电路的形式),诸如一个或多个接口卡(IFC)、分组转发组件、线卡控制器组件、输入端口、处理器、存储器和/或输入队列。在一些实现中,设备400可以包括一个或多个输入组件410。
交换组件420可以将输入组件410与输出组件430互连。在一些实现中,交换组件420可以经由一个或多个交叉开关、经由总线和/或用共享存储器被实现。共享存储器可以充当临时缓冲区,以在分组被最终调度成递送给输出组件430之前,存储来自输入组件410的分组。在一些实现中,交换组件420可以使输入组件410、输出组件430和/或控制器440能够彼此通信。
输出组件430可以存储分组并且可以调度分组以用于在输出物理链路上传输。输出组件430可以支持数据链路层封装或解封装和/或各种更高级别的协议。在一些实现中,输出组件430可以传输分组和/或接收分组。在一些实现中,输出组件430可以包括输出线卡,该输出线卡包括一个或多个分组处理组件(例如,呈集成电路的形式),诸如一个或多个IFC、分组转发组件、线卡控制器组件、输出端口、处理器、存储器和/或输出队列。在一些实现中,设备400可以包括一个或多个输出组件430。在一些实现中,输入组件410和输出组件430可以被相同组件集合实现(例如,并且输入/输出组件可以是输入组件410和输出组件430的组合)。
控制器440包括呈例如CPU、GPU、APU、微处理器、微控制器、DSP、FPGA、ASIC和/或另一类型的处理器形式的处理器。处理器被实现在硬件、固件或硬件和软件的组合中。在一些实现中,控制器440可以包括可以被编程以执行功能的一个或多个处理器。
在一些实现中,控制器440可以包括存储信息和/或指令以供控制器440使用的RAM、ROM和/或另一类型的动态或静态存储设备(例如闪速存储器、磁存储器和/或光学存储器)。
在一些实现中,控制器440可以与被连接到设备400的其他设备、网络和/或系统通信,以交换关于网络拓扑的信息。控制器440可以基于网络拓扑信息创建路由表,可以基于路由表创建转发表,并且可以将转发表转发给输入组件410和/或输出组件430。输入组件410和/或输出组件430可以使用转发表对传入和/或传出分组执行路由查找。
控制器440可以执行本文中所描述的一个或多个过程。控制器440可以响应于执行由非瞬态计算机可读介质所存储的软件指令来执行这些过程。计算机可读介质在本文中被定义为非瞬态存储器设备。存储器设备包括单个物理存储设备内的存储器空间或被分布在多个物理存储设备上的存储器空间。
软件指令可以经由通信接口从另一计算机可读介质或另一设备被读入与控制器440相关联的存储器和/或存储组件中。当被执行时,被存储在与控制器440相关联的存储器和/或存储组件中的软件指令可以使控制器440执行本文中所描述的一个或多个过程。附加地或备选地,硬接线电路装置可以代替软件指令或与软件指令结合被使用,以执行本文中所描述的一个或多个过程。因此,本文中所描述的实现不被限于硬件电路装置和软件的任何特定组合。
图4中所示的组件的数量和布置被提供为示例。实际上,与图4中所示的组件相比,设备400可以包括附加组件、更少组件、不同组件或不同地布置的组件。附加地或备选地,设备400的组件集合(例如一个或多个组件)可以执行被描述为由设备400的另一组件集合执行的一个或多个功能。
图5是与使用签名后的URL的网络业务监测或存储相关联的示例过程500的流程图。在一些实现中,图5的一个或多个过程框可以被网络设备(例如网络设备220)执行。在一些实现中,图5的一个或多个过程框可以被与网络设备分开或包括网络设备的另一设备或一组设备(诸如端点设备(例如端点设备210)、中介设备(例如中介设备240)、平台(例如签名后的URL平台250)等)执行。
如图5中所示,过程500可以包括接收标识业务流特性和签名后的URL的流分接信息,其中签名后的URL与签名后的URL平台相关联(框510)。例如,网络设备(例如,使用处理器320、存储器330、存储组件340、输入组件350、输出组件360、通信接口370、输入组件410、交换组件420、输出组件430、控制器440等)可以接收标识业务流特性和签名后的URL的流分接信息,如上文所描述。在一些实现中,签名后的URL与签名后的URL平台相关联。
如图5中进一步所示,过程500可以包括:在流分接过滤器的条目中将业务流特性映射到签名后的URL,其中流分接过滤器被维持在网络设备的数据结构内(框520)。例如,网络设备(例如,使用处理器320、存储器330、存储组件340、输入组件350、输出组件360、通信接口370、输入组件410、交换组件420、输出组件430、控制器440等)可以在流分接过滤器的条目中将业务流特性映射到签名后的URL,如上文所描述。在一些实现中,流分接过滤器被维持在网络设备的数据结构内。
如图5中进一步所示,过程500可以包括:使用流分接过滤器来分析网络的网络业务以检测与业务流特性相关联的业务流(框530)。例如,网络设备(例如,使用处理器320、存储器330、存储组件340、输入组件350、输出组件360、通信接口370、输入组件410、交换组件420、输出组件430、控制器440等)可以使用流分接过滤器来分析网络的网络业务以检测与业务流特性相关联的业务流,如上文所描述。
