EP1992111A2 - Procede de collecte de descriptions de flux portant sur des flux relatifs a au moins un reseau client rattache a un reseau d'interconnexion - Google Patents

Procede de collecte de descriptions de flux portant sur des flux relatifs a au moins un reseau client rattache a un reseau d'interconnexion

Info

Publication number
EP1992111A2
EP1992111A2 EP07731625A EP07731625A EP1992111A2 EP 1992111 A2 EP1992111 A2 EP 1992111A2 EP 07731625 A EP07731625 A EP 07731625A EP 07731625 A EP07731625 A EP 07731625A EP 1992111 A2 EP1992111 A2 EP 1992111A2
Authority
EP
European Patent Office
Prior art keywords
flow
descriptions
network
flow descriptions
flows
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP07731625A
Other languages
German (de)
English (en)
Inventor
Patrick Truong
Emile Stephan
Frédéric BOUCAUD
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Publication of EP1992111A2 publication Critical patent/EP1992111A2/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Definitions

  • the invention relates to a method for collecting flow descriptions relating to flows relating to at least one client network attached to an interconnection network.
  • the supervision of communication networks is a constant need of network operators. It comes in different applications such as the detection of DoS denial of service attacks for "Douai of Service" in English, the supervision of the network as to the traffic carried by the various nodes of the network or the supervision of a network. client attached to a core network. It will be noted from the outset that a stream corresponds to an exchange of data packets between two machines of an IP network whose packets have common characteristics including common characteristics of origin, destination and service. Subsequently, these characteristics are called flow characteristics.
  • Each stream has a flow identification, which is performed for example using the following elements: the IP address of the source node, - the IP address of the destination node,
  • the protocol used obtained by analysis of the information of the IP layer, for example TCP, UDP or ICMP, the TOS field for "Type Of Service” in English, identifying for the flow the type of quality of service required (priority of the flow , delivery time, ...), the Input field which corresponds to an index of the interface through which the stream is entered in the node, this index being defined for the administration of the network.
  • a node When a node receives a packet of data to be sent containing, for certain identification elements mentioned above, unknown values, it initiates a flow description by adding to the identification of the flow various elements making it possible to describe the flow. such as:
  • DPkts containing the number of packets counted for this stream
  • - DOctets containing the level 3 byte volume (IP layer) in the packets of the stream
  • First and Last respectively corresponding to the start and end times of the stream.
  • the node On receipt of each new data packet, the node updates the parameters DPkts, DOctets and Last. After a predetermined period of inactivity of the stream, or periodically, the node transmits to the collection equipment the descriptions relating to this flow, which he himself made. The amount of data transmitted can be significant and induce a significant load in the collection network, which is even more difficult to manage that the network is large.
  • an aggregation function of the flow descriptions whose function is to aggregate the flow descriptions according to a criterion. aggregation. This criterion may consist, for example, of aggregating the flow descriptions relating to a set of source IP addresses. These aggregated flow descriptions are then forwarded to the collection equipment.
  • the aggregation must satisfy different constraints. For example: For IP traffic analysis, it is essential that the aggregation be able to keep information about the source and destination ports; for the detection of denial of service attacks, the aggregation must make it possible to keep information on the number of packets sent to a server in order to analyze the variation of this volume; and for applications to develop traffic matrices, the aggregation is done on an autonomous system or on subsets of the network.
  • the node can realize only a very limited number of aggregations at a time. To alleviate this problem, the node simultaneously transmits the same flow descriptions to the collectors of the different devices, more specifically in charge of the different supervision applications. This induces an additional workload for the node whose main function is to ensure the routing of data packets. In order to limit this load, the nodes are generally limited to two exports in parallel of flow descriptions.
  • the object of the invention is therefore to limit the volume of aggregated descriptions transmitted to the collection equipment, particularly in the context of the supervision of a customer network attached to an interconnection network.
  • the invention relates to a method for collecting flow descriptions relating to flows relating to at least one client network, the client network being attached to an interconnection network, the method comprising: a first step of receiving flow descriptions, said flow descriptions for flows from the client network; a first step of aggregating the flow descriptions relating to the flows coming from the client network according to an aggregation criterion; a first step of transmitting aggregated flow descriptions to collection equipment; characterized in that it further comprises: a step of analyzing stream flow descriptions from the client network to determine at least one stream characteristic specific to the client network; a second step of receiving flow descriptions, said flow descriptions relating to flows from the interconnection network; a step of filtering flow descriptions relating to the flows coming from the interconnection network, in which the flow descriptions relating to flows devoid of the flow characteristic relative to the determined customer network are eliminated; a second step of transmitting filtered flow descriptions to the collection equipment.
  • the method determines at least one flow characteristic and automatically configures the processing to be performed on the flow descriptions. relating to flows from the interconnection network.
  • Outgoing flow descriptions of the interconnection network are, in turn, subjected to filtering in order to keep only those corresponding to the determined flow characteristic. Thus, the volume of information transmitted to the collection equipment is reduced.
  • it is necessary to obtain the flow descriptions from different nodes of the interconnection network because the paths used for the incoming flows and the outgoing flows of the client network are not necessarily required. the same.
  • Loads from the collection network and collection equipment are also reduced since only relevant information is transmitted.
  • the method also has more flexibility because one can define a different aggregation criterion per client observed.
  • the method further comprises a second step of aggregating filtered flow descriptions according to the aggregation criterion.
  • filtered flow descriptions that is to say those corresponding to the one or more flow characteristics determined.
  • the load of the nodes is thus further reduced since they are not in charge of aggregating all the flow descriptions.
  • the first aggregation step further comprises a substep of assigning to aggregated flow descriptions an identification parameter of an aggregation request and the step of filtering the descriptions of flow includes a substep of assignment to filtered flow descriptions of the same aggregation request identification parameter.
  • the method further comprises a third aggregation step, said step of aggregating the aggregated flow descriptions for flows from the client network and the aggregated flow descriptions from the interconnect network. to obtain bi-directional aggregated flow descriptions prior to transmission to the collection equipment.
  • the aggregated flow descriptions for flows from different nodes of the interconnect network and the aggregated flow descriptions for flows from the connection nodes of the client network are aggregated into bi-directional flow descriptions. Thanks to this, the method of the invention provides a global view of the traffic on the customer network.
  • the port with the lowest value between the source and destination ports is identified. This port corresponds to the server (whether the server is in the client network or another network), the other port to the client
  • the information on the application direction of the flows makes it possible to react quickly if it is found, for example, that the incoming and outgoing flows are asymmetrical. This may be indicative of an ongoing attack on the client network or a server malfunction.
  • the invention also relates to a system for collecting flow descriptions relating to flows relating to at least one client network, the client network being attached to an interconnection network, the system comprising: at least one description receiving module flow arranged to receive flow descriptions relating to flows from one of the two interconnection and client networks; at least one flow description aggregation module, arranged to aggregate received flow descriptions according to an aggregation criterion; a flow description analysis module, arranged to analyze flow descriptions relating to flows coming from the client network in order to determine at least one flow characteristic specific to the client network; a flow description filtering module, arranged to eliminate, in the received flow descriptions, those relating to flows devoid of the determined flow characteristic; a flow description transmission module, arranged to transmit filtered flow descriptions to a collection module.
  • FIG. 1 represents a plurality of client networks attached to an interconnection network as well as a system for collecting flow descriptions
  • FIG. 2 represents the steps of the method of collecting flow descriptions relating to flows relating to at least one client network according to a particular embodiment of the invention
  • FIG. 3 represents a system for collecting flow descriptions.
  • a stream corresponds to an exchange of data packets between two machines of an IP network whose packets have common characteristics including common characteristics of origin, destination and service. Subsequently, these characteristics are called flow characteristics.
  • FIG. 1 represents two client networks 2 and 3 connected to an interconnection network 1.
  • the interconnection network is in charge of routing the flows to the client networks.
  • This is for example the infrastructure of a telecommunication operator.
  • a client network may for example be a corporate network, a home network, a mobile network, a virtual private network (VPN for "Virtual Private Network") based on MPLS (for "MultiProtocol Label Switching" in English),
  • the interconnection network is a core network 1 comprising a plurality of nodes 10, 11, 12, 13 and 14 responsible for routing packets between a source machine address and a destination machine address.
  • the nodes 10 and 11 are output nodes of the core network 1 managing interfaces to the client networks 2 and 3 or to a client node 40.
  • the client node 40 does not belong to the client networks 2 and 3.
  • Packets destined for an IP address belonging to the client network 2 are routed in the core network 1 to the output node 10.
  • the node 10 then transmits the packets to a node 20 of the client network 2.
  • the IP addresses of the network 2 correspond to addresses belonging to the set 156.100.140.0 to 156.100.140.255, that is to say 156.100.140.0 with a mask of 24, denoted 156.100.140.0/24.
  • This is the Classless Inter-Domain Routing (CIDR) classless cross-domain routing notation that identifies a range of IP addresses.
  • the IP address before the slash "/" is the first address in the range.
  • the value after the slash "/" is the number of address bits that are granted to the client network to assign an IP address to its machines.
  • the packets transmitted by a machine of the client network 2 are transmitted via the node 20 to the node 10 of the core network 1.
  • Packets destined for an IP address belonging to the client network 3 are routed in the core network 1 to the output nodes 10 and 11.
  • the node 10 then transmits the packets to a node 30 of the network 3 of the client.
  • the node 11 then transmits the packets to a node 31 of the network 3 of the client.
  • the IP addresses of the network 3 correspond to the set of prefix addresses 140.100.140.0 with a mask of 24, denoted 140.100.140.0/24, and to all the prefix addresses. 139.100.140.0 with a mask of 24, noted 139.100.140.0/24.