如图5中进一步所示,过程500可以包括:基于检测到网络业务中的业务流来生成与业务流相关联的业务流副本(框540)。例如,网络设备(例如,使用处理器320、存储器330、存储组件340、输入组件350、输出组件360、通信接口370、输入组件410、交换组件420、输出组件430、控制器440等)可以基于检测到网络业务中的业务流来生成与业务流相关联的业务流副本,如上文所描述。
如图5中进一步所示,过程500可以包括:基于签名后的URL将业务流副本提供给签名后的URL平台,其中业务流副本将经由签名后的URL对经过授权的用户设备可访问(框550)。例如,网络设备(例如,使用处理器320、存储器330、存储组件340、输入组件350、输出组件360、通信接口370、输入组件410、交换组件420、输出组件430、控制器440等)可以基于签名后的URL将业务流副本提供给签名后的URL平台,如上文所描述。在一些实现中,业务流副本将经由签名后的URL对经过授权的用户设备可访问。
过程500可以包括附加实现,诸如下文和/或结合本文中其他地方所描述的一个或多个其他过程所描述的任何单个实现或实现的任何组合。
在第一实现中,接收流分接信息包括:从经过授权的用户设备接收流分接信息,并且基于认证过程,验证经过授权的用户设备被授权利用流分接过滤器和签名后的URL,其中网络业务基于验证经过授权的用户设备被授权利用流分接过滤器和签名后的URL而被分析。
在第二实现中,单独地或结合第一实现,签名后的URL被配置为安全地允许对业务流副本的经过授权的访问,以使得能够对业务流的内容数据进行经过授权的分析。
在第三实现中,单独地或结合第一和第二实现中的一个或多个,生成业务流副本包括复制业务流的业务数据,从业务数据中提取内容数据,并且生成与业务流相关联的业务流副本以包括签名后的URL和内容数据。
在第四实现中,单独地或结合第一至第三实现中的一个或多个,将业务流的业务流副本提供给签名后的URL平台包括确定签名后的URL平台的协议,并根据协议和签名后的URL,将业务流副本提供给签名后的URL平台。
在第五实现中,单独地或结合第一至第四实现中的一个或多个,流分接信息标识与签名后的URL平台相关联的协议,其中标识协议的信息被包括在流分接过滤器的条目中,并且其中业务流副本根据协议被提供给签名后的URL平台。
在第六实现中,单独地或结合第一至第五实现中的一个或多个,过程500包括将业务流转发给在业务流中被标识的业务流目的地。
尽管图5示出了过程500的示例框,但是在一些实现中,与图5中所描绘的框相比,过程500可以包括附加框、更少框、不同框或不同地布置的框。附加地或备选地,过程500的两个或更多个框可以被并行执行。
图6是与使用签名后的URL的网络业务监测或存储相关联的示例过程600的流程图。在一些实现中,图6的一个或多个过程框可以被网络设备(例如网络设备220)执行。在一些实现中,图6的一个或多个过程框可以被与网络设备分开或包括网络设备的另一设备或一组设备(诸如端点设备(例如端点设备210)、中介设备(例如中介设备240)、平台(例如签名后的URL平台250)等)执行。
如图6中所示,过程600可以包括从中介设备接收与业务流特性相关联的签名后的URL,其中签名后的URL与签名后的URL平台相关联(框610)。例如,网络设备(例如,使用处理器320、存储器330、存储组件340、输入组件350、输出组件360、通信接口370、输入组件410、交换组件420、输出组件430、控制器440等)可以从中介设备接收与业务流特性相关联的签名后的URL,如上文所描述。在一些实现中,签名后的URL与签名后的URL平台相关联。
如图6中进一步所示,过程600可以包括使用流分接过滤器来监测网络的网络业务以标识与业务流特性相关联的业务流,其中流分接过滤器包括标识签名后的URL和业务流特性的条目(框620)。例如,网络设备(例如,使用处理器320、存储器330、存储组件340、输入组件350、输出组件360、通信接口370、输入组件410、交换组件420、输出组件430、控制器440等)可以使用流分接过滤器来监测网络的网络业务以标识与业务流特性相关联的业务流,如上文所描述。在一些实现中,流分接过滤器包括标识签名后的URL和业务流特性的条目。
如图6中进一步所示,过程600可以包括基于标识业务流,处理业务流以用于业务流向业务流的业务流目的地的传输(框630)。例如,网络设备(例如,使用处理器320、存储器330、存储组件340、输入组件350、输出组件360、通信接口370、输入组件410、交换组件420、输出组件430、控制器440等)可以基于标识业务流来处理业务流以用于业务流向业务流的业务流目的地的传输,如上文所描述。
如图6中进一步所示,过程600可以包括基于处理业务流,生成业务流的业务流副本(框640)。例如,网络设备(例如,使用处理器320、存储器330、存储组件340、输入组件350、输出组件360、通信接口370、输入组件410、交换组件420、输出组件430、控制器440等)可以基于处理业务流来生成业务流的业务流副本,如上文所描述。
如图6中进一步所示,过程600可以包括基于签名后的URL将业务流的业务流副本提供给签名后的URL平台(框650)。例如,网络设备(例如,使用处理器320、存储器330、存储组件340、输入组件350、输出组件360、通信接口370、输入组件410、交换组件420、输出组件430、控制器440等)可以基于签名后的URL将业务流的业务流副本提供给签名后的URL平台,如上文所描述。
如图6中进一步所示,过程600可以包括执行业务流向业务流目的地的传输(框660)。例如,网络设备(例如,使用处理器320、存储器330、存储组件340、输入组件350、输出组件360、通信接口370、输入组件410、交换组件420、输出组件430、控制器440等)可以执行业务流向业务流目的地的传输,如上文所描述。
过程600可以包括附加实现,诸如下文和/或结合本文中其他地方所描述的一个或多个其他过程所描述的任何单个实现或实现的任何组合。
在第一实现中,过程600包括:在监测网络业务之前并基于中介设备的证书,验证中介设备被授权利用流分接过滤器,其中网络业务基于验证中介设备被授权利用流分接过滤器而被监测。
在第二实现中,单独地或结合第一实现,过程600包括:在监测网络业务之前,将签名后的URL映射到流分接过滤器的条目中的业务流特性并且基于条目标识业务流。
在第三实现中,单独地或结合第一和第二实现中的一个或多个,处理业务流包括基于业务流的结构提取业务流的内容数据,其中业务流副本被生成以包括内容数据;以及生成路由数据以用于业务流向业务流目的地的传输,其中业务流目的地与在业务流中被标识的目的地地址相关联。
在第四实现中,单独地或结合第一至第三实现中的一个或多个,处理网络业务包括根据网络设备的路由配置来修改业务流的路由数据,并且执行传输包括根据路由数据传输业务流,以经由传输将业务流路由传送到业务流目的地。
在第五实现中,单独地或结合第一至第四实现中的一个或多个,将业务流的业务流副本提供给签名后的URL平台包括提取网络业务的内容数据,生成与内容数据相关联的业务流数据,其中业务流数据基于签名后的URL平台的协议而被配置,并根据协议将业务流数据提供给签名后的URL平台。
在第六实现中,单独地或结合第一至第五实现中的一个或多个,协议是HTTP,并且将业务流数据提供给签名后的URL平台包括使用PUT命令或POST命令提供业务流数据。
尽管图6示出了过程600的示例框,但是在一些实现中,与图6中所描绘的框相比,过程600可以包括附加框、更少框、不同框或不同地布置的框。附加地或备选地,过程600的两个或更多个框可以被并行执行。
图7是与使用签名后的URL的网络业务监测或存储相关联的示例过程700的流程图。在一些实现中,图7的一个或多个过程框可以被网络设备(例如网络设备220)执行。在一些实现中,图7的一个或多个过程框可以被与网络设备分开或包括网络设备的另一设备或一组设备(诸如端点设备(例如端点设备210)、中介设备(例如中介设备240)、平台(例如签名后的URL平台250)等)执行。
如图7中所示,过程700可以包括使用流分接过滤器来监测网络的网络业务以标识与业务流特性相关联的业务流,其中流分接过滤器包括将业务流特性映射到签名后的URL平台的签名后的URL的条目(框710)。例如,网络设备(例如,使用处理器320、存储器330、存储组件340、输入组件350、输出组件360、通信接口370、输入组件410、交换组件420、输出组件430、控制器440等)可以使用流分接过滤器来监测网络的网络业务,以标识与业务流特性相关联的业务流,如上文所描述。在一些实现中,流分接过滤器包括将业务流特性映射到签名后的URL平台的签名后的URL的条目。
如图7中进一步所示,过程700可以包括基于标识业务流,处理业务流以用于业务流向业务流目的地的传输(框720)。例如,网络设备(例如,使用处理器320、存储器330、存储组件340、输入组件350、输出组件360、通信接口370、输入组件410、交换组件420、输出组件430、控制器440等)可以基于标识业务流来处理业务流以用于业务流向业务流目的地的传输,如上文所描述。
如图7中进一步所示,过程700可以包括生成业务流的业务流副本(框730)。例如,网络设备(例如,使用处理器320、存储器330、存储组件340、输入组件350、输出组件360、通信接口370、输入组件410、交换组件420、输出组件430、控制器440等)可以生成业务流的业务流副本,如上文所描述。
如图7中进一步所示,过程700可以包括基于签名后的URL将业务流的业务流副本提供给签名后的URL平台,其中业务流的业务流副本将经由签名后的URL对经过授权的用户设备可访问(框740)。例如,网络设备(例如,使用处理器320、存储器330、存储组件340、输入组件350、输出组件360、通信接口370、输入组件410、交换组件420、输出组件430、控制器440等)可以基于签名后的URL将业务流的业务流副本提供给签名后的URL平台,如上文所描述。在一些实现中,业务流的业务流副本将经由签名后的URL对经过授权的用户设备可访问。