  • the packets destined for the prefix 139.100.140.0/24 are routed to the node 10 and those to the prefix 140.100.140.0/24 to the node 20.
  • the packets transmitted by a network machine 3 are transmitted either through the node 30 to the node 10 of the core network 1, or through the node 31 to the node 11 of the core network 1 in charge sharing.
  • the IP addresses of the nodes 20, 30 and 31 are respectively 192.3.2.1, 192.3.2.2 and 192.3.2.3.
  • the IP addresses of the nodes 10 and 11 are respectively 192.3.2.4 and 192.3.2.5.
  • the nodes 10, 11, 20, 30 and 31 offer the possibility of activating, on request, measurements of flow descriptions relating to incoming flows in the node. These metrics can be enabled, for example, for all inbound flows in the node or for incoming flows across some of the node's interfaces only. These measurements are then transmitted to a collection equipment. According to the invention, the measurements are transmitted using an IPFIX protocol, standardized to the IETF, to intermediate collection equipment 50, 51 and 60 before being transmitted to a final collection equipment. Subsequently, the Intermediate collection equipment 50 and 51 are referred to as pre-aggregators and intermediate collection equipment 60, an aggregator. These different collection devices communicate with each other using an IPFIX type protocol.
  • a server 71 allows dialogue with the aggregator 60 in particular to allow the configuration of the collection system which will be described later.
  • the two client networks 2 and 3 are jointly supervised. .
  • the client node 40 is not supervised.
  • the server 71 transmits a request to the aggregator 60.
  • This request contains an AggrMode aggregation criterion, the information identifying one or more nodes in charge of exporting the flow descriptions and the list. interfaces to be observed for each of these nodes as well as a type associated with these interfaces according to whether it is an outgoing stream interface of the client network 2 or 3 or an outgoing network interface of the network of Interconnection 1.
  • the request includes for each client network a parameter for identifying the AggrID aggregation request.
  • these are the nodes interfaces of the client networks 2 and 3, in this case those of the nodes 20 of the client network 2 and those of the nodes 30 and 31 of the client network 3.
  • Two requests of this table have the same identification parameter in order subsequently to facilitate the grouping of the data of the client network 3, this client network 3 having two output interfaces.
  • Table I groups the requests made to the aggregator 60 in the example of the first embodiment. All tables are grouped in the Appendix. In Table I, it will be noted that:
  • Node corresponds to the identity of the node 20, "Node2" to that of the node 30 and "Node3" to that of the node 31.
  • Export address is the address of the node responsible for exporting the flow descriptions.
  • Alggrmod is an aggregation criterion used to define the type of aggregation to perform. Its operation is described in the description of the step
  • the aggregator 60 could identify the interfaces to be observed by reading the administration databases associated with the nodes.
  • the aggregator 60 transmits to a pre-aggregator a pre-aggregation request.
  • the request is transmitted to the pre-aggregator (s) in charge of collecting flow descriptions from the node managing one of the interfaces to be observed belonging to the list of node interfaces to be observed, transmitted by the server 71 ( or determined by the aggregator 60 in the embodiment variant), in step E1.
  • the pre-aggregator 51 which is in charge of collecting flow descriptions relating to flows. from the customer networks 2 and 3.
  • the flow description mechanism is continuously activated on all the interfaces of the nodes.
  • the flow description mechanism is activated on the nodes 20, 30 and 31 by the pre-aggregator 51 or the aggregator 60 by an IPFIX type protocol.
  • the pre-aggregator 51 is then configured to determine at least one flow characteristic by analyzing the flow descriptions relating to flows from the client networks 2 and 3 and to aggregate these flow descriptions according to the aggregation criterion.
  • the pre-aggregator 51 receives flow descriptions relating to flows from the client networks 2 and 3, in the particular example, sent by the nodes 20, 30 and 31. .
  • the pre-aggregator 51 receives the information contained in Table II.
  • the "Export” field corresponds to the IP address of the node that sent the flow descriptions.
  • the other fields correspond to the description of the flow.
  • the pre-aggregator 51 analyzes the flow descriptions for flows from the customer network 2 or 3 in according to the information received at the configuration step El to determine, for each client network to observe 2 or 3, at least one flow characteristic. In the first embodiment, it deduces the characteristics of this client network, in particular, the IP prefix (es) of the client network and the autonomous system to which the client network belongs. These characteristics are specific to the client network. Information about the network mask and the stand-alone system of the client network is contained in the transmitted flow descriptions. The information relating to the mask appears in the "Src Mask" field of the table IL For the sake of clarity, the information relating to the autonomous system, contained in the flow descriptions received by the pre-aggregator 51, does not appear in Table II .
  • the pre-aggregator 51 knows at least one of the flow characteristics to be observed.
  • a fifth flux characteristic transmission step E5 the pre-aggregator 51 transmits to the aggregator 60 the stream characteristic (s) to be observed determined in step E4. This is the particular example of the information in Table III.
  • the aggregator 60 is aware of the flow characteristic or characteristics to be observed.
  • the pre-aggregator 51 aggregates the flow descriptions according to the AggrMod aggregation criterion that it received in step E1.
  • the aggregation criterion is a combination of the two parameters "minPort” and "PrefixSrc", “minPort” representing the smaller source and destination ports and "PrefixSrc” representing the network prefix of the stream source. Aggregation on the basis of such a criterion is described below.
  • a first substep E61 for each row of Table II, the pre-aggregator 51 determines the smaller of the two ports, between the source port and the destination port of the stream, this information being included in the description of the stream in the SrcPort and DstPort fields. If the destination port matches the value determined to be the smallest, the stream will be considered as the amount between a client and a server. If the source port is the value that is determined to be the smallest, the flow is considered as going down between a server and a client. The pre-aggregator retains the smallest value and assigns to the flow description a parameter representative of a rising or falling transmission direction between a client and a server. Table IV contains the information from Table II following this substep E61.
  • the pre-aggregator 51 aggregates the flow descriptions according to the aggregation criterion transmitted to the step E1.
  • the aggregation criterion is the combination of "MinPort” and "PrefixSrc". It thus groups in a single aggregated flow description all the flow descriptions relating to respective ports (MinPort) covered by the same IP prefix of the client network and to the same direction of transmission (amount or downlink), sent by the same node identified by the "export" field of the flow description. The information in the destination address field of the DestAddr stream is not retained in the aggregated feed descriptions.
  • the pre-aggregator 51 assigns to the aggregated flow description a time parameter representative of the time distribution of flow descriptions that have been aggregated. It may be, for example, the lowest value among the set of values contained in the "First” fields of the flow descriptions that have been aggregated (this "First” field corresponding to the start time of flow ), and the highest value among all the values contained in the "Last” fields of the flow descriptions that have been aggregated (the "Last” field corresponding to the end of flow time).
  • the pre-aggregator 51 transmits in a substep E63 the aggregated flow descriptions to the aggregator 60.
  • the flow description aggregation step E6 is performed only for the flow descriptions corresponding to the outgoing flows of the client network. Thus, the transmission of aggregated flow descriptions is limited to the outgoing flows of the client network (and therefore incoming on the interconnection network). There is no flow description transmitted for unobserved customer networks.
  • step E7 the aggregator
  • the 60 configures the pre-aggregator 50 by transmitting to it the characteristics to be observed, in particular, the nodes managing one of the interfaces to be observed belonging to the list of node interfaces to be observed, the flux characteristic or characteristics that it obtained at the step E5 and the aggregation criterion. Optionally, it transmits the aggregation identification parameter.
  • step E5 the pre-aggregator 51 directly transmits these characteristics to the pre-aggregator 50 and step E7 is not performed.
  • the pre-aggregator 50 activates the aggregation of the flow descriptions relating to flows coming from the interconnection network 1 as a function of the one or more received stream characteristics and according to the aggregation criterion, as described below.
  • the pre-aggregator 50 receives flow descriptions relating to flows from the network. interconnection 1, sent by the nodes 10 and 11 in the particular embodiment, and filtering in a substep E82 received flow descriptions to eliminate those whose flow characteristic corresponding to the flow characteristic specific to the client network received is not covered by it . These are flow descriptions for flows that do not have the flow characteristic specific to the particular client network. In the first embodiment, it eliminates those whose destination address is not covered by one of the predetermined network prefixes of the client network. Optionally, it assigns each flow description the aggregation identification parameter.
  • the flow descriptions filtered by the pre-aggregator 50 are contained in Table VI. These filtered flow descriptions are then processed in the same manner as in step E6.
  • the pre-aggregator 50 assigns, during a substep E83, to the filtered flow descriptions a parameter representing a direction of upstream or downstream transmission between a client and a server. It then aggregates, in a substep E84, in a single flow description all the flow descriptions filtered according to the aggregation criterion. In the first embodiment, it is flow descriptions relating to one of the predetermined network prefixes of the client network 2 or 3 and to the same direction of upstream or downstream transmission, sent by a node identified by the "export" field of the flow description.
  • the pre-aggregator 50 then transmits, during a substep E85, the aggregated flow descriptions to the aggregator 60.
  • the aggregator 60 aggregates the flow descriptions received from the pre-aggregator 51 in step E6 and those received from the pre-aggregator 50 to step E8 in bi-directional aggregated flow descriptions as described below.
  • the aggregator searches in the other aggregated flow descriptions. from the same pre-aggregator 51 if there is one a container also as the source address the same IP prefix. If the transmission direction parameter assigned to the flow description has the same value as that assigned to the flow description from the pre-aggregator 51, it aggregates the two flow descriptions. It then looks in the aggregated flow descriptions from the pre-aggregator 50 if there is one containing the same IP prefix as the destination address.
  • the Aggregator 60 aggregates the two flow descriptions into a bi-directional aggregate flow description.
  • the aggregations are performed taking into account temporal information in order to aggregate only flow descriptions included in the same time interval. This generation of bi-directional flow descriptions is facilitated by the use of the demand aggregation identifier parameter, AgrrID, which allows the detection of aggregated flow descriptions from different pre-aggregators related to the same request.
  • the aggregator 60 generates from the aggregate flow descriptions contained in Tables V and VII bidirectional flow descriptions contained in Tables VIII and IX.