过程700可以包括附加实现,诸如下文和/或结合本文中其他地方所描述的一个或多个其他过程所描述的任何单个实现或实现的任何组合。
在第一实现中,业务流特性包括业务流的源地址或业务流的目的地地址中的至少一个。
在第二实现中,单独地或结合第一实现,签名后的URL从经过授权的用户设备被接收,并且过程700包括在监测网络业务之前基于从经过授权的用户设备接收到签名后的URL而生成条目。
在第三实现中,单独地或结合第一和第二实现中的一个或多个,签名后的URL被配置为由多个经过授权的用户设备安全地允许对业务流的业务流副本的经过授权的访问,并且经过授权的用户设备是多个经过授权的用户设备中的一个。
在第四实现中,单独地或结合第一至第三实现中的一个或多个,将业务流的业务流副本提供给签名后的URL平台包括至少使用PUT命令或POST命令中的至少一个提供业务流的业务流副本。
在第五实现中,单独地或结合第一至第四实现中的一个或多个,过程700包括:向经过授权的用户设备提供业务流的业务流副本已被提供给签名后的URL平台的通知,或将业务流传输给业务流目的地。
尽管图7示出了过程700的示例框,但是在一些实现中,与图7中所描绘的框相比,过程700可以包括附加框、更少框、不同框或不同地布置的框。附加地或备选地,过程700的两个或更多个框可以被并行执行。
根据本公开的实现,提供了以下示例。
示例1.一种方法,包括:由网络的网络设备接收标识业务流特性的流分接信息和签名后的统一资源定位符(URL),其中签名后的URL与签名后的URL平台相关联;由网络设备在流分接过滤器的条目中将业务流特性映射到签名后的URL,其中流分接过滤器被维持在网络设备的数据结构内;由网络设备使用流分接过滤器分析网络的网络业务,以检测与业务流特性相关联的业务流;由网络设备基于检测到网络业务中的业务流,生成与业务流相关联的业务流副本;以及由网络设备基于签名后的URL,将业务流副本提供给签名后的URL平台,其中业务流副本将经由签名后的URL对经过授权的用户设备可访问。
示例2.根据示例1的方法,其中接收流分接信息包括:从经过授权的用户设备接收流分接信息;以及基于认证过程,验证经过授权的用户设备被授权利用流分接过滤器和签名后的URL,其中网络业务基于验证经过授权的用户设备被授权利用流分接过滤器和签名后的URL而被分析。
示例3.根据示例1的方法,其中签名后的URL被配置为安全地允许对业务流副本的经过授权的访问,以实现对业务流的内容数据的经过授权的分析。
示例4.根据示例1的方法,其中生成业务流副本包括:复制业务流的业务数据;从业务数据中提取内容数据;以及生成与业务流相关联的业务流副本,以包括签名后的URL和内容数据。
示例5.根据示例1的方法,其中将业务流的业务流副本提供给签名后的URL平台包括:确定签名后的URL平台的协议;以及根据协议和签名后的URL,将业务流副本提供给签名后的URL平台。
示例6.根据示例1的方法,其中流分接信息标识与签名后的URL平台相关联的协议,其中标识协议的信息被包括在流分接过滤器的条目中,并且其中业务流副本根据协议被提供给签名后的URL平台。
示例7.根据示例1的方法,还包括:将业务流转发给在业务流中被标识的业务流目的地。
示例8.一种网络设备,包括:一个或多个存储器;以及一个或多个处理器,用以:从中介设备接收与业务流特性相关联的签名后的统一资源定位符(URL),其中签名后的URL与签名后的URL平台相关联;使用流分接过滤器监测网络的网络业务,以标识与业务流特性相关联的业务流,其中流分接过滤器包括标识签名后的URL和业务流特性的条目;基于标识业务流,处理业务流以用于业务流向业务流的业务流目的地的传输;基于处理业务流,生成业务流的业务流副本;基于签名后的URL,将业务流的业务流副本提供给签名后的URL平台;以及执行业务流向业务流目的地的传输。
示例9.根据示例8的网络设备,其中在监测网络业务之前,一个或多个处理器用以:基于中介设备的证书,验证中介设备被授权利用流分接过滤器,其中网络业务基于验证中介设备被授权利用流分接过滤器而被监测。
示例10.根据示例8的网络设备,其中一个或多个处理器还用以:在监测网络业务之前,在流分接过滤器的条目中将签名后的URL映射到业务流特性,其中一个或多个处理器用以:基于条目标识业务流。
示例11.根据示例8的网络设备,其中在处理业务流时,一个或多个处理器用以:基于业务流的结构提取业务流的内容数据,其中业务流副本被生成为包括内容数据;以及生成路由数据以用于业务流向业务流目的地的传输,其中业务流目的地与在业务流中被标识的目的地地址相关联。
示例12.根据示例8的网络设备,其中在处理网络业务时,一个或多个处理器用以:根据网络设备的路由配置,修改业务流的路由数据;其中在执行传输时,一个或多个处理器用以:根据路由数据传输业务流,以经由传输将业务流路由到业务流目的地。
示例13.根据示例8的网络设备,其中当将业务流的业务流副本提供给签名后的URL平台时,一个或多个处理器用以:提取网络业务的内容数据;生成与内容数据相关联的业务流数据,其中业务流数据基于签名后的URL平台的协议而被配置;以及根据协议,将业务流数据提供给签名后的URL平台。
示例14.根据示例13的网络设备,其中协议是HTTP,其中在将业务流数据提供给签名后的URL平台时,一个或多个处理器用以:使用PUT命令或POST命令提供业务流数据。
示例15.一种存储指令的非瞬态计算机可读介质,指令包括:一个或多个指令,一个或多个指令在由网络设备的一个或多个处理器执行时使一个或多个处理器:使用流分接过滤器监测网络的网络业务,以标识与业务流特性相关联的业务流,其中流分接过滤器包括将业务流特性映射到签名后的URL平台的签名后的统一资源定位符(URL)的条目;基于标识业务流,处理业务流以用于业务流向业务流目的地的传输;生成业务流的业务流副本;以及基于签名后的URL,将业务流的业务流副本提供给签名后的URL平台,其中业务流的业务流副本将经由签名后的URL对经过授权的用户设备可访问。
示例16.根据示例15的非瞬态计算机可读介质,其中业务流特性包括以下中的至少一个:业务流的源地址,或业务流的目的地地址。
示例17.根据示例15的非瞬态计算机可读介质,其中签名后的URL从经过授权的用户设备被接收,并且一个或多个指令还使一个或多个处理器:在监测网络业务之前,基于从经过授权的用户设备接收签名后的URL生成条目。
示例18.根据示例15的非瞬态计算机可读介质,其中签名后的URL被配置为向多个经过授权的用户设备安全地允许对业务流的业务流副本的经过授权的访问,其中经过授权的用户设备是多个经过授权的用户设备中的一个。
示例19.根据示例15的非瞬态计算机可读介质,其中使一个或多个处理器将业务流的业务流副本提供给签名后的URL平台的一个或多个指令使一个或多个处理器:使用以下中的至少一个提供业务流的业务流副本:PUT命令,或POST命令。
示例20.根据示例15的非瞬态计算机可读介质,其中一个或多个指令在被执行时将还使一个或多个处理器:向经过授权的用户设备提供业务流的业务流副本已被提供给签名后的URL平台的通知,或向业务流目的地传输业务流。
前述公开内容提供了说明和描述,但并不旨在穷举或将实现限制为所公开的精确形式。可以鉴于上文的公开内容进行修改和变型,或可以从实现的实践中获得修改和变型。
如本文中所使用,术语“组件”旨在被广义地解释为硬件、固件或硬件和软件的组合。
如本文中所使用,业务或内容可以包括分组集合。分组可以指用于传达信息的通信结构,诸如协议数据单元(PDU)、服务数据单元(SDU)、网络分组、数据报、段、消息、块、帧(例如以太网帧)、上文中的任一个的一部分和/或能够经由网络被传输的另一类型的格式化或未格式化的数据单元。
用户界面可以包括图形用户界面、非图形用户界面、基于文本的用户界面等。用户界面可以提供用于显示的信息。在一些实现中,用户可以诸如通过经由提供用户界面以供显示的设备的输入组件提供输入来与信息交互。在一些实现中,用户界面可以由设备和/或用户可配置(例如,用户可以改变用户界面的大小、经由用户界面所提供的信息、经由用户界面所提供的信息的位置等)。附加地或备选地,用户界面可以被预先配置为标准配置、基于设备(用户界面在其上被显示)的类型的特定配置和/或基于与设备(用户界面在其上被显示)相关联的能力和/或规范的配置集合。
显然,本文中所描述的系统和/或方法可以以硬件、固件和/或硬件和软件的组合的不同形式被实现。被用于实现这些系统和/或方法的实际的专用控制硬件或软件代码不限制实现。因此,本文中不参考特定软件代码来描述系统和/或方法的操作和行为——应当理解,软件和硬件可以被用于基于本文中的描述来实现系统和/或方法。
即使在权利要求书中叙述了特征的特定组合和/或在说明书中公开了特征的特定组合,这些组合也不旨在限制各种实现的公开内容。实际上,这些特征中的许多特征可以以权利要求书中未具体叙述和/或在说明书中未公开的方式被组合。尽管下文所列出的每个从属权利要求可能仅直接取决于一个权利要求,但是各种实现的公开内容包括与权利要求集合中的每个其他权利要求结合的每个从属权利要求。
除非明确地描述,否则本文中所使用的元件、动作或指令均不应被解释为关键或必要的。此外,如本文中所使用,冠词“一”和“一个”旨在包括一个或多个项,并且可以与“一个或多个”可互换使用。此外,如本文中所使用,冠词“该”旨在包括结合冠词“该”引用的一个或多个项,并且可以与“一个或多个”可互换使用。此外,如本文中所使用,术语“集合”旨在包括一个或多个项(例如相关项、不相关项、相关和不相关项的组合等),并且可以与“一个或多个”可互换使用。在仅旨在一个项的情况下,术语“仅一个”或类似语言被使用。此外,如本文中所使用,术语“具有(has)”、“具有(have)”、“具有(having)”等旨在是开放式术语。此外,除非另有明确说明,否则短语“基于”旨在意味着“至少部分地基于”。此外,如本文中所使用,除非另有明确说明(例如,在结合“任一个”或“仅以下中的一个”使用的情况下),术语“或”在串联使用时旨在是包括性的,并且可以与“和/或”可互换使用。