  • Table VIII corresponds to flow descriptions to servers external to client network 2 or 3. This is the two-way aggregation of flow descriptions corresponding to downstream flows.
  • Table IX corresponds to the flow descriptions to servers present in the client network 2 or 3, that is to say upstream flows.
  • the flow descriptions of Ag2 of the TCP stream have a notable asymmetry, which leads to suppose that the servers of the client network 3 undergo a TCP attack.
  • the information relating to the nodes having transmitted the flow descriptions can be preserved but are not indicated in the tables VIII and IX for reasons of readability.
  • bi-directional flow descriptions have the advantage of concealing the internal addressing plans of the client network.
  • bi-directional flow descriptions are then transmitted during a step ElO to a collection equipment 70.
  • This transmission is parameterizable: it can be done along the water or when certain values exceed a threshold.
  • the aggregation includes threshold detections by comparing values included in the bidirectional flow descriptions. It can be a comparison between the number of incoming packets and the number of outgoing packets. It can also be threshold detection on certain parameters such as the number of packets, the volume of bytes.
  • the method apart from the steps related to the configuration of the entire collection system, is continuous, that is to say that the E3 stages of receiving flow descriptions, E6 of aggregating flow descriptions, E8 Filtering and aggregation of flow descriptions and aggregation E9 occur continuously as flow descriptions corresponding to the observed flows are received from the nodes.
  • the first embodiment is described using as a criterion of aggregation a value of assigning a parameter representative of a direction of transmission between a client and a server according to the source port and the destination port contained in the flow descriptions. and then aggregating the source IP prefix flow descriptions to the pre-aggregator 51 processing flow descriptions for flows from the client network 2 or 3 and the destination IP prefix to the pre-aggregator 50 processing the bearer flow descriptions. on flows from the core network.
  • Generic source port values are reserved for servers in a range of 0 to 1023: for example, the value of 80 is http, 12 to TCP,
  • the first embodiment is described in the case where a distribution of the load is performed between the different nodes. It is also conceivable that only the nodes at the output of the client network transmit the flow descriptions to and from the client network. In a second embodiment, the method makes it possible to observe multicast streams.
  • a broadcast mode it may be for example television broadcasting, dissemination of information.
  • the source of emission is located in the observed customer network. Streams from the client network are destined for a so-called multicast address.
  • the core network is responsible for redistributing the flows to the multicast address to the different addresses of unicast IP terminals that have requested, using the Internet Group Management Protocol (IGMP), to receive the streams. It manages a multicast broadcast tree.
  • the pre-aggregator 51 detects the multicast destination address on an output interface of the client network by analyzing flow descriptions for flows from the client network. Depending on the type of application envisaged, two different modes of aggregation can be identified.
  • the aim is to determine the multicast tree, managed by the core network, associated with the multicast address.
  • the aggregation criterion is defined as "broadcastTree”.
  • the pre-aggregator 51 analyzes the flow descriptions in order to determine at least the address of the source unicast and / or the address multicast destination. These characteristics are specific to the client network.
  • it transmits these characteristics of determined flows to the aggregator 60.
  • the pre-aggregator 51 aggregates the flow descriptions. for streams whose source and destination addresses match the pair (unicast source address, multicast destination address).
  • the aggregator 60 configures pre-aggregators in charge of flow descriptions for flows coming from the core network by providing them with the determined flow information and the aggregation criterion.
  • the pre-aggregators provide the aggregated flow descriptions as a function of the determined flow characteristics. They transmit, associated with the aggregated flow descriptions, a list of nodes ("Export" field) that corresponds to the nodes through which the multicast stream was routed. From the information contained in the aggregated flow descriptions and in particular the routing information that is present there (identification of the next router for routing, identification of the autonomous system, etc.), the application can determine the tree Multicast stream. By symmetry, this variant is also applicable to the discovery of the multicast stream tree, the multicast source being broadcast in the client network.
  • the aim is to estimate the audience of a multicast service of a broadcast source located in the client network or to observe its distribution by network.
  • the aggregation criterion is defined as "broadcastListener”.
  • Steps E4, E5, E62 and E8 are identical to the first variant.
  • the aggregator configures pre-aggregators in charge of flow descriptions for flows from access networks by providing the determined flow characteristics and the aggregation criterion. From the flow descriptions received in step E8, the application thus determines a list of multicast access nodes and / or broadcast nodes to the terminals to be interrogated in order to subsequently obtain the number of associated multicast sessions. at this source. This makes it possible to obtain a good instantaneous estimate of the audience by simply cumulating the sessions.
  • a "multicast” mode it may also be multi-directional traffic, for example audio conferencing or other.
  • the application aims to determine the list of members of a multicast group. All members of the Multicast group, each with a unicast source address, send to a Multicast address. In this case, the aggregation criterion is defined as "multicastMember".
  • the pre-aggregator 51 determines, as flow characteristics, the address of the unicast source located in the client network and the address. multicast destination. These characteristics are specific to the client network.
  • step E5 it transmits the multicast destination address to the aggregator 60.
  • the pre-aggregator 51 aggregates the descriptions of feeds for feeds whose source and destination addresses match the torque (unicast source address, multicast destination address).
  • the aggregator 60 configures pre-aggregators in charge of flow descriptions relating to flows coming from the core network by providing them with the determined flow characteristic or characteristics and the aggregation criterion.
  • the pre-aggregators provide the filtered flow descriptions based on the multicast destination address and keeping each source address. From this information, the application can determine the list of source addresses transmitting in the same multicast group as the unicast source address of the client network and therefore the list of members of the multicast group.
  • the method also works in the case where the nodes implement a flow sampling for the constitution of the descriptions of flux. The method then takes into account this information, which may for example be present in the low-level flow descriptions or be known by configuration of the nodes.
  • the method is also applicable to the collection of flow descriptions on other types of client networks such as a virtual private network, a home network, a mobile network. It is particularly well suited for collecting flow descriptions for flows from any network attached to a higher level interconnection network.
  • the collection system includes the pre-aggregators 50, 51 and the aggregator 60.
  • a portion of the pre-aggregator 51, having a function of aggregating flow descriptions for flows from a client network, called by the outgoing pre-aggregator suite comprises the following modules: a flow description reception module 510, arranged to receive flow descriptions relating to flows coming from the client network; a flow description aggregation module 512, arranged to aggregate received flow descriptions according to an aggregation criterion; a flow description analysis module 511, arranged to analyze flow descriptions relating to flows from the client network to determine at least one flow characteristic specific to the client network; a flow description transmission module 513, arranged to transmit filtered flow descriptions to an aggregator 60 or to a collection module 70; a configuration module 514, arranged to receive configuration information from an aggregator and to transmit to the aggregator the determined flow characteristic.
  • a part of the pre-aggregator 50 having a function of aggregating flow descriptions on flows from an interconnection network, hereinafter referred to as an incoming pre-aggregator, comprises the following modules: a configuration module 514, arranged to receive configuration information from an aggregator 60; a flow description receiving module 510, arranged to receive flow descriptions relating to flows from the interconnection network; a flow description filtering module 515, arranged to eliminate, in the stream descriptions received, those relating to flows devoid of said at least one stream characteristic received by the configuration module 514; a flow description transmission module 513, arranged to transmit filtered flow descriptions to an aggregator 60 or to a collection module
  • the incoming pre-aggregator 50 further comprises a flow description aggregation module 512, arranged to aggregate received stream descriptions as a function of an aggregation criterion.
  • the flow descriptions are transmitted to it by the filtering module 515.
  • the aggregator 60 comprises the following modules: a flow description receiving module 600, arranged to receive flow descriptions from incoming s aggregator and outgoing pre-aggregators; a configuration module 601, arranged to configure the pre-aggregators and to receive from outgoing pre-aggregators the one or more determined flow characteristics; an aggregation module 602, arranged to aggregate aggregated flow descriptions received from outgoing pre-aggregators and aggregated flow descriptions received from incoming pre-aggregators.
  • the collection system includes one or more modules
  • the modules, as described, are distributed on different machines, separate nodes 20, 30, 31. Alternatively, it is possible to provide all the necessary modules in the nodes or possibly only the modules provided in the pre-aggregators.
  • the outgoing pre-aggregator 51 transmits directly to the incoming pre-aggregator 50 the configuration information and the determined flow characteristic (s).
  • the modules 510 to 515 and 600 to 602, which implement the method described above, are preferably software modules comprising software instructions for executing the steps of the method previously described by the server.
  • the software modules can be stored in or transmitted by a data carrier.
  • This may be a hardware storage medium, for example a CD-ROM, a magnetic diskette or a hard disk, or a transmission medium such as an electrical signal, optical or radio, or a telecommunications network.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Procédé de collecte de descriptions de flux portant sur des flux relatifs à au moins un réseau client, le réseau client étant rattaché à un réseau d'interconnexion comprenant : une première étape de réception de descriptions de flux, les descriptions de flux portant sur des flux en provenance du réseau client ; une première étape d'agrégation des descriptions de flux portant sur les flux en provenance du réseau client en fonction d'un critère d'agrégation ; une première étape de transmission des descriptions de flux agrégées vers un équipement de collecte ; caractérisé en ce qu'il comprend en outre : une étape d'analyse des descriptions des flux portant sur les flux en provenance du réseau client afin de déterminer au moins une caractéristique de flux propre au réseau client ; une deuxième étape de réception de descriptions de flux, lesdites descriptions de flux portant sur des flux en provenance du réseau d'interconnexion ; une étape de filtrage des descriptions de flux portant sur les flux en provenance du réseau d'interconnexion, dans laquelle sont éliminées les descriptions de flux portant sur des flux dépourvus de la caractéristique de flux propre au réseau client déterminée ; une deuxième étape de transmission des descriptions de flux filtrées vers l'équipement de collecte.