Claims (20)

1.一种方法,包括:
由网络的网络设备接收标识业务流特性的流分接信息和签名后的统一资源定位符(URL),
其中所述签名后的URL与签名后的URL平台相关联;
由所述网络设备在流分接过滤器的条目中将所述业务流特性映射到所述签名后的URL,
其中所述流分接过滤器被维持在所述网络设备的数据结构内;
由所述网络设备使用所述流分接过滤器分析所述网络的网络业务,以检测与所述业务流特性相关联的业务流;
由所述网络设备基于检测到所述网络业务中的所述业务流,生成与所述业务流相关联的业务流副本;以及
由所述网络设备基于所述签名后的URL,将所述业务流副本提供给所述签名后的URL平台,
其中所述业务流副本将经由所述签名后的URL对经过授权的用户设备可访问。
2.根据权利要求1所述的方法,其中接收所述流分接信息包括:
从所述经过授权的用户设备接收所述流分接信息;以及
基于认证过程,验证所述经过授权的用户设备被授权利用所述流分接过滤器和所述签名后的URL,
其中所述网络业务基于验证所述经过授权的用户设备被授权利用所述流分接过滤器和所述签名后的URL而被分析。
3.根据权利要求1所述的方法,其中所述签名后的URL被配置为安全地允许对所述业务流副本的经过授权的访问,以实现对所述业务流的内容数据的经过授权的分析。
4.根据权利要求1所述的方法,其中生成所述业务流副本包括:
复制所述业务流的业务数据;
从所述业务数据中提取内容数据;以及
生成与所述业务流相关联的所述业务流副本,以包括所述签名后的URL和所述内容数据。
5.根据权利要求1所述的方法,其中将所述业务流的所述业务流副本提供给所述签名后的URL平台包括:
确定所述签名后的URL平台的协议;以及
根据所述协议和所述签名后的URL,将所述业务流副本提供给所述签名后的URL平台。
6.根据权利要求1所述的方法,其中所述流分接信息标识与所述签名后的URL平台相关联的协议,
其中标识所述协议的信息被包括在所述流分接过滤器的所述条目中,并且
其中所述业务流副本根据所述协议被提供给所述签名后的URL平台。
7.根据权利要求1所述的方法,还包括:
将所述业务流转发给在所述业务流中被标识的业务流目的地。
8.一种网络设备,包括:
一个或多个存储器;以及
一个或多个处理器,用以:
从中介设备接收与业务流特性相关联的签名后的统一资源定位符(URL),
其中所述签名后的URL与签名后的URL平台相关联;
使用流分接过滤器监测网络的网络业务,以标识与所述业务流特性相关联的业务流,
其中所述流分接过滤器包括标识所述签名后的URL和所述业务流特性的条目;
基于标识所述业务流,处理所述业务流以用于所述业务流向所述业务流的业务流目的地的传输;
基于处理所述业务流,生成所述业务流的业务流副本;
基于所述签名后的URL,将所述业务流的所述业务流副本提供给所述签名后的URL平台;以及
执行所述业务流向所述业务流目的地的所述传输。
9.根据权利要求8所述的网络设备,其中在监测所述网络业务之前,所述一个或多个处理器用以:
基于所述中介设备的证书,验证所述中介设备被授权利用所述流分接过滤器,
其中所述网络业务基于验证所述中介设备被授权利用所述流分接过滤器而被监测。
10.根据权利要求8所述的网络设备,其中所述一个或多个处理器还用以:
在监测所述网络业务之前,在所述流分接过滤器的所述条目中将所述签名后的URL映射到所述业务流特性,
其中所述一个或多个处理器用以:
基于所述条目标识所述业务流。
11.根据权利要求8所述的网络设备,其中在处理所述业务流时,所述一个或多个处理器用以:
基于所述业务流的结构提取所述业务流的内容数据,
其中所述业务流副本被生成为包括所述内容数据;以及
生成路由数据以用于所述业务流向所述业务流目的地的所述传输,
其中所述业务流目的地与在所述业务流中被标识的目的地地址相关联。
12.根据权利要求8所述的网络设备,其中在处理所述网络业务时,所述一个或多个处理器用以:
根据所述网络设备的路由配置,修改所述业务流的路由数据;
其中在执行所述传输时,所述一个或多个处理器用以:
根据所述路由数据传输所述业务流,以经由所述传输将所述业务流路由到所述业务流目的地。
13.根据权利要求8所述的网络设备,其中当将所述业务流的所述业务流副本提供给所述签名后的URL平台时,所述一个或多个处理器用以:
提取所述网络业务的内容数据;
生成与所述内容数据相关联的业务流数据,
其中所述业务流数据基于所述签名后的URL平台的协议而被配置;以及
根据所述协议,将所述业务流数据提供给所述签名后的URL平台。
14.根据权利要求13所述的网络设备,其中所述协议是HTTP,
其中在将所述业务流数据提供给所述签名后的URL平台时,所述一个或多个处理器用以:
使用PUT命令或POST命令提供所述业务流数据。
15.一种存储指令的非瞬态计算机可读介质,所述指令包括:
一个或多个指令,所述一个或多个指令在由网络设备的一个或多个处理器执行时使所述一个或多个处理器:
使用流分接过滤器监测网络的网络业务,以标识与业务流特性相关联的业务流,
其中所述流分接过滤器包括将所述业务流特性映射到签名后的URL平台的签名后的统一资源定位符(URL)的条目;
基于标识所述业务流,处理所述业务流以用于所述业务流向业务流目的地的传输;
生成所述业务流的业务流副本;以及
基于所述签名后的URL,将所述业务流的所述业务流副本提供给所述签名后的URL平台,
其中所述业务流的所述业务流副本将经由所述签名后的URL对经过授权的用户设备可访问。
16.根据权利要求15所述的非瞬态计算机可读介质,其中所述业务流特性包括以下中的至少一个:
所述业务流的源地址,或
所述业务流的目的地地址。
17.根据权利要求15所述的非瞬态计算机可读介质,其中所述签名后的URL从所述经过授权的用户设备被接收,并且所述一个或多个指令还使所述一个或多个处理器:
在监测所述网络业务之前,基于从所述经过授权的用户设备接收所述签名后的URL生成所述条目。
18.根据权利要求15所述的非瞬态计算机可读介质,其中所述签名后的URL被配置为向多个经过授权的用户设备安全地允许对所述业务流的所述业务流副本的经过授权的访问,
其中所述经过授权的用户设备是所述多个经过授权的用户设备中的一个。
19.根据权利要求15所述的非瞬态计算机可读介质,其中使所述一个或多个处理器将所述业务流的所述业务流副本提供给所述签名后的URL平台的所述一个或多个指令使所述一个或多个处理器:
使用以下中的至少一个提供所述业务流的所述业务流副本:
PUT命令,或
POST命令。
20.根据权利要求15所述的非瞬态计算机可读介质,其中所述一个或多个指令在被执行时将还使所述一个或多个处理器:
向所述经过授权的用户设备提供所述业务流的所述业务流副本已被提供给所述签名后的URL平台的通知,或
向所述业务流目的地传输所述业务流。
CN202010836710.3A 2020-05-08 2020-08-19 使用签名后的统一资源定位符进行网络业务监测或存储 Active CN113630251B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
IN202041019577 2020-05-08
IN202041019577 2020-05-08
US16/912,930 US11245599B2 (en) 2020-05-08 2020-06-26 Network traffic monitoring or storage using a signed uniform resource locator
US16/912,930 2020-06-26