Description

Procédé de collecte de descriptions de flux portant sur des flux relatifs à au moins un réseau client rattaché à un réseau d'interconnexion
L'invention concerne un procédé de collecte de descriptions de flux portant sur des flux relatifs à au moins un réseau client rattaché à un réseau d'interconnexion. La supervision des réseaux de communication est un besoin constant des opérateurs de réseau. Elle se décline en différentes applications telles que la détection d'attaques de type déni de service DoS pour "Déniai of Service" en anglais, la supervision du réseau quant au trafic acheminé par les différents nœuds du réseau ou encore la supervision d'un réseau client rattaché à un réseau cœur. On notera d'emblée qu'un flux correspond à un échange de paquets de données entre deux machines d'un réseau IP dont les paquets ont des caractéristiques communes notamment des caractéristiques communes d'origine, de destination et de service. Par la suite, ces caractéristiques sont appelées caractéristiques de flux.
Pour assurer la supervision d'un réseau, il est connu de mettre en œuvre un service global d'analyse de flux transitant à travers un réseau sur les nœuds chargés de l'acheminement dans ce réseau. A partir de mesures dites passives et basées sur l'observation des flux entrants dans ces nœuds, des descriptions des flux entrants sont générées. Ces descriptions de flux sont transmises à un équipement de collecte à l'aide d'un protocole spécifique. Il peut, par exemple, s'agir du protocole IPFIX en cours de normalisation au sein de l'IETF (Internet Engineering Task Force) ou de tout autre protocole.
Chaque flux possède une identification de flux, laquelle est réalisée par exemple à l'aide des éléments suivants: l'adresse IP du nœud source, - l'adresse IP du nœud destination,
- les ports source et destination, pour les segments TCP et les datagrammes UDP,
- le protocole utilisé, obtenu par analyse des informations de la couche IP, par exemple TCP, UDP ou ICMP, le champ TOS pour "Type Of Service" en anglais, identifiant pour le flux le type de qualité de service requis (priorité du flux, délai d'acheminement,...), le champ Input qui correspond à un index de l'interface par laquelle le flux est entré dans le nœud, cet index étant défini pour l'administration du réseau.
Lorsqu'un nœud reçoit un paquet de données à acheminer contenant, pour certains éléments d'identification cités ci-dessus, des valeurs non connues, il initie une description de flux en ajoutant à l'identification du flux différents éléments permettant de décrire le flux tels que:
- le numéro de l'interface de sortie Output, cet index étant défini pour l'administration du réseau,
DPkts, contenant le nombre de paquets comptabilisés pour ce flux ; - DOctets, contenant le volume d'octets de niveau 3 (Couche IP) dans les paquets du flux ; First et Last, correspondant respectivement aux instants de début et de fin du flux.
A la réception de chaque nouveau paquet de données, le nœud met à jour les paramètres DPkts, DOctets et Last. Après une durée prédéterminée d'inactivité du flux, ou bien de façon périodique, le nœud transmet à l'équipement de collecte les descriptions relatives à ce flux, qu'il a lui-même réalisées. La quantité de données ainsi transmises peut s'avérer importante et induire une charge importante dans le réseau de collecte, ce qui est d'autant plus difficile à gérer que le réseau est de grande taille. Afin de réduire la quantité de données envoyées à l'équipement de collecte, il est connu d'implémenter dans les nœuds une fonction d'agrégation des descriptions de flux, ayant pour rôle d'agréger les descriptions de flux en fonction d'un critère d'agrégation. Ce critère peut consister par exemple à agréger les descriptions de flux relatives à un ensemble d'adresses IP source. Ces descriptions de flux agrégées sont transmises ensuite à l'équipement de collecte.
Suivant l'application de supervision à laquelle les descriptions de flux agrégées sont destinées, l'agrégation doit satisfaire à des contraintes différentes. A titre d'exemple: pour l'analyse du trafic IP, il est essentiel que l'agrégation permettre de conserver les informations relatives aux ports source et de destination ; pour la détection d'attaques par déni de service, l'agrégation doit permettre de conserver des informations relatives au nombre de paquets envoyés à destination d'un serveur afin de pouvoir analyser la variation de ce volume ; et pour des applications visant à élaborer des matrices de trafic, l'agrégation se fait sur un système autonome ou bien sur des sous-ensembles de réseau.
Le nœud ne peut réaliser qu'un nombre très limité d'agrégations à la fois. Pour pallier ce problème, le nœud transmet parallèlement les mêmes descriptions de flux aux collecteurs des différents dispositifs plus spécifiquement en charge des différentes applications de supervision. Ceci induit une charge de travail supplémentaire pour le nœud dont la fonction principale demeure d'assurer l'acheminement des paquets de données. Afin de limiter cette charge, les nœuds sont en général limités à deux exports en parallèle de descriptions de flux.
Le but de l'invention est donc de limiter le volume des descriptions agrégées transmis à l'équipement de collecte, notamment dans le cadre de la supervision d'un réseau client rattaché à un réseau d'interconnexion.
A cet effet, l'invention concerne un procédé de collecte de descriptions de flux portant sur des flux relatifs à au moins un réseau client, le réseau client étant rattaché à un réseau d'interconnexion, le procédé comprenant: une première étape de réception de descriptions de flux, lesdites descriptions de flux portant sur des flux en provenance du réseau client ; une première étape d'agrégation des descriptions de flux portant sur les flux en provenance du réseau client en fonction d'un critère d'agrégation ; une première étape de transmission des descriptions de flux agrégées vers un équipement de collecte ; caractérisé en ce qu'il comprend en outre: une étape d'analyse des descriptions des flux portant sur les flux en provenance du réseau client afin de déterminer au moins une caractéristique de flux propre au réseau client ; une deuxième étape de réception de descriptions de flux, lesdites descriptions de flux portant sur des flux en provenance du réseau d'interconnexion ; une étape de filtrage des descriptions de flux portant sur les flux en provenance du réseau d'interconnexion, dans laquelle sont éliminées les descriptions de flux portant sur des flux dépourvus de la caractéristique de flux relatif au réseau client déterminée ; - une deuxième étape de transmission des descriptions de flux filtrées vers l'équipement de collecte.
A partir des descriptions de flux portant sur des flux en provenance du réseau client et en fonction des interfaces du réseau client définies comme étant à observer, le procédé détermine au moins une caractéristique de flux et configure automatiquement les traitements à réaliser sur les descriptions de flux portant sur des flux en provenance du réseau d'interconnexion. Les descriptions de flux sortants du réseau d'interconnexion sont, quant à elles, soumises à un filtrage afin de ne conserver que celles correspondant à la caractéristique de flux déterminée. Ainsi, le volume des informations transmis à l'équipement de collecte est réduit. Afin d'obtenir l'ensemble des flux recherchés, il est nécessaire d'obtenir les descriptions de flux en provenance de différents nœuds du réseau d'interconnexion car les chemins utilisés pour les flux entrants et les flux sortants du réseau client ne sont pas obligatoirement les mêmes.
Les charges du réseau de collecte et de l'équipement de collecte sont également réduites puisque seules les informations utiles sont transmises. La méthode présente également plus de souplesse car on peut définir un critère d'agrégation différent par client observé.
Ainsi, on obtient l'ensemble des informations nécessaires aux applications de supervision et uniquement celles-là, sans augmenter la charge de traitement des nœuds qui produisent ces descriptions de flux de bas niveau. Avantageusement, le procédé comprend en outre une deuxième étape d'agrégation des descriptions de flux filtrées en fonction du critère d'agrégation.
Avant transmission des descriptions de flux portant sur des flux en provenance du réseau d'interconnexion et à destination du réseau client, on agrège les descriptions de flux filtrées, c'est-à-dire celles correspondant à la ou les caractéristiques de flux déterminées. La charge des nœuds est ainsi encore réduite puisqu'ils ne sont pas en charge de l'agrégation de toutes les descriptions de flux.
Dans un mode de réalisation, la première étape d'agrégation comprend en outre une sous-étape d'affectation aux descriptions de flux agrégées d'un paramètre d'identification d'une demande d'agrégation et l'étape de filtrage des descriptions de flux comprend une sous-étape d'affectation aux descriptions de flux filtrées du même paramètre d'identification de la demande d'agrégation..
L'utilisation d'un même paramètre d'identification dans les descriptions de flux agrégées portant sur des flux en provenance du réseau client et dans les descriptions de flux filtrées ou agrégées portant sur des flux en provenance du réseau d'interconnexion permet ensuite à l'équipement de collecte de repérer les descriptions de flux correspondant à une même demande d'agrégation.
Dans un mode de réalisation, le procédé comprend en outre une troisième étape d'agrégation, ladite étape consistant à agréger les descriptions de flux agrégées portant sur des flux en provenance du réseau client et les descriptions de flux agrégées en provenance du réseau d'interconnexion afin d'obtenir des descriptions de flux agrégées bi-directionnelles avant transmission vers l'équipement de collecte.
Ainsi les descriptions de flux agrégées portant sur des flux en provenance de différents nœuds du réseau d'interconnexion et les descriptions de flux agrégées portant sur des flux en provenance des nœuds de raccordement du réseau client sont agrégées en des descriptions de flux bi-directionnelles. Grâce à cela, le procédé de l'invention fournit une vision globale du trafic sur le réseau client.
De préférence, il est en outre prévu une étape d'affectation aux descriptions de flux portant sur les flux en provenance du réseau client et aux descriptions de flux portant sur les flux en provenance du réseau d'interconnexion d'un paramètre représentatif d'un sens de transmission entre un client et un serveur, sens montant du client vers le serveur et sens descendant du serveur vers le client, en fonction des valeurs respectives des ports source et de destination contenues dans lesdites descriptions de flux, et lors des première et deuxième étapes d'agrégation, les descriptions de flux sont agrégées en fonction dudit paramètre représentatif du sens de transmission et du critère d'agrégation.
On identifie dans une description de flux, le port dont la valeur est la plus faible entre les ports source et destination. Ce port correspond à celui du serveur (que le serveur soit dans le réseau client ou dans un autre réseau), l'autre au port du client
(de l'architecture client- serveur). On obtient donc des informations agrégées qui conservent les éléments essentiels permettant de réaliser une supervision efficace.
L'information sur le sens applicatif des flux permet de réagir rapidement s'il est constaté, par exemple, que les flux entrant et sortant sont asymétriques. Cela peut être révélateur d'une attaque en cours sur le réseau client ou d'un mauvais fonctionnement d'un serveur.
L'invention concerne également un système de collecte de descriptions de flux portant sur des flux relatifs à au moins un réseau client, le réseau client étant rattaché à un réseau d'interconnexion, le système comprenant: - au moins un module de réception de descriptions de flux agencé pour recevoir des descriptions de flux portant sur des flux en provenance de l'un des deux réseaux d'interconnexion et client ; au moins un module d'agrégation de descriptions de flux, agencé pour agréger des descriptions de flux reçues en fonction d'un critère d'agrégation ; - un module d'analyse de descriptions de flux, agencé pour analyser des descriptions de flux portant sur des flux en provenance du réseau client afin de déterminer au moins une caractéristique de flux propre au réseau client ; un module de filtrage de descriptions de flux, agencé pour éliminer, dans les descriptions de flux reçues, celles portant sur des flux dépourvus de la caractéristique de flux déterminée ; un module de transmission de descriptions de flux, agencé pour transmettre des descriptions de flux filtrées à un module de collecte.
L'invention sera mieux comprise à l'aide de la description suivante d'un mode de réalisation particulier du procédé de l'invention, en référence aux dessins annexés sur lesquels : la figure 1 représente une pluralité de réseaux clients rattachés à un réseau d'interconnexion ainsi qu'un système de collecte des descriptions de flux;
- la figure 2 représente les étapes du procédé de collecte de descriptions de flux portant sur des flux relatifs à au moins un réseau client selon un mode particulier de réalisation de l'invention;
- la figure 3 représente un système de collecte de descriptions de flux.
On notera d'emblée qu'un flux correspond à un échange de paquets de données entre deux machines d'un réseau IP dont les paquets ont des caractéristiques communes notamment des caractéristiques communes d'origine, de destination et de service. Par la suite, ces caractéristiques sont appelées caractéristiques de flux.
La figure 1 représente deux réseaux clients 2 et 3 rattachés à un réseau d'interconnexion 1. Le réseau d'interconnexion est en charge de l'acheminement des flux à destination des réseaux clients. Il s'agit par exemple de l'infrastructure d'un opérateur de télécommunication. Un réseau client peut par exemple être un réseau d'entreprise, un réseau domestique, un réseau mobile, un réseau privé virtuel (VPN pour "Virtual Private Network") à base de MPLS (pour "MultiProtocol Label Switching" en anglais), de VLAN (pour "Virtual Local- Area Network" en anglais), .... Dans l'exemple de la figure 1, le réseau d'interconnexion est un réseau cœur 1 comprenant une pluralité de nœuds 10, 11, 12, 13 et 14 en charge de l'acheminement des paquets entre une adresse de machine source et une adresse de machine destination. Les nœuds 10 et 11 sont des nœuds de sortie du réseau cœur 1 gérant des interfaces vers les réseaux clients 2 et 3 ou vers un nœud client 40. Le nœud client 40 n'appartient pas aux réseaux clients 2 et 3.
Les paquets à destination d'une adresse IP appartenant au réseau client 2 sont acheminés dans le réseau cœur 1 vers le nœud de sortie 10. Le nœud 10 transmet ensuite les paquets vers un nœud 20 du réseau client 2. Dans l'exemple, les adresses IP du réseau 2 correspondent à des adresses appartenant à l'ensemble 156.100.140.0 à 156.100.140.255, c'est-à-dire 156.100.140.0 avec un masque de 24, noté 156.100.140.0/24. Il s'agit de la notation CIDR (Classless Inter-Domain Routing) de routage interdomaine sans classe permettant d'identifier une plage d'adresses IP. L'adresse IP avant la barre oblique "/" est la première adresse de la plage. La valeur située après la barre oblique "/" correspond au nombre de bits d'adresse octroyés au réseau client pour attribuer une adresse IP à ses machines.
Par la suite, on appellera "préfixe réseau" l'ensemble des adresses du réseau client.
Les paquets émis par une machine du réseau client 2 sont transmis par l'intermédiaire du nœud 20 au nœud 10 du réseau cœur 1.
Les paquets à destination d'une adresse IP appartenant au réseau client 3 sont acheminés dans le réseau cœur 1 vers les nœuds 10 et 11 de sortie. Le nœud 10 transmet ensuite les paquets vers un nœud 30 du réseau 3 du client. Le nœud 11 transmet ensuite les paquets vers un nœud 31 du réseau 3 du client. Dans l'exemple du premier mode de réalisation, les adresses IP du réseau 3 correspondent à l'ensemble des adresses de préfixe 140.100.140.0 avec un masque de 24, noté 140.100.140.0/24, et à l'ensemble des adresses de préfixe 139.100.140.0 avec un masque de 24, noté 139.100.140.0/24. Plus particulièrement, dans le réseau cœur 1, les paquets à destination du préfixe 139.100.140.0/24 sont routés vers le nœud 10 et ceux à destination du préfixe 140.100.140.0/24 vers le nœud 20. Les paquets émis par une machine du réseau 3 sont transmis soit par l'intermédiaire du nœud 30 au nœud 10 du réseau cœur 1, soit par l'intermédiaire du nœud 31 au nœud 11 du réseau cœur 1 en partage de charge. Les adresses IP des nœuds 20, 30 et 31 sont respectivement 192.3.2.1, 192.3.2.2 et 192.3.2.3. Les adresses IP des nœuds 10 et 11 sont respectivement 192.3.2.4 et 192.3.2.5.
Dans les modes de réalisation décrits, les nœuds 10, 11, 20, 30 et 31 offrent la possibilité d'activer, sur requête, des mesures de descriptions de flux portant sur des flux entrants dans le nœud. Ces mesures peuvent être activées, par exemple, pour tous les flux entrants dans le nœud ou pour les flux entrants à travers certaines des interfaces du nœud seulement. Ces mesures sont ensuite transmises à un équipement de collecte. Selon l'invention, les mesures sont transmises à l'aide d'un protocole de type IPFIX, normalisé à l'IETF, vers des équipements de collecte intermédiaires 50, 51 et 60 avant d'être transmis à un équipement de collecte final 70. Par la suite, les équipements de collecte intermédiaires 50 et 51 sont appelés pré-agrégateurs et l'équipement de collecte intermédiaire 60, un agrégateur. Ces différents équipements de collecte dialoguent entre eux à l'aide d'un protocole de type IPFIX.
Un serveur 71 permet de dialoguer avec l'agrégateur 60 afin notamment de permettre la configuration du système de collecte qui sera décrit plus loin.
Le procédé de collecte de descriptions de flux portant sur des flux relatifs à un réseau client va maintenant être décrit en référence à la figure 2. Dans l'exemple du premier mode de réalisation décrit ici, les deux réseaux clients 2 et 3 sont supervisés conjointement. Le nœud client 40 n'est pas supervisé. Dans une première étape El de configuration, le serveur 71 transmet une demande à l'agrégateur 60. Cette demande contient un critère d'agrégation AggrMode, les informations identifiant un ou plusieurs nœuds en charge de l'exportation des descriptions de flux et la liste des interfaces à observer pour chacun de ces nœuds ainsi qu'un type associé à ces interfaces suivant qu'il s'agisse d'une interface de flux sortants du réseau client 2 ou 3 ou d'une interface de flux sortants du réseau d'interconnexion 1. De façon optionnelle, la demande comprend pour chaque réseau client un paramètre d'identification de la demande d'agrégation AggrID. Dans l'exemple considéré, il s'agit des interfaces de nœuds des réseaux clients 2 et 3, en l'espèce celles des nœuds 20 du réseau client 2 et celles des nœuds 30 et 31 du réseau client 3. Deux demandes de cette table possèdent le même paramètre d'identification afin de faciliter par la suite le regroupement des données du réseau client 3, ce réseau client 3 possédant deux interfaces de sortie.
Le tableau I regroupe les demandes faites à l'agrégateur 60 dans l'exemple du premier mode de réalisation. L'ensemble des tableaux est regroupé dans l'Annexe. Dans le tableau I, on notera que:
- "Clientl" et "Client 2" correspondent respectivement aux réseaux clients 2 et 3.
- "Noeudl" correspond à l'identité du nœud 20, "Noeud2" à celle du nœud 30 et "Noeud3" à celle du nœud 31. - "Adresse d'exportation" correspond à l'adresse du nœud en charge de l'exportation des descriptions de flux.
- "Interfaceld" correspond à l'identification de l'interface à observer.
- "Aggrmod" correspond à un critère d'agrégation utilisé pour définir le type d'agrégation à effectuer. Son fonctionnement est décrit lors de la description de l'étape
E6 d'agrégation des descriptions de flux.
En variante à cette étape El, l'agrégateur 60 pourrait identifier les interfaces à observer par lecture des bases de données d'administration associées aux nœuds.
A la suite de cette étape El de configuration, dans une deuxième étape de configuration E2, l'agrégateur 60 transmet à un pré-agrégateur une demande de préagrégation. La demande est transmise au(x) pré-agrégateur(s) en charge de la collecte des descriptions de flux en provenance du nœud gérant une des interfaces à observer appartenant à la liste des interfaces de nœud à observer, transmise par le serveur 71 (ou déterminée par l'agrégateur 60 dans la variante de réalisation), à l'étape El. Dans l'exemple considéré, il s'agit du pré-agrégateur 51 qui est en charge de la collecte des descriptions de flux portant sur des flux en provenance des réseaux clients 2 et 3.
Dans une première variante, le mécanisme de description de flux est activé en continu sur l'ensemble des interfaces des nœuds.
Dans une deuxième variante, le mécanisme de description de flux est activé sur les nœuds 20, 30 et 31 par le pré-agrégateur 51 ou par l'agrégateur 60 par un protocole de type IPFIX.
Le pré-agrégateur 51 est alors configuré pour déterminer au moins une caractéristique de flux par analyse des descriptions de flux portant sur des flux en provenance des réseaux clients 2 et 3 et pour agréger ces descriptions de flux en fonction du critère d'agrégation.
Dans une troisième étape E3 de réception de descriptions de flux, le pré- agrégateur 51 reçoit des descriptions de flux portant sur des flux en provenance des réseaux clients 2 et 3, dans l'exemple particulier, envoyées par les nœuds 20, 30 et 31.
Dans le premier mode de réalisation, le pré-agrégateur 51 reçoit les informations contenues dans le tableau II. Dans le tableau II, le champ "exporter" correspond à l'adresse IP du nœud qui a envoyé les descriptions de flux. Les autres champs correspondent à la description du flux.
Suite à la réception de descriptions de flux à l'étape E3, dans une quatrième étape E4 d'analyse de descriptions de flux, le pré-agrégateur 51 analyse les descriptions de flux portant sur des flux en provenance du réseau client 2 ou 3 en fonction des informations reçues à l'étape de configuration El afin de déterminer, pour chaque réseau client à observer 2 ou 3, au moins une caractéristique de flux. Dans le premier mode de réalisation, il en déduit les caractéristiques de ce réseau client, en particulier, le ou les préfixes IP du réseau client et le système autonome auquel appartient le réseau client. Ces caractéristiques sont propres au réseau client. Les informations relatives au masque réseau et au système autonome du réseau client sont contenues dans les descriptions de flux transmises. Les informations relatives au masque apparaissent dans le champ "Src Mask" du tableau IL Par souci de clarté, les informations relatives au système autonome, contenues dans les descriptions de flux reçues par le pré-agrégateur 51, n'apparaissent pas dans le tableau II.
Dans l'exemple considéré, l'analyse du tableau II permet de déterminer les informations contenues dans le tableau III.
A l'issue de cette étape E4, le pré-agrégateur 51 connaît au moins l'une des caractéristiques de flux à observer.
Dans une cinquième étape E5 de transmission de caractéristique de flux, le pré-agrégateur 51 transmet à l'agrégateur 60 la ou les caractéristiques de flux à observer déterminées à l'étape E4. Il s'agit dans l'exemple particulier des informations contenues dans le tableau III. A l'issue de cette étape E5, l'agrégateur 60 a connaissance de la ou des caractéristiques de flux à observer.
En parallèle, dans une sixième étape E6 d'agrégation des descriptions de flux, le pré-agrégateur 51 agrège les descriptions de flux en fonction du critère d'agrégation AggrMod qu'il a reçu à l'étape El.
Dans l'exemple particulier décrit ici, le critère d'agrégation est une combinaison des deux paramètres "minPort" et "PrefixSrc", "minPort" représentant le plus petit des ports source et destination et "PrefixSrc" représentant le préfixe réseau de la source du flux. L'agrégation sur la base d'un tel critère est décrite ci-après.
Dans une première sous-étape E61, pour chaque ligne du tableau II, le pré- agrégateur 51 détermine le plus petit des deux ports, entre le port source et le port de destination du flux, ces informations étant comprises dans la description du flux dans les champs SrcPort et DstPort. Si le port de destination correspond à la valeur déterminée comme étant la plus petite, le flux va être considéré comme montant entre un client et un serveur. Si le port source correspond à la valeur déterminée comme étant la plus petite, le flux est considéré comme descendant entre un serveur et un client. Le pré-agrégateur conserve la valeur la plus petite et affecte à la description de flux un paramètre représentatif d'un sens de transmission montant ou descendant entre un client et un serveur. Le tableau IV contient les informations issues du tableau II suite à cette sous-étape E61.
A l'issue de cette sous-étape E61 et dans une deuxième sous-étape E62, le pré-agrégateur 51 agrège les descriptions de flux en fonction du critère d'agrégation transmis à l'étape El. Dans le premier mode de réalisation, le critère d'agrégation correspond à la combinaison de "MinPort" et "PrefixSrc". Il regroupe ainsi dans une seule description de flux agrégée l'ensemble des descriptions de flux relatives à des ports respectifs (MinPort) couverts par un même préfixe IP du réseau client et au même sens de transmission (montant ou descendant), envoyées par un même nœud identifié par le champ "exporter" de la description de flux. Les informations contenues dans le champ relatif à l'adresse de destination du flux DestAddr ne sont pas conservées dans les descriptions de flux agrégées. Les valeurs contenues dans les champs "octets" et "pkts" sont cumulées dans des champs agrégés respectifs. De façon optionnelle, il affecte à la description de flux agrégée un paramètre d'identification de l'agrégation. Ces valeurs de paramètre ont été transmises à l'étape El de configuration dans le champ AggrID. Dans l'exemple décrit, les descriptions de flux agrégées sont contenues dans le tableau V.
De façon optionnelle et en fonction de la valeur du critère d'agrégation, le pré- agrégateur 51 affecte à la description de flux agrégée un paramètre temporel représentatif de la répartition dans le temps des descriptions de flux qui ont été agrégées. Il peut s'agir, par exemple, de la valeur la plus faible parmi l'ensemble des valeurs contenues dans les champs "First" des descriptions de flux ayant été agrégées (ce champ "First" correspondant à l'instant de début de flux), et de la valeur la plus élevée parmi l'ensemble des valeurs contenues dans les champs "Last" des descriptions de flux ayant été agrégées (le champ "Last" correspondant à l'instant de fin de flux).
A l'issue de cette sous-étape E62, le pré-agrégateur 51 transmet dans une sous-étape E63 les descriptions de flux agrégées vers l'agrégateur 60.
L'étape E6 d'agrégation des descriptions de flux est effectuée uniquement pour les descriptions de flux correspondant aux flux sortants du réseau client. Ainsi, la transmission de descriptions de flux agrégées est limitée aux seuls flux sortants du réseau client (et donc entrants sur le réseau d'interconnexion). Il n'y a pas de description de flux transmise pour des réseaux clients non observés.
Suite à la réception des caractéristiques de flux propres au réseau client à observer lors de l'étape E5, dans une septième étape E7 de configuration, l'agrégateur
60 configure le pré-agrégateur 50 en lui transmettant les caractéristiques à observer, en particulier, les nœuds gérant une des interfaces à observer appartenant à la liste des interfaces de nœud à observer, la ou les caractéristiques de flux qu'il a obtenues à l'étape E5 et le critère d'agrégation. Optionnellement, il transmet le paramètre d'identification d'agrégation.
En variante, à l'étape E5, le pré-agrégateur 51 transmet directement ces caractéristiques au pré-agrégateur 50 et l'étape E7 n'est pas réalisée.
Suite à la réception de ces caractéristiques à l'étape E5 ou à l'étape E7, le pré- agrégateur 50 active l'agrégation des descriptions de flux portant sur des flux en provenance du réseau d'interconnexion 1 en fonction de la ou des caractéristiques de flux reçues et selon le critère d'agrégation, comme décrit ci-après.
Dans une huitième étape E8 de filtrage et d'agrégation des descriptions de flux, et plus particulièrement dans une sous-étape E81 de réception des descriptions de flux, le pré-agrégateur 50 reçoit des descriptions de flux portant sur des flux en provenance du réseau d'interconnexion 1, envoyées par les nœuds 10 et 11 dans l'exemple particulier de réalisation, et filtre dans une sous-étape E82 les descriptions de flux reçues afin d'éliminer celles dont la caractéristique de flux correspondant à la caractéristique de flux propre au réseau client reçue n'est pas couverte par celle-ci. Il s'agit des descriptions de flux portant sur des flux dépourvus de la caractéristique de flux propre au réseau client déterminée. Dans le premier mode de réalisation, il élimine celles dont l'adresse de destination n'est pas couverte par un des préfixes réseau déterminés du réseau client. Optionnellement, il affecte à chaque description de flux le paramètre d'identification d'agrégation. Dans l'exemple décrit, les descriptions de flux filtrées par le pré-agrégateur 50 sont contenues dans le tableau VI. Ces descriptions de flux filtrées sont ensuite traitées de la même manière qu'à l'étape E6. Le pré-agrégateur 50 affecte, au cours d'une sous-étape E83, aux descriptions de flux filtrées un paramètre représentatif d'un sens de transmission montant ou descendant entre un client et un serveur. Il agrège ensuite, dans une sous- étape E84, dans une seule description de flux l'ensemble des descriptions de flux filtrées selon le critère d'agrégation. Dans le premier mode de réalisation, il s'agit des descriptions de flux relatives à un des préfixes réseau déterminés du réseau client 2 ou 3 et au même sens de transmission montant ou descendant, envoyées par un nœud identifié par le champ "exporter" de la description de flux.
Dans l'exemple décrit, les descriptions de flux agrégées sont contenues dans le tableau VII.
Le pré-agrégateur 50 transmet ensuite, au cours d'une sous-étape E85, les descriptions de flux agrégées à l'agrégateur 60.
A la suite des étapes E6 et E8, dans une neuvième étape E9 d'agrégation, l'agrégateur 60 agrège les descriptions de flux reçues du pré-agrégateur 51 à l'étape E6 et celles reçues du pré-agrégateur 50 à l'étape E8 en des descriptions de flux agrégées bi-directionnelles, comme décrit ci-après.
Dans le premier mode de réalisation, pour chaque description de flux agrégée en provenance du pré-agrégateur 51 contenant en tant qu'adresse source un des préfixes IP déterminés du réseau client 2 ou 3, l'agrégateur recherche dans les autres descriptions de flux agrégées en provenance du même pré-agrégateur 51 s'il en existe une contenant également comme adresse source le même préfixe IP. Si le paramètre de sens de transmission affecté à la description de flux a la même valeur que celui affecté à la description de flux provenant du pré-agrégateur 51, il agrège les deux descriptions de flux. Il recherche ensuite dans les descriptions de flux agrégées en provenance du pré-agrégateur 50 s'il en existe une contenant comme adresse de destination le même préfixe IP. Si le paramètre de sens de transmission affecté à la description de flux agrégée provenant du pré-agrégateur 50 est opposé à celui affecté à la description de flux provenant du pré-agrégateur 51, les autres paramètres de la description du flux étant semblables, l'agrégateur 60 agrège les deux descriptions de flux en une description de flux agrégée bi-directionnelle. Les agrégations sont réalisées en prenant en compte des informations temporelles afin de n'agréger que des descriptions de flux comprises dans un même intervalle de temps. Cette génération de descriptions de flux bi-directionnelles est facilitée par l'utilisation du paramètre d'identification de l'agrégation de la demande, AgrrID, qui permet de détecter les descriptions de flux agrégées en provenance de différents pré-agrégateur s relatives à la même demande.
Dans l'exemple considéré, l'agrégateur 60 génère à partir des descriptions de flux agrégées contenues dans les tableaux V et VII des descriptions de flux bidirectionnelles contenues dans les tableaux VIII et IX. Le tableau VIII correspond aux descriptions de flux vers des serveurs externes au réseau client 2 ou 3. Il s'agit de l'agrégation bi-directionnelle des descriptions de flux correspondant à des flux descendants. Le tableau IX correspond aux descriptions de flux vers des serveurs présents dans le réseau client 2 ou 3, c'est-à-dire à des flux montants. Les descriptions de flux de Ag2 du flux TCP présentent une dissymétrie notable, ce qui conduit à supposer que les serveurs du réseau client 3 subissent une attaque en TCP. Les informations relatives aux nœuds ayant transmis les descriptions de flux peuvent être conservées mais ne sont pas indiquées dans les tableaux VIII et IX pour des raisons de lisibilité.
D'autres formes de présentation des descriptions de flux bi-directionnelles sont également possibles. On notera également que les descriptions de flux agrégées présentent l'avantage de masquer les plans d'adressage internes au réseau client. Suite à cette étape E9, les descriptions de flux bi- directionnelle s sont ensuite transmises au cours d'une étape ElO vers un équipement de collecte 70. Cette transmission est paramétrable: elle peut se faire au fil de l'eau ou lorsque certaines valeurs dépassent un seuil. Avantageusement, l'agrégation inclut des détections sur seuil par comparaison de valeurs comprises dans les descriptions de flux bidirectionnelles. Il peut s'agir d'une comparaison entre le nombre de paquets entrants et le nombre de paquets sortants. Il peut s'agir également de détection de seuil sur certains paramètres tels que le nombre de paquets, le volume d'octets.
Le procédé, hormis les étapes liées à la configuration de l'ensemble du système de collecte, est continu, c'est-à-dire que les étapes E3 de réception de descriptions de flux, E6 d'agrégation des descriptions de flux, E8 de filtrage et d'agrégation des descriptions de flux et E9 d'agrégation se déroulent de façon continue dès que des descriptions de flux correspondant aux flux observés sont reçues des nœuds. Le premier mode de réalisation est décrit en utilisant comme critère d'agrégation une valeur consistant à affecter un paramètre représentatif d'un sens de transmission entre un client et un serveur en fonction du port source et du port de destination contenus dans les descriptions de flux et à agréger ensuite les descriptions de flux par préfixe IP source au pré-agrégateur 51 traitant les descriptions de flux portant sur des flux en provenance du réseau client 2 ou 3 et par préfixe IP destination au pré-agrégateur 50 traitant les descriptions de flux portant sur des flux en provenance du réseau cœur.
D'autres modes d'agrégation, fondés sur d'autres critères, sont également envisageables, notamment, sans que la liste suivante ne soit exhaustive: - une agrégation en fonction du préfixe réseau source
(AggrMode="PrefixSrc") ou du préfixe réseau destination (AggrMode="PrefixDst") ; une affectation d'un paramètre représentatif d'un sens de transmission suivie d'une agrégation en fonction du port source (AggrMode="MinPort") ; une affectation d'un paramètre représentatif d'un sens de transmission suivie d'une agrégation en fonction du préfixe IP destination (AggrMode="MinPort+PrefixDst").
Suivant le type de réseau client à observer, l'affectation d'un paramètre représentatif du sens de transmission entre un client et un serveur n'est pas réalisée de la même façon. Des valeurs de ports source génériques sont réservées pour les serveurs dans une plage de 0 à 1023: par exemple, la valeur de 80 correspond à http, 12 à TCP,
21 à FTP, 161 à "SNMP Polling" et 162 à l'envoi des alarmes SNMP. Dans un réseau de recouvrement de type P2P, pour "Peer-to-Peer" en anglais, l'affectation des numéros de port aux serveurs est dynamique. Le port du serveur est partagé par l'ensemble des clients. On peut alors, par analyse des descriptions de flux reçues, identifier l'association adresse IP/port serveur et en déduire le port serveur utilisé de façon dynamique. Par contraposé, on peut également agréger des descriptions de flux relatives à des ports quasi-contigus en partant de l'hypothèse que l'affectation dynamique par un serveur à des clients se fait de cette manière.
Le premier mode de réalisation est décrit dans le cas où une répartition de la charge est réalisée entre les différents nœuds. On peut également envisager que seuls les nœuds en sortie du réseau client transmettent les descriptions de flux en provenance et à destination du réseau client. Dans un deuxième mode de réalisation, le procédé permet d'observer des flux multicast.
Dans un mode "Broadcast", il peut s'agir par exemple de diffusion de télévision, de diffusion d'informations. La source d'émission est située dans le réseau client observé. Les flux en provenance du réseau client sont à destination d'une adresse dite multicast. Le réseau cœur est en charge de la rediffusion des flux à destination de l'adresse multicast vers les différentes adresses des terminaux IP unicast ayant demandé, à l'aide du protocole IGMP (Internet Group Management Protocol), à recevoir les flux. Il gère un arbre de diffusion multicast. Le pré-agrégateur 51 détecte l'adresse de destination multicast sur une interface de sortie du réseau client par analyse des descriptions de flux portant sur des flux en provenance du réseau client. Suivant le type d'application envisagée, on peut identifier deux modes d'agrégation différents.
Dans une première variante, le but est de déterminer l'arbre Multicast, géré par le réseau cœur, associé à l'adresse multicast. On définit dans ce cas le critère d'agrégation à la valeur "broadcastTree". A l'étape E4 d'analyse des descriptions de flux portant sur des flux en provenance du réseau client, le pré-agrégateur 51 analyse les descriptions de flux afin de déterminer au moins l'adresse de la source unicast et/ou l'adresse de destination multicast. Ces caractéristiques sont propres au réseau client. A l'étape E5, il transmet ces caractéristiques de flux déterminées à l'agrégateur 60. A l'étape E62 d'agrégation des descriptions de flux portant sur des flux provenant du réseau client, le pré-agrégateur 51 agrège les descriptions de flux pour des flux dont les adresses source et destination correspondent au couple (adresse source unicast, adresse de destination multicast). A l'étape E7, l'agrégateur 60 configure des pré- agrégateurs en charge de descriptions de flux portant sur des flux en provenance du réseau cœur en leur fournissant les informations du flux déterminées et le critère d'agrégation. A l'étape E8, les pré-agrégateurs fournissent les descriptions de flux agrégées en fonction des caractéristiques de flux déterminées. Ils transmettent, associée aux descriptions de flux agrégées, une liste de nœuds (champ "Exporter") qui correspond aux nœuds par lesquels le flux multicast a été acheminé. A partir des informations contenues dans les descriptions de flux agrégées et en particulier les informations de routage qui y sont présentes (identification du prochain routeur pour l'acheminement, identification du système autonome, ...), l'application peut déterminer l'arbre du flux multicast. Par symétrie, cette variante est également applicable à la découverte de l'arbre du flux multicast, la source multicast étant diffusée dans le réseau client.
Dans une deuxième variante, le but est de d'estimer l'audience d'un service multicast d'une source de diffusion située dans le réseau client ou bien d'observer sa répartition par réseau. On définit dans ce cas le critère d'agrégation à la valeur "broadcastListener". Les étapes E4, E5, E62 et E8 sont identiques à la première variante. A l'étape E7, l'agrégateur configure des pré-agrégateurs en charge de descriptions de flux portant sur des flux en provenance de réseaux d'accès en leur fournissant les caractéristiques de flux déterminées et le critère d'agrégation. A partir des descriptions de flux reçues à l'étape E8, l'application détermine ainsi une liste de nœuds d'accès multicast et/ou de nœuds de diffusion aux terminaux à interroger afin d'obtenir par la suite le nombre de sessions multicast associées à cette source. Ceci permet d'obtenir une bonne estimation instantanée de l'audience par simple cumul des sessions.
Dans un mode "Multicast", il peut s'agir également de trafic multi- directionnel, par exemple de conférence audio ou autre. L'application vise à déterminer la liste des membres d'un groupe Multicast. L'ensemble des membres du groupe Multicast, ayant chacun une adresse source unicast, émet à destination d'une adresse Multicast. On définit dans ce cas le critère d'agrégation à la valeur "multicastMember". A l'étape E4 d'analyse des descriptions de flux portant sur des flux en provenance du réseau client, le pré-agrégateur 51 détermine en tant que caractéristiques de flux l'adresse de la source unicast située dans le réseau client et l'adresse de destination multicast. Ces caractéristiques sont propres au réseau client. A l'étape E5, il transmet l'adresse de destination Multicast à l'agrégateur 60. A l'étape E62 d'agrégation des descriptions de flux portant sur des flux provenant du réseau client, le pré-agrégateur 51 agrège les descriptions de flux pour des flux dont les adresses source et destination correspondent au couple (adresse source unicast, adresse de destination multicast). A l'étape E7, l'agrégateur 60 configure des pré-agrégateur s en charge de descriptions de flux portant sur des flux en provenance du réseau cœur en leur fournissant la ou les caractéristiques de flux déterminées et le critère d'agrégation. A l'étape E8, les pré- agrégateurs fournissent les descriptions de flux filtrées en fonction de l'adresse de destination multicast et en conservant chaque adresse source. A partir de ces informations, l'application peut déterminer la liste des adresses sources émettant dans le même groupe multicast que l'adresse source unicast du réseau client et par conséquent, la liste des membres du groupe multicast.
On notera que le procédé fonctionne également dans le cas où les nœuds mettent en œuvre un échantillonnage des flux pour la constitution des descriptions de flux. Le procédé prend alors en compte cette information qui peut être par exemple présente dans les descriptions de flux de bas niveau ou être connue par configuration des nœuds.
Le procédé est également applicable à la collecte de descriptions de flux sur d'autres types de réseaux client tels qu'un réseau privé virtuel, un réseau domestique, un réseau mobile. Il est particulièrement bien adapté à la collecte de descriptions de flux portant sur des flux en provenance de tout réseau rattaché à un réseau d'interconnexion de niveau supérieur.
On va maintenant décrire le système de collecte de descriptions de flux en référence à la figure 3.
Le système de collecte comprend les pré-agrégateurs 50, 51 et l'agrégateur 60. Une partie du pré-agrégateur 51, ayant une fonction d'agrégation de descriptions de flux portant sur des flux en provenance d'un réseau client, appelée par la suite pré-agrégateur sortant, comprend les modules suivants: - un module 510 de réception de descriptions de flux, agencé pour recevoir des descriptions de flux portant sur des flux en provenance du réseau client ; un module 512 d'agrégation de descriptions de flux, agencé pour agréger des descriptions de flux reçues en fonction d'un critère d'agrégation ; un module 511 d'analyse de descriptions de flux, agencé pour analyser des descriptions de flux portant sur des flux en provenance du réseau client afin de déterminer au moins une caractéristique de flux propre au réseau client ; un module 513 de transmission de descriptions de flux, agencé pour transmettre des descriptions de flux filtrées à un agrégateur 60 ou à un module de collecte 70 ; - un module 514 de configuration, agencé pour recevoir des informations de configuration d'un agrégateur et pour transmettre à l'agrégateur la caractéristique de flux déterminée.
Une partie du pré-agrégateur 50, ayant une fonction d'agrégation de descriptions de flux portant sur des flux en provenance d'un réseau d'interconnexion, appelée par la suite pré-agrégateur entrant, comprend les modules suivants: un module 514 de configuration, agencé pour recevoir des informations de configuration d'un agrégateur 60 ; un module 510 de réception de descriptions de flux, agencé pour recevoir des descriptions de flux portant sur des flux en provenance du réseau d'interconnexion ; un module 515 de filtrage de descriptions de flux, agencé pour éliminer, dans les descriptions de flux reçues, celles portant sur des flux dépourvus de ladite au moins une caractéristique de flux reçue par le module 514 de configuration ; un module 513 de transmission de descriptions de flux, agencé pour transmettre des descriptions de flux filtrées à un agrégateur 60 ou à un module de collecte
70.
De façon optionnelle, le pré- agrégateur entrant 50 comprend en outre un module 512 d'agrégation de descriptions de flux, agencé pour agréger des descriptions de flux reçues en fonction d'un critère d'agrégation. Les descriptions de flux lui sont transmises par le module 515 de filtrage.
L'agrégateur 60 comprend les modules suivants: un module 600 de réception de descriptions de flux, agencé pour recevoir des descriptions de flux en provenance de pré- agrégateur s entrants et de pré- agrégateurs sortants ; - un module 601 de configuration, agencé pour configurer les pré-agrégateurs et recevoir de pré-agrégateurs sortants la ou les caractéristiques de flux déterminées ; un module 602 d'agrégation, agencé pour agréger des descriptions de flux agrégées reçues de pré-agrégateurs sortants et des descriptions de flux agrégées reçues de pré-agrégateurs entrants.
Optionnellement, le système de collecte comprend un ou plusieurs modules
516 d'affectation à une description de flux d'un paramètre représentatif d'un sens de transmission entre un client et un serveur, sens montant du client vers le serveur et sens descendant du serveur vers le client, en fonction des valeurs respectives des ports source et de destination contenues dans ladite description de flux et le module d'agrégation est agencé pour agréger les descriptions de flux en fonction dudit paramètre représentatif du sens de transmission et du critère d'agrégation. Ce module peut être intégré soit dans les pré-agrégateurs, soit dans l'agrégateur.
Les modules, tels que décrits, sont répartis sur différentes machines, distinctes des nœuds 20, 30, 31. Alternativement, il est possible de prévoir l'ensemble des modules nécessaires dans les nœuds ou éventuellement uniquement les modules prévus dans les pré-agrégateurs.
Dans une autre alternative, il n'y a pas d'agrégateur. Le pré-agrégateur sortant 51 transmet directement au pré-agrégateur entrant 50 les informations de configuration et la ou les caractéristique(s) de flux déterminée(s).
Les modules 510 à 515 et 600 à 602, qui mettent en œuvre le procédé précédemment décrit, sont de préférence des modules logiciels comprenant des instructions logicielles pour faire exécuter les étapes du procédé précédemment décrit par le serveur. Les modules logiciels peuvent être stockés dans ou transmis par un support de données. Celui-ci peut être un support matériel de stockage, par exemple un CD-ROM, une disquette magnétique ou un disque dur, ou bien un support de transmission tel qu'un signal électrique, optique ou radio, ou un réseau de télécommunication.
ANNEXE
Tableau I
Tableau II
Tableau III
Tableau IV
Tableau V
Tableau VI
Tableau VII
Tableau VIII: Activité vers des serveurs externes au réseau client
Tableau IX: Activité des serveurs dans le réseau client

Claims

REVENDICATIONS
1, Procédé de collecte de descriptions de flux portant sur des flux relatifs à au moins un réseau client (2, 3), Ie réseau client (2, 3) étant rattaché à un réseau d'interconnexion (1), ledit procédé comprenant: une première étape de réception de descriptions de flux (E3), lesdites descriptions de flux portant sur des flux en provenance du réseau client (2,3) ; une première étape d'agrégation des descriptions de flux (E62) portant sur les flux en provenance du réseau client (2,3) en fonction d'un critère d'agrégation ; - une première étape de transmission (E63) des descriptions de flux agrégées vers un équipement de collecte (60, 70) ; caractérisé en ce qu'il comprend en outre: une étape d'analyse des descriptions des flux (E4) portant sur les flux en provenance du réseau client (2,3) afin de déterminer au moins une caractéristique de flux propre au réseau client ; une deuxième étape de réception de descriptions de flux (E81), lesdites descriptions de flux portant sur des flux en provenance du réseau d'interconnexion (1) ; une étape de filtrage des descriptions de flux (E82) portant sur les flux en provenance du réseau d'interconnexion (1), dans laquelle sont éliminées les descriptions de flux portant sur des flux dépourvus de ladite au moins une caractéristique de flux propre au réseau client déterminée ; une deuxième étape de transmission (E85) des descriptions de flux filtrées vers l'équipement de collecte (60, 70).
2. Procédé selon la revendication 1, dans lequel, avant la deuxième étape de transmission (E85), le procédé comprend en outre une deuxième étape d'agrégation (E84) des descriptions de flux filtrées en fonction du critère d'agrégation.
3. Procédé selon la revendication 1 ou 2, dans lequel la première étape d'agrégation (E62) comprend en outre une sous-étape d'affectation aux descriptions de flux agrégées d'un paramètre d'identification d'une demande d'agrégation et l'étape de filtrage des descriptions de flux (E82) comprend une sous-étape d'affectation aux descriptions de flux filtrées du même paramètre d'identification de la demande d'agrégation.
4. Procédé selon la revendication 2 ou 3, ledit procédé comprenant en outre une troisième étape d'agrégation (E9), ladite étape consistant à agréger les descriptions de flux agrégées portant sur des flux en provenance du réseau client
(2,3) et les descriptions de flux agrégées en provenance du réseau d'interconnexion (1) afin d'obtenir des descriptions de flux agrégées bidirectionnelles avant transmission vers l'équipement de collecte (60, 70).
5. Procédé selon les revendications 2 à 4, dans lequel il est en outre prévu une étape d'affectation (E61) aux descriptions de flux portant sur les flux en provenance du réseau client (2,3) et aux descriptions de flux portant sur les flux en provenance du réseau d'interconnexion (1) d'un paramètre représentatif d'un sens de transmission entre un client et un serveur, sens montant du client vers le serveur et sens descendant du serveur vers le client, en fonction des valeurs respectives des ports source et de destination contenues dans lesdites descriptions de flux, et lors des première et deuxième étapes d'agrégation (E62, E84), les descriptions de flux sont agrégées en fonction dudit paramètre représentatif du sens de transmission et du critère d'agrégation,
6. Procédé selon l'une quelconque des revendications précédentes, dans lequel il est en outre prévu une étape d'affectation (E62) aux descriptions de flux agrégées portant sur les flux en provenance du réseau client (2, 3) et aux descriptions de flux agrégées portant sur les flux en provenance du réseau d'interconnexion (1) d'un paramètre temporel représentatif de la répartition dans le temps des descriptions de flux qui ont été agrégées.
7. Système de collecte de descriptions de flux portant sur des flux relatifs à au moins un réseau client, le réseau client (2, 3) étant rattaché à un réseau d'interconnexion (1), ledit système comprenant: au moins un module de réception de descriptions de flux (510) agencé pour recevoir des descriptions de flux portant sur des flux en provenance de l'un des deux réseaux d'interconnexion (1) et client (2,3) ; - au moins un module d'agrégation de descriptions de flux (512), agencé pour agréger des descriptions de flux reçues en fonction d'un critère d'agrégation ; un module d'analyse de descriptions de flux (511), agencé pour analyser des descriptions de flux portant sur des flux en provenance du réseau client (2,3) afin de déterminer au moins une caractéristique de flux propre au réseau client ; - un module de filtrage de descriptions de flux (515), agencé pour éliminer, dans les descriptions de flux reçues, celles portant sur des flux dépourvus de ladite au moins caractéristique de flux déterminée ; un module de transmission de descriptions de flux (513), agencé pour transmettre des descriptions de flux filtrées à un module de collecte (60, 70).
8. Système selon la revendication 7 comprenant en outre un module d'agrégation (602) agencé pour agréger des descriptions de flux agrégées portant sur des flux en provenance du réseau client (2, 3) et des descriptions de flux agrégées en provenance du réseau d'interconnexion (1).
9. Système selon la revendication 7 ou 8, dans lequel il est prévu un module d'affectation à une description de flux d'un paramètre représentatif d'un sens de transmission entre un client et un serveur (516), sens montant du client vers le serveur et sens descendant du serveur vers le client en fonction des valeurs respectives des ports source et de destination contenues dans ladite description de flux et le module d'agrégation (512) est agencé pour agréger les descriptions de flux en fonction dudit paramètre représentatif du sens de transmission et du critère d'agrégation.
EP07731625A 2006-02-28 2007-02-14 Procede de collecte de descriptions de flux portant sur des flux relatifs a au moins un reseau client rattache a un reseau d'interconnexion Withdrawn EP1992111A2 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0650695 2006-02-28
PCT/FR2007/050800 WO2007099245A2 (fr) 2006-02-28 2007-02-14 Procede de collecte de descriptions de flux portant sur des flux relatifs a au moins un reseau client rattache a un reseau d'interconnexion

Publications (1)

Publication Number Publication Date
EP1992111A2 true EP1992111A2 (fr) 2008-11-19

Family

ID=37119119

Family Applications (1)

Application Number Title Priority Date Filing Date
EP07731625A Withdrawn EP1992111A2 (fr) 2006-02-28 2007-02-14 Procede de collecte de descriptions de flux portant sur des flux relatifs a au moins un reseau client rattache a un reseau d'interconnexion

Country Status (3)

Country Link
US (1) US7908369B2 (fr)
EP (1) EP1992111A2 (fr)
WO (1) WO2007099245A2 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108366042A (zh) * 2017-04-07 2018-08-03 北京安天网络安全技术有限公司 一种基于探针的自动流量特征收集方法及系统

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8286191B2 (en) * 2009-05-14 2012-10-09 International Business Machines Corporation Dynamically composing data stream processing applications
US8255554B2 (en) 2009-05-14 2012-08-28 International Business Machines Corporation Application resource model composition from constituent components
US9674207B2 (en) * 2014-07-23 2017-06-06 Cisco Technology, Inc. Hierarchical attack detection in a network
US10686699B2 (en) * 2015-07-28 2020-06-16 Ciena Corporation Multicast systems and methods for segment routing
US10278198B2 (en) * 2016-08-23 2019-04-30 Realtek Singapore Private Limited Packet forwarding device, and packet-forwarding priority setting circuit and method
US11811638B2 (en) * 2021-07-15 2023-11-07 Juniper Networks, Inc. Adaptable software defined wide area network application-specific probing

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5615801A (en) * 1990-06-06 1997-04-01 The Coca-Cola Company Juice concentrate package for postmix dispenser
DE60045552D1 (de) 1999-06-30 2011-03-03 Apptitude Inc Verfahren und gerät um den netzwerkverkehr zu überwachen
US20020181462A1 (en) * 2001-04-24 2002-12-05 Sorin Surdila System and method for providing end-to-end quality of service (QoS) across multiple internet protocol (IP) networks
US20030033430A1 (en) 2001-07-20 2003-02-13 Lau Chi Leung IP flow discovery for IP probe auto-configuration and SLA monitoring
US7561517B2 (en) 2001-11-02 2009-07-14 Internap Network Services Corporation Passive route control of data networks
FR2842058B1 (fr) * 2002-07-08 2004-10-01 France Telecom Procede de restitution d'un flux de donnees multimedia sur un terminal client, dispositif, systeme et signal correspondants
FR2857187B1 (fr) * 2003-07-04 2005-08-19 France Telecom Procede de configuration automatique d'un routier d'acces, compatible avec le protocole dhcp, pour effectuer un traitement automatique specifique des flux ip d'un terminal client
FR2859059A1 (fr) * 2003-08-20 2005-02-25 France Telecom Procede de transmission de paquets, dispositifs d'agregation et de desagregation de paquets
US7526807B2 (en) * 2003-11-26 2009-04-28 Alcatel-Lucent Usa Inc. Distributed architecture for statistical overload control against distributed denial of service attacks
CN100550823C (zh) * 2003-12-26 2009-10-14 上海贝尔阿尔卡特股份有限公司 一种具有快速保护和公平特性的以太网传送设备及方法
US7424489B1 (en) * 2004-01-23 2008-09-09 At&T Corp. Methods and apparatus for space efficient adaptive detection of multidimensional hierarchical heavy hitters
US20060221956A1 (en) * 2005-03-31 2006-10-05 Narayan Harsha L Methods for performing packet classification via prefix pair bit vectors
US20070261041A1 (en) * 2005-08-23 2007-11-08 Lisa Amini Method and system for dynamic application composition in streaming systems
US20070118609A1 (en) * 2005-11-23 2007-05-24 France Telecom Distributed computing architecture and associated method of providing a portable user environment
US9794272B2 (en) * 2006-01-03 2017-10-17 Alcatel Lucent Method and apparatus for monitoring malicious traffic in communication networks
US7941387B2 (en) * 2007-11-05 2011-05-10 International Business Machines Corporation Method and system for predicting resource usage of reusable stream processing elements

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2007099245A2 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108366042A (zh) * 2017-04-07 2018-08-03 北京安天网络安全技术有限公司 一种基于探针的自动流量特征收集方法及系统
CN108366042B (zh) * 2017-04-07 2020-02-07 北京安天网络安全技术有限公司 一种基于探针的自动流量特征收集方法及系统

Also Published As

Publication number Publication date
US7908369B2 (en) 2011-03-15
US20090055529A1 (en) 2009-02-26
WO2007099245A3 (fr) 2007-10-18
WO2007099245A2 (fr) 2007-09-07

Similar Documents

Publication Publication Date Title
EP3151470B1 (fr) Procédure analytique de réseau interconnecté
Gerber et al. P2p the gorilla in the cable
US7660296B2 (en) Reliable, high-throughput, high-performance transport and routing mechanism for arbitrary data flows
EP2372953B1 (fr) Échantillonnage de débit avec automates vocaux
WO2007099245A2 (fr) Procede de collecte de descriptions de flux portant sur des flux relatifs a au moins un reseau client rattache a un reseau d'interconnexion
US10757023B2 (en) Method and system for triggering augmented data collection on a network based on traffic patterns
WO2009043143A1 (fr) Collecte et gestion intelligentes de statistiques de flux
EP2262173A1 (fr) Procédé et agent de gestion de réseau
Bashir et al. Classifying P2P activity in Netflow records: A case study on BitTorrent
Aurelius et al. Streaming media over the Internet: Flow based analysis in live access networks
Li et al. A five year perspective of traffic pattern evolution in a residential broadband access network
FR3072529B1 (fr) Routage de donnees dans une passerelle residentielle mettant en œuvre l'agregation de liens
Han et al. Insights into the issue in IPv6 adoption: A view from the Chinese IPv6 Application mix
EP2064845A2 (fr) Procede pour configurer le profil de qualite de service d'un flot donne au niveau d'un noeud d'acces d'un reseau de communication par paquets
FR3010600A1 (fr) Procede de transmission de flux de donnees a travers un reseau de telecommunication
Kolbe et al. Monitoring the impact of P2P users on a broadband operator's network
Kettig et al. Monitoring the Impact of P2P Users on a Broadband Operator's Network over Time
Liu et al. Broadband network traffic analysis and study in various types of applications
Bo et al. P2P flows identification method based on listening port
Dischinger Making broadband access networks transparent to researchers, developers, and users
Leitão Adaptive Search Radius for BitTorrent Swarms
Arsénio et al. Next-Generation IPv6 Network Security: Toward Automatic and Intelligent Networks
Kim et al. Characteristic Analysis of IP Traffic Flows
my Father RIP
WO2010052406A1 (fr) Procede d'observation de flots transmis a travers un reseau de communication par paquets

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20080905

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC NL PL PT RO SE SI SK TR

17Q First examination report despatched

Effective date: 20090529

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20110705