Publications (2)

Publication Number Publication Date
CN113630251A true CN113630251A (zh) 2021-11-09
CN113630251B CN113630251B (zh) 2024-09-06

Family

ID=72178481

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010836710.3A Active CN113630251B (zh) 2020-05-08 2020-08-19 使用签名后的统一资源定位符进行网络业务监测或存储

Country Status (3)

Country Link
US (1) US11716263B2 (zh)
EP (1) EP3907963B1 (zh)
CN (1) CN113630251B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110099633A1 (en) * 2004-06-14 2011-04-28 NetForts, Inc. System and method of containing computer worms
CN104662551A (zh) * 2012-10-19 2015-05-27 英特尔公司 在网络环境中对加密的数据的检查
CN104782080A (zh) * 2012-11-15 2015-07-15 瑞典爱立信有限公司 Li系统中的方法、布置、实体和计算机程序软件
CN106462715A (zh) * 2014-06-03 2017-02-22 阿姆Ip有限公司 访问以及提供对于在远程资源与数据处理设备之间发送的数据的访问的方法
US20170330107A1 (en) * 2016-05-12 2017-11-16 Nec Europe Ltd. Method for performing user profiling from encrypted network traffic flows
US9942825B1 (en) * 2017-03-27 2018-04-10 Verizon Patent And Licensing Inc. System and method for lawful interception (LI) of Network traffic in a mobile edge computing environment
CN108432180A (zh) * 2015-11-13 2018-08-21 维萨国际服务协会 用于基于pki的认证的方法和系统
US20190268303A1 (en) * 2016-04-22 2019-08-29 Sophos Limited Secure labeling of network flows
US20200092174A1 (en) * 2018-09-14 2020-03-19 Juniper Networks, Inc. Systems and methods for non-intrusive network performance monitoring

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7809827B1 (en) * 2006-05-12 2010-10-05 Juniper Networks, Inc. Network device having service card for lawful intercept and monitoring of packet flows
WO2015066066A1 (en) * 2013-10-28 2015-05-07 Futurewei Technologies, Inc. System and method for signaling and verifying url signatures for both url authentication and url-based content access authorization in adaptive streaming
DE102017223898A1 (de) 2017-12-31 2019-07-04 Bundesdruckerei Gmbh Sicheres Ablegen und Zugreifen von Dateien mit einer Webanwendung
US20200106778A1 (en) * 2018-09-28 2020-04-02 Comcast Cable Communications, Llc Content Authorization and Delivery
US11245599B2 (en) 2020-05-08 2022-02-08 Juniper Networks, Inc. Network traffic monitoring or storage using a signed uniform resource locator

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110099633A1 (en) * 2004-06-14 2011-04-28 NetForts, Inc. System and method of containing computer worms
CN104662551A (zh) * 2012-10-19 2015-05-27 英特尔公司 在网络环境中对加密的数据的检查
CN104782080A (zh) * 2012-11-15 2015-07-15 瑞典爱立信有限公司 Li系统中的方法、布置、实体和计算机程序软件
CN106462715A (zh) * 2014-06-03 2017-02-22 阿姆Ip有限公司 访问以及提供对于在远程资源与数据处理设备之间发送的数据的访问的方法
CN108432180A (zh) * 2015-11-13 2018-08-21 维萨国际服务协会 用于基于pki的认证的方法和系统
US20190268303A1 (en) * 2016-04-22 2019-08-29 Sophos Limited Secure labeling of network flows
US20170330107A1 (en) * 2016-05-12 2017-11-16 Nec Europe Ltd. Method for performing user profiling from encrypted network traffic flows
US9942825B1 (en) * 2017-03-27 2018-04-10 Verizon Patent And Licensing Inc. System and method for lawful interception (LI) of Network traffic in a mobile edge computing environment
US20200092174A1 (en) * 2018-09-14 2020-03-19 Juniper Networks, Inc. Systems and methods for non-intrusive network performance monitoring

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
刘志渊;: "互联网资源协作业务信息安全管理系统探讨", 通讯世界, no. 06, 25 June 2018 (2018-06-25), pages 45 - 47 *

Also Published As

Publication number Publication date
US20220150140A1 (en) 2022-05-12
EP3907963A1 (en) 2021-11-10
EP3907963B1 (en) 2023-02-22
US11716263B2 (en) 2023-08-01
CN113630251B (zh) 2024-09-06

Similar Documents

Publication Publication Date Title
US11902096B2 (en) Collection of error packet information for network policy enforcement
US7948889B2 (en) Method and system for analyzing network traffic
US10205641B2 (en) Inspection of traffic via SDN
CN103609070B (zh) 网络流量检测方法、系统、设备及控制器
US8990938B2 (en) Analyzing response traffic to detect a malicious source
US10171423B1 (en) Services offloading for application layer services
US11539631B2 (en) Network traffic monitoring based on geolocation information
CN110557342A (zh) 用于分析和减轻丢弃的分组的设备
US11245599B2 (en) Network traffic monitoring or storage using a signed uniform resource locator
US20240073112A1 (en) Network traffic monitoring based on content data
US11412005B2 (en) Lawfully intercepting traffic for analysis based on an application identifier or a uniform resource locator (URL) associated with the traffic
CN113630251B (zh) 使用签名后的统一资源定位符进行网络业务监测或存储
US11811834B2 (en) Lawfully intercepting traffic and providing the traffic to a content destination based on content destination availabilities and priorities
CN113630373B (zh) 基于地理位置信息的网络业务监测
CN113411292B (zh) 基于链式业务分接合法拦截业务并提供业务给内容目的地
US11765090B2 (en) Network traffic control based on application identifier
US12003551B1 (en) Lawfully intercepting traffic for analysis independent of a protocol associated with the traffic
Oujezsky et al. Aequor Tracer–Network Analysis Application
CN111865821A (zh) 提供可预测服务质量业务引导

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant