ES2323244T3 - Analisis del trafico en redes de alta velocidad. - Google Patents
Analisis del trafico en redes de alta velocidad. Download PDFInfo
- Publication number
- ES2323244T3 ES2323244T3 ES05291044T ES05291044T ES2323244T3 ES 2323244 T3 ES2323244 T3 ES 2323244T3 ES 05291044 T ES05291044 T ES 05291044T ES 05291044 T ES05291044 T ES 05291044T ES 2323244 T3 ES2323244 T3 ES 2323244T3
- Authority
- ES
- Spain
- Prior art keywords
- analysis
- level
- analyzer
- protocol
- circuit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
Abstract
Un sistema (10) de análisis del tráfico para llevar a cabo un análisis del tráfico de paquetes sobre un enlace de comunicaciones (200'') que conecta una pluralidad de redes, en el que el sistema comprende: - una pluralidad de circuitos analizadores (310; 320a a 320n; 330i a 330j) conectados entre sí por una pluralidad de enlaces (202a a 202n), teniendo cada uno de los cuales una velocidad de transmisión de datos inferior a una velocidad de transmisión de datos de dicho enlace de comunicaciones; y - en el que la pluralidad de circuitos analizadores está adaptada para llevar a cabo unos niveles diferentes respectivos de un análisis de paquetes que circulan a lo largo de dicho enlace de comunicaciones, en el que la información extraída de los paquetes analizados en un primer análisis en un primer circuito analizador es reenviada a un segundo circuito de análisis llevado a cabo en un segundo nivel analizador, comprendiendo el segundo nivel al menos dos analizadores (320a a 320n) dispuestos para llevar a cabo un análisis paralelo, y el análisis adicional llevado a cabo por el segundo circuito analizador depende del análisis llevado a cabo por el primer circuito analizador, en el que los primero y segundo circuitos analizadores adaptados para llevar a cabo los niveles respectivos diferentes de un análisis comprenden unos circuitos analizadores de niveles más bajo y más alto, respectivamente, en el que el circuito analizador de nivel más bajo está adaptado para llevar a cabo un nivel de análisis explícito, mientras que el segundo analizador de nivel más alto está adaptado para llevar a cabo el nivel de análisis implícito, en el que el nivel de análisis implícito comprende el reconocimiento de la presencia de un protocolo, el cual no es fácilmente identificable de una manera definida mediante una cabecera de protocolo, la cual precede a este protocolo dentro de una pila de protocolos, mientras que el nivel de análisis explícito comprende el reconocimiento de la presencia de un protocolo, el cual es fácilmente identificable de una manera definida por la cabecera del protocolo, la cual precede a este protocolo dentro de la pila de protocolos.
Description
Análisis del tráfico en redes de alta
velocidad.
La presente invención se refiere al campo de las
redes informáticas y en particular, al análisis del flujo del
tráfico en enlaces de conexión de alta velocidad.
El flujo del tráfico de investigación puede
consumir mucho tiempo y energía de procesamiento de vigilancia y
clasificación, y están aumentado de una manera tremenda tanto la
cantidad como la velocidad de los datos del tráfico, especialmente
los datos del tráfico en Internet. Los sistemas de análisis del
flujo del tráfico muy a menudo tropiezan con diversos obstáculos,
los cuales tienen lugar al nivel del paso del flujo del tráfico
debido a los diversos tipos de procesamientos densos requeridos con
el fin de obtener una clasificación y un procesamiento semánticos,
fiables, y útiles del tráfico de las redes.
La clasificación del tráfico que se desplaza
alrededor de una red de datos hace posible decidir sobre los
comportamientos que se van a adoptar para cada flujo de tráfico como
una función de su clasificación. Esto es, antes de que un paquete
de datos pueda ser satisfactoriamente procesado, la clasificación
del flujo del tráfico permite que los componentes de la red
clasifiquen los paquetes del tráfico de acuerdo con las
características de los paquetes y con la información contenida en
el paquete. Por tanto, un procesamiento preciso y eficiente de los
datos depende en gran medida de los procedimientos fiables de
clasificación de los paquetes. Después de que el paquete ha sido
clasificado, los componentes de la red pueden determinar cómo
manejar y procesar adecuadamente los paquetes.
Por ejemplo, en un cortafuegos, un sistema de
seguridad establecido se basa en términos generales en el
reconocimiento de las propiedades del protocolo para impedir
determinadas transferencias, y en los dispositivos de gestión de la
calidad del servicio; dichos dispositivos asignan unas prioridades a
los datos como una función de normas complejas que describen
diversos escenarios. Una correspondencia entre estos escenarios y
los paquetes de datos transmitidos dentro de unas conexiones
utiliza determinadas técnicas para clasificar estas conexiones.
De nuevo aquí, las operaciones de control y
gestión de las redes requieren la clasificación de las conexiones
entre diversos emisores y receptores los cuales generan flujos de
datos digitales a través de estas redes. Esto requiere unos
procedimientos de clasificación potentes y fiables, y con ello el
análisis del tráfico.
Así mismo, el análisis y la clasificación de
los paquetes a menudo comportan la tarea compleja de construir
atributos de protocolo, esto es, determinar la secuencia ordenada de
los nombres del protocolo utilizados en el flujo semántico de los
datos y en los nombres de los parámetros acarreados por un
protocolo. La generación de dicha base gráfica o de conocimiento
para reconocer diferentes protocolos es una tarea muy engorrosa
debido al número creciente de nuevos protocolos utilizados en las
redes de comunicación de paquetes, así como al número de
modificaciones de protocolos y de nuevos enlaces de dependencia.
Típicamente una tarea de observación de paquetes
de datos es asignada a un nodo de una red, como por ejemplo un
servidor apoderado a través del cual pasan las conexiones, las
cuales generan estos paquetes de datos. Así, los análisis del flujo
existentes se llevan en general a cabo en sistemas de redes
informáticas como por ejemplo el ilustrado en la Figura 1. Un
sistema de análisis del tráfico para el análisis del tráfico de
alta velocidad (por ejemplo, paquetes o datagramas) entre varias
computadoras, incluye una primera red 100 conectada a una segunda
red 110 que utiliza un enlace de comunicaciones 200. El enlace 200
es utilizado por un analizador 300, el cual mide y analiza el
tráfico que fluye en ambas o en una u otra dirección entre la
primera red 100 y la segunda red 110. El tráfico entre la red 100 y
la red 110 es generalmente de 1 Gbps en redes comerciales pero
puede ser tan alto como un par de docenas de Gbps en el núcleo de
una red del operador.
Como se indicó con anterioridad, en redes de
tráfico intenso, el análisis continuo de todo el tráfico de una
forma exacta y precisa es una tarea formidable. La capacidad de
análisis y medición del analizador 300 se determina por el número
de flujos simultáneos N (por ejemplo, el tamaño del flujo del
tráfico) y por el rendimiento T de cada flujo (por ejemplo, la
velocidad del flujo del tráfico). N directamente afecta a la
cantidad de memoria requerida para gestionar el contexto de las
aplicaciones registradas, mientras que T incide directamente en la
potencia de procesamiento requerida para llevar a cabo el análisis
sin pérdida significativa de paquetes. T define la cantidad de
paquetes que van a ser procesados en un lapso de tiempo y define,
como resultado de ello, la cantidad de procesamiento que puede ser
asignada a cada paquete.
En sistemas conocidos, la cantidad de
procesamiento aumenta de forma proporcional con el incremento del
flujo N, en tanto en cuanto cada paquete contribuye al estado de un
flujo y con ello impone una estructura de datos cuyo tamaño está
relacionado con N. Es evidente, por tanto, que una estructura
material determinada presentará un comportamiento relacionado con
su rendimiento y configuración intrínsecos, lo que hará posible o
bien incrementar N mediante la reducción de D, o bien incrementar D
reduciendo N. En otras palabras, N x D permanece casi constante.
Sin embargo, la realidad y el progreso de las
redes informáticas existentes es que N y T aumentan ambos
proporcionalmente al mismo tiempo. Esto es, el tamaño y la
velocidad del tráfico de red ya no es inversamente proporcional,
sino que tanto N como T están aumentando. A ello se añade la
vastedad y complejidad del flujo del tráfico que queda por vigilar
y analizar.
La publicación de la solicitud de Patente
estadounidense US2005/0083935 se refiere a un procedimiento y a un
aparato para una clasificación de paquetes en dos etapas, incluyendo
en el sistema de clasificación de paquetes en dos etapas una
primera etapa y una segunda etapa. En la primera etapa de
clasificación, un paquete es clasificado sobre la base de la
trayectoria de red del paquete. En la segunda fase de clasificación,
el paquete es clasificado sobre la base de uno o más campos de
transporte (u otros) del paquete. Se divulgan también formas de
realización de adaptación de filtros y de compartición de nivel de
transporte de máxima concreción, y una u otra o ambas técnicas
referidas pueden ser implementadas dentro del procedimiento de
clasificación de dos etapas.
Por consiguiente, sería deseable desarrollar un
procedimiento y un sistema novedosos para llevar a cabo análisis de
flujo del tráfico eficientes, prácticos y mejorados destinados a
redes informáticas para evaluar el flujo del tráfico denso y de
alta velocidad, así como para llevar a cabo un análisis de
protocolo mejorado para tecnologías emergentes, como por ejemplo
aplicaciones VoIP (Voz sobre IP).
De acuerdo con ello, constituye un objetivo de
la invención proporcionar un sistema de análisis del tráfico para
análisis del tráfico sobre un enlace de comunicaciones, y que ofrece
unos circuitos analizadores conectados entre sí por una pluralidad
de enlaces, donde cada circuito analizador tiene una velocidad de
transmisión de datos menor que la velocidad de transmisión de datos
del enlace de comunicaciones, y están adaptados para llevar a cabo
unos respectivos niveles diferentes de análisis sobre los paquetes.
La información extraída de los paquetes analizados en un primer
nivel de análisis por un primer circuito analizador es reenviada a
un segundo nivel de análisis llevado a cabo en un segundo circuito
analizador, y del análisis adicional llevado a cabo por el segundo
circuito analizador depende del análisis llevado a cabo por el
primer circuito analizador.
Pueden también incluirse uno o más de los
siguientes rasgos distintivos.
En un aspecto de la invención, los primero y
segundo circuitos analizadores adaptados para llevar a cabo los
respectivos diferentes niveles de análisis incluyen una memoria para
recibir información del estado proporcionada por el análisis
llevado a cabo por los primero y segundo circuitos analizadores.
En otro aspecto, los primero y segundo circuitos
analizadores adaptados para llevar a cabo los respectivos niveles
diferentes de análisis incluyen unos circuitos analizadores de
niveles más bajo y más alto, respectivamente, donde el circuito
analizador de nivel más bajo está adaptado para llevar un nivel
explícito de análisis, mientras que el circuito analizador de nivel
más alto está adaptado para llevar a cabo un nivel de análisis
implícito.
En otro aspecto adicional más, el nivel
explícito de análisis está adaptado para reconocer los protocolos
para los cuales en la cabecera de los paquetes identifica
suficientemente la información útil para formular una signatura de
los paquetes.
Así mismo, la invención proporciona también un
procedimiento para el examen del flujo del tráfico de la red
mediante la realización del análisis de los paquetes sobre un enlace
de comunicaciones que conecta diversas redes, en el que el
procedimiento establece unos niveles sucesivos de análisis dentro de
un sistema de análisis del tráfico que incorpora unos circuitos
analizadores adaptados para llevar a cabo unos niveles de análisis
respectivos diferentes en diferentes gamas, y los circuitos
analizadores están conectados entre sí mediante enlaces, cada uno
de los cuales tiene una velocidad de transmisión de datos inferior
que una velocidad de transmisión de datos del enlace de
comunicaciones. El procedimiento así mismo reenvía los paquetes
analizados por los circuitos analizadores, donde la información
extraída de los paquetes analizados en un primer nivel de análisis
por un primer circuito analizador es reenviada a un segundo nivel de
análisis llevada a cabo en un segundo circuito analizador, y así
sucesivamente, y el procedimiento utiliza el análisis llevado a cabo
por el primer circuito analizador por el análisis llevado a cabo
por el segundo circuito analizador subsecuente.
Otros rasgos distintivos de la invención se
exponen con mayor detenimiento en las reivindicaciones
dependientes.
Estos y otros aspectos del sistema y el
procedimiento mejorados se pondrán de manifiesto a partir de la
descripción subsecuente, de los dibujos, y a partir de las
reivindicaciones.
La Figura 1 es un diagrama esquemático de un
típico sistema de análisis del tráfico;
la Figura 2 es un diagrama esquemático de una
primera implementación de acuerdo con la presente invención; y
la Figura 3 es un diagrama esquemático de otra
implementación de la presente invención.
Con referencia a la Figura 2, un sistema 10 de
análisis del tráfico incluye un analizador jerárquico 310 que
sustituye al analizador 300 del sistema de análisis del tráfico de
la Figura 1.
El analizador jerárquico 310 define unas capas
sucesivas de análisis para el flujo del tráfico que atraviesa un
enlace de comunicaciones 200' entre una primera red 100' y una
segunda red 110'. Como resultado de ello, el analizador jerárquico
310 lleva a cabo un primer nivel de análisis sobre el flujo del
tráfico, un segundo nivel de análisis es llevado a cabo por los
analizadores 320a a 320n, y un tercer nivel de análisis se lleva a
cabo por los analizadores 330i a 330j. El sistema 10 de análisis del
tráfico puede tener tantos niveles y analizadores como sean
necesarios para analizar y clasificar satisfactoriamente el tráfico
que depende del tamaño y de la velocidad del flujo de los paquetes
sobre el enlace de comunicaciones 200'.
El analizador jerárquico 310 y los analizadores
320a a 320n están conectados por los enlaces 202a a 202n, y el
número de paquetes que pasa a través del enlace de comunicaciones
200' es mayor que el número de paquetes que pasa a través de los
enlaces 202a a 202n.
Por ejemplo, en el primer nivel de análisis, el
analizador jerárquico 310 lleva a cabo un primer nivel de
clasificación, esto es, lleva a cabo las primeras operaciones para
clasificar los paquetes de acuerdo con el tipo de paquetes, la
identificación de cabecera, y operaciones similares. Así mismo, el
analizador jerárquico 310 puede llevar a cabo un tipo explícito de
análisis de protocolo como por ejemplo las técnicas de
reconocimiento de patrones o la búsqueda de patrones.
Entre dichos protocolos explícitos se encuentra
el protocolo Ethernet, donde una cabecera de paquetes de Ethernet
especifica si el protocolo siguiente de la pila de protocolos es,
por ejemplo, un protocolo de LLC o un protocolo de IP posiblemente
junto con su versión. Así mismo, la cabecera de los paquetes bajo el
control del IP especifica si el protocolo siguiente de la pila de
protocolos es un Protocolo TCP, UDP, o ICMP. Aunque el primer nivel
de análisis podría pertenecer a tipos explícitos de análisis de
protocolo no está necesariamente limitado a ellos.
Una vez que el primer nivel de análisis llevado
a cabo en el nivel inferior es llevado a cabo por el analizador
jerárquico 310, los analizadores de segundo nivel, a saber, los
analizadores 320a a 320n pueden examinar también los paquetes de
acuerdo con la clasificación anterior efectuada por el analizador
jerárquico 310 de primer nivel. En otras palabras, los analizadores
320a a 320n llevarán a cabo un tipo implícito de análisis a niveles
más altos, lo que significa el reconocimiento de la presencia de
protocolos implícitos. Se dice que un protocolo es implícito cuando
no es fácilmente identificable de manera definida por una cabecera
de protocolo que precede a este protocolo dentro de la pila de
protocolos. Tal es el caso de los numerosos protocolos de los
niveles de aplicación, como por ejemplo Pointcast o Kazaa, cuyo uso
en la pila de protocolos de una conexión, depende del contexto de
sus conexiones genéricamente establecido mediante negociaciones
previas, que son difíciles de compilar con un escaneo en tiempo
real a lo largo del flujo de paquetes que se desplaza alrededor de
la conexión. Por ejemplo, determinados protocolos conocidos, como
por ejemplo los protocolos HTTP, Telnet, FTP están en el límite de
los protocolos implícitos y explícitos. Estos protocolos pueden
considerarse como explícitos cuando un número de puerto reservado
que figura en una cabecera de protocolo TCP proporciona un
indicador de destino que hace posible identificar de manera
definida el protocolo que es transportado, por ejemplo, un número
80 correspondiente al protocolo HTTP, un número 23, correspondiente
al protocolo Telnet, un número 21 correspondiente al protocolo FTP.
Una estación de cliente utiliza, por ejemplo, bajo el TCP, un
número de puerto 80 para establecer una conexión de consulta del
HTTP con una estación de servidor mediante la asignación de un
número de puerto dinámico a una conexión entre pares que posibilite
que la estación de servidor responda a la estación de cliente. La
naturaleza explícita del protocolo HTTP a través de la conexión
entre pares para acarrear las respuestas de la situación de servidor
a la estación de cliente queda disminuida a través de la asignación
dinámica de un número de puerto, relacionado con el contexto de la
conexión de consulta. Así mismo, nada impide que una estación de
cliente negocie de antemano con la estación de servidor, un número
de puerto distinto del número 80 para la conexión de consulta del
HTTP. En este caso, el protocolo HTTP es más implícito que
explícito. Esto sigue siendo verdad para otros protocolos y la
tecnología es capaz de gestionar esta situación.
A continuación, el segundo nivel de análisis
enriquece el conocimiento proporcionado por el primer nivel de
análisis, y así sucesivamente. A continuación, añadiendo niveles
adicionales de análisis, como por ejemplo los analizadores 330i a
330j de tercer nivel, los analizadores 330i a 330j utilizan el
análisis llevado a cabo en el segundo nivel precedente de análisis
y enriquecen el nivel precedente con análisis adicionales
propios.
Así mismo, como otro ejemplo de un primer nivel
de análisis, podemos imaginar un primer nivel de análisis llevado a
cabo por el primer analizador jerárquico 310 de primer nivel
mediante el cálculo de una clave de refundición sobre el origen del
IP, las direcciones de destino del IP, el código de transporte, el
puerto de origen y el puerto de destino, y enviar los paquetes a
los analizadores 320a a 320n para un segundo nivel de análisis
donde se efectúe una clasificación utilizando los puertos de
clasificación, dejando a los analizadores 330i a 330j la tarea de
llevar a cabo un tercer nivel de clasificación perteneciente al
reconocimiento semántico del flujo del tráfico. Por ejemplo, un
reconocimiento semántico del flujo puede comportar la utilización de
un gráfico del protocolo y un mecanismo de autoidentificación
modular asociado con el protocolo para obtener elementos
importantes de los paquetes a partir del tráfico, tal y como se
describe en el documento WO 2004/017595.
Con referencia todavía a la Figura 2, todos los
analizadores del sistema 10 de análisis del tráfico pueden
compartir una memoria 400 que almacene el estado de la información
relacionada con los análisis llevados a cabo. Por ejemplo, en el
escenario anteriormente descrito, sería necesario que los
analizadores 320a a 320n y los analizadores 330i a 330j
compartieran la memoria común 400. De hecho, sería necesario que los
analizadores 310, 320a a 320n, y 330i a 330j y todos los
analizadores de niveles diferentes subsecuentes compartieran la
misma memoria 400. Un ejemplo se produce cuando la visión de la
tarea analítica se basa en el empleo de estadísticas de recursos
procedentes de cada sensor.
Con referencia ahora a la Figura 3, en ella se
representa otro sistema 20 de análisis del tráfico en el que un
nivel jerárquico de análisis es implementado utilizando unidades de
procesamiento independientes, ya sea combinando varias CPUs, como
por ejemplo computadoras PC, mediante la utilización de una
arquitectura de procesamiento paralela, por ejemplo, procesadores
de red, ya sea de forma más global, mediante la utilización de otro
tipo de mecanismo que posibilite la organización de capas de
análisis sucesivas y la compartición de los datos relacionados.
La Figura 3 muestra un tráfico de datos
bidireccional sobre un enlace de comunicación 200'' que pasa a
través de un procesador de red 500 que agrega unos procesadores
elementales 510a a 510x, conectados a una memoria 600, un módulo de
almacenaje 700, y un microprocesador tradicional 800 por medio de un
bus 900 de alto rendimiento.
Como se ilustra así mismo en la Figura 3, al
analizar el tráfico de datos bidireccional para el análisis
jerárquico, el análisis de comunicaciones 200'' recibe los paquetes
entrantes 1000 en su extremo de entrada 205. Estos paquetes
entrantes 1000 son primeramente analizados por uno de los
procesadores elementales 510a a 510x en una etapa (210). Los
paquetes entrantes 1000 son a continuación enviados en la memoria
600 en una etapa (220). Por ejemplo, si es necesario, los paquetes
entrantes 1000 son a continuación duplicados sobre el enlace de
comunicación 200'' en su extremo de salida 215 en una etapa (230).
Este puede ser el caso cuando el análisis positivo se lleve a cabo,
por ejemplo, con fines de vigilancia, pero no es el caso en otras
aplicaciones como en aplicaciones de cortafuegos. En paralelo, las
mismas etapas son acarreadas para los demás paquetes. A
continuación, los paquetes 1000 almacenados en la memoria 600 son
procesados por el microprocesador tradicional 800 en una etapa
(240), el cual analizará los paquetes y describirá la información de
estado en el módulo de almacenaje 700 en una etapa (250). Esta
parte del análisis no implica a todos los paquetes, sino solo a una
porción de ellos. Así mismo, el análisis de todos los paquetes
entrantes 1000 puede efectuarse en paralelo y de manera
independiente de la copia y duplicación así como del procesamiento
de los paquetes utilizando el microprocesador tradicional 800.
Como un ejemplo, el microprocesador tradicional
800 puede llevar a cabo análisis pertenecientes a protocolos
diferentes de análisis y analizar los paquetes en el contexto de
diferentes protocolos, por ejemplo, protocolos implícitos vs.
explícitos, con el fin de identificar con rapidez los paquetes y
extraer información semántica útil sobre el flujo del tráfico, como
por ejemplo la clasificación de una conexión de red mediante una
estructura progresiva de una secuencia ordenada de los protocolos
utilizados.
Claims (10)
-
\global\parskip0.950000\baselineskip
1. Un sistema (10) de análisis del tráfico para llevar a cabo un análisis del tráfico de paquetes sobre un enlace de comunicaciones (200') que conecta una pluralidad de redes, en el que el sistema comprende:- -
- una pluralidad de circuitos analizadores (310; 320a a 320n; 330i a 330j) conectados entre sí por una pluralidad de enlaces (202a a 202n), teniendo cada uno de los cuales una velocidad de transmisión de datos inferior a una velocidad de transmisión de datos de dicho enlace de comunicaciones; y
- -
- en el que la pluralidad de circuitos analizadores está adaptada para llevar a cabo unos niveles diferentes respectivos de un análisis de paquetes que circulan a lo largo de dicho enlace de comunicaciones, en el que la información extraída de los paquetes analizados en un primer análisis en un primer circuito analizador es reenviada a un segundo circuito de análisis llevado a cabo en un segundo nivel analizador, comprendiendo el segundo nivel al menos dos analizadores (320a a 320n) dispuestos para llevar a cabo un análisis paralelo, y el análisis adicional llevado a cabo por el segundo circuito analizador depende del análisis llevado a cabo por el primer circuito analizador, en el que los primero y segundo circuitos analizadores adaptados para llevar a cabo los niveles respectivos diferentes de un análisis comprenden unos circuitos analizadores de niveles más bajo y más alto, respectivamente, en el que el circuito analizador de nivel más bajo está adaptado para llevar a cabo un nivel de análisis explícito, mientras que el segundo analizador de nivel más alto está adaptado para llevar a cabo el nivel de análisis implícito, en el que el nivel de análisis implícito comprende el reconocimiento de la presencia de un protocolo, el cual no es fácilmente identificable de una manera definida mediante una cabecera de protocolo, la cual precede a este protocolo dentro de una pila de protocolos, mientras que el nivel de análisis explícito comprende el reconocimiento de la presencia de un protocolo, el cual es fácilmente identificable de una manera definida por la cabecera del protocolo, la cual precede a este protocolo dentro de la pila de protocolos.
- 2. El sistema de acuerdo con la reivindicación 1, en el que los primero y segundo circuitos analizadores adaptados para llevar a cabo los niveles de análisis respectivos diferentes comprenden una memoria común (400) para recibir la información de estado proporcionada por el análisis llevado a cabo por los primero y segundo circuitos analizadores.
- 3. El sistema de acuerdo con la reivindicación 1, en el que el nivel de análisis explícito está adaptado para reconocer unos protocolos para los cuales la cabecera de un paquete identifica de manera suficiente la información útil para formular una signatura de paquete.
- 4. El sistema de acuerdo con la reivindicación 1, que comprende así mismo un procesador de red (500) que agrega unos procesadores elementales (510a a 510x); una memoria (600); y un módulo de almacenaje (700) conectados por medio de un bus de comunicación (900).
- 5. El sistema de la reivindicación 4, en el que el procesador de red comprende una arquitectura de procesamiento en paralelo.
- 6. Un procedimiento para examinar el flujo del tráfico de una red mediante la realización de un análisis de paquetes sobre un enlace de comunicaciones (200') que conecta una pluralidad de redes, en el que el procedimiento comprende:
- -
- el establecimiento de unos niveles sucesivos de análisis dentro de un sistema (10) de análisis del tráfico que comprende una pluralidad de circuitos analizadores adaptados para llevar a cabo unos niveles respectivos diferentes de análisis en diferentes capas, en el que varios circuitos analizadores (310; 320a a 320n; 330i a 330j), están conectados entre sí por una pluralidad de enlaces (202a a 202n), cada uno de los cuales tiene una velocidad de transmisión de datos inferior a una velocidad de transmisión de datos de dicho enlace de comunicaciones;
- -
- el reenvío de los paquetes analizados por los diferentes circuitos analizadores, en el que la información extraída de los paquetes analizados en un primer nivel de análisis por un primer circuito analizador es reenviado a un segundo nivel de análisis llevado a cabo en un segundo circuito analizador, comprendiendo el segundo nivel al menos dos analizadores (320a a 320n) dispuestos para llevar a cabo análisis paralelos, y así sucesivamente; y
- -
- la utilización del análisis llevado a cabo por el primer circuito analizador para el análisis llevado a cabo por el segundo circuito analizador en los que los primero y segundo circuitos analizadores están adaptados para llevar a cabo unos respectivos niveles diferentes de análisis que comprenden unos circuitos analizadores de nivel más bajo y más alto, respectivamente, en el que el circuito analizador de nivel más bajo está adaptado para llevar a cabo un nivel explícito de análisis, mientras que el circuito analizador de nivel más alto está adaptado para llevar a cabo un nivel implícito de análisis, en el que el nivel implícito de análisis comprende el reconocimiento de la presencia de un protocolo, el cual no es fácilmente identificable de manera definida por una cabecera de protocolo, el cual precede a este protocolo dentro de una pila de protocolos, mientras que el nivel explícito de análisis comprende el reconocimiento de la presencia de un protocolo; el cual es fácilmente identificable de manera definida mediante una cabecera de protocolo, el cual precede a este protocolo dentro de la pila de protocolos.
\global\parskip1.000000\baselineskip
- 7. El procedimiento de la reivindicación 6, en el que el establecimiento de niveles sucesivos de análisis comprende la definición del primer nivel de análisis llevado a cabo por el primer circuito analizador mediante la clasificación de los paquetes por refundición de su dirección de origen o signatura y el reenvío de los paquetes clasificados hasta el circuito analizador de segundo nivel en el segundo nivel de análisis.
- 8. El procedimiento de las reivindicaciones 6 y 7, en el que el procedimiento comprende así mismo la provisión de un reconocimiento semántico del flujo del tráfico en base al análisis llevado a cabo por los primero y segundo niveles de análisis.
- 9. El procedimiento de las reivindicaciones 6 a 8, que comprende así mismo las etapas de:
- -
- el análisis (210) de los paquetes entrantes (1000) que llegan al extremo entrante (205) del enlace de comunicaciones, mediante al menos uno de los procesadores elementales (510a a 510x);
- -
- la copia (220) de los paquetes dentro de la memoria;
- -
- el procesamiento (240) de los paquetes almacenados en la memoria utilizando un procesador para analizar los paquetes e inscribir (250) la información de estado en un módulo de almacenaje; y
- -
- la realización del análisis para todos los paquetes entrantes en paralelo y con independencia de la copia, la duplicación, y las etapas de procesamiento.
- 10. El procedimiento de la reivindicación 9, en el que el procedimiento comprende así mismo la duplicación (230) de los paquetes sobre un enlace de salida (215) del enlace de comunicaciones.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP05291044A EP1722509B1 (en) | 2005-05-13 | 2005-05-13 | Traffic analysis on high-speed networks |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2323244T3 true ES2323244T3 (es) | 2009-07-09 |
Family
ID=35170109
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES05291044T Active ES2323244T3 (es) | 2005-05-13 | 2005-05-13 | Analisis del trafico en redes de alta velocidad. |
Country Status (10)
Country | Link |
---|---|
US (1) | US7729279B2 (es) |
EP (1) | EP1722509B1 (es) |
JP (1) | JP4782827B2 (es) |
KR (1) | KR101234327B1 (es) |
CN (1) | CN101176306B (es) |
AT (1) | ATE428238T1 (es) |
CA (1) | CA2607607C (es) |
DE (1) | DE602005013754D1 (es) |
ES (1) | ES2323244T3 (es) |
WO (1) | WO2006120040A1 (es) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112235160A (zh) * | 2020-10-14 | 2021-01-15 | 福建奇点时空数字科技有限公司 | 一种基于协议数据深层检测的流量识别方法 |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100726352B1 (ko) * | 2006-03-28 | 2007-06-08 | 중앙대학교 산학협력단 | 통신량 증감에 따른 네트워크 트래픽의 분석시스템과 이를이용한 분석방법 |
JP4126707B2 (ja) * | 2006-07-28 | 2008-07-30 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 情報システムの状態を解析する技術 |
US8396945B2 (en) * | 2006-09-11 | 2013-03-12 | Alcatel Lucent | Network management system with adaptive sampled proactive diagnostic capabilities |
FR2961985B1 (fr) | 2010-06-23 | 2013-06-28 | Qosmos | Dispositif de collecte de donnees pour la surveillance de flux dans un reseau de donnees |
US8990380B2 (en) | 2010-08-12 | 2015-03-24 | Citrix Systems, Inc. | Systems and methods for quality of service of ICA published applications |
US8792491B2 (en) * | 2010-08-12 | 2014-07-29 | Citrix Systems, Inc. | Systems and methods for multi-level quality of service classification in an intermediary device |
US8638795B2 (en) | 2010-08-12 | 2014-01-28 | Citrix Systems, Inc. | Systems and methods for quality of service of encrypted network traffic |
US8737204B2 (en) | 2011-05-02 | 2014-05-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Creating and using multiple packet traffic profiling models to profile packet flows |
US20130148513A1 (en) * | 2011-12-08 | 2013-06-13 | Telefonaktiebolaget Lm | Creating packet traffic clustering models for profiling packet flows |
US8953451B2 (en) * | 2012-06-14 | 2015-02-10 | The Boeing Company | Apparatus, methods, and systems for character set surveying of network traffic |
US9692654B2 (en) | 2014-08-19 | 2017-06-27 | Benefitfocus.Com, Inc. | Systems and methods for correlating derived metrics for system activity |
AU2015312102B2 (en) * | 2014-09-02 | 2018-06-14 | Nasdaq, Inc. | Data packet processing methods, systems, and apparatus |
FR3043872B1 (fr) | 2015-11-12 | 2019-05-24 | Qosmos Tech | Analyse asynchrone d'un flux de donnees |
FR3083659B1 (fr) | 2018-07-06 | 2020-08-28 | Qosmos Tech | Identification de protocole d'un flux de donnees |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5590116A (en) * | 1995-02-09 | 1996-12-31 | Wandel & Goltermann Technologies, Inc. | Multiport analyzing, time stamp synchronizing and parallel communicating |
NZ503809A (en) * | 1997-12-19 | 2002-04-26 | Schering Ag | Ortho-anthranilamide derivatives as anti-coagulants |
US6724729B1 (en) * | 1998-12-30 | 2004-04-20 | Finisar Corporation | System analyzer and method for synchronizing a distributed system |
US7539749B2 (en) * | 2000-04-20 | 2009-05-26 | Amdocs (Israel) Ltd. | Method and apparatus for session reconstruction |
US20020161881A1 (en) * | 2001-04-30 | 2002-10-31 | Adtran, Inc. | Array-configured packet analyzer |
US7203173B2 (en) * | 2002-01-25 | 2007-04-10 | Architecture Technology Corp. | Distributed packet capture and aggregation |
FR2842970B1 (fr) * | 2002-07-29 | 2005-03-18 | Qosmos | Procede de reconnaissance et d'analyse de protocoles dans des reseaux de donnees |
US7894533B2 (en) * | 2002-09-11 | 2011-02-22 | Tektronix, Inc. | Analyzing a transport stream |
JP2004201028A (ja) * | 2002-12-18 | 2004-07-15 | Ntt Docomo Inc | パケット分析装置、パケット分析方法、パケット分析プログラム |
US7408932B2 (en) | 2003-10-20 | 2008-08-05 | Intel Corporation | Method and apparatus for two-stage packet classification using most specific filter matching and transport level sharing |
US7660892B2 (en) * | 2005-01-24 | 2010-02-09 | Daintree Networks, Pty. Ltd. | Network analysis system and method |
-
2005
- 2005-05-13 ES ES05291044T patent/ES2323244T3/es active Active
- 2005-05-13 AT AT05291044T patent/ATE428238T1/de active
- 2005-05-13 EP EP05291044A patent/EP1722509B1/en active Active
- 2005-05-13 DE DE602005013754T patent/DE602005013754D1/de active Active
-
2006
- 2006-05-12 KR KR1020077028561A patent/KR101234327B1/ko active IP Right Grant
- 2006-05-12 CA CA2607607A patent/CA2607607C/en active Active
- 2006-05-12 CN CN2006800165101A patent/CN101176306B/zh active Active
- 2006-05-12 WO PCT/EP2006/005329 patent/WO2006120040A1/en active Application Filing
- 2006-05-12 JP JP2008510522A patent/JP4782827B2/ja active Active
- 2006-05-12 US US11/914,058 patent/US7729279B2/en active Active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112235160A (zh) * | 2020-10-14 | 2021-01-15 | 福建奇点时空数字科技有限公司 | 一种基于协议数据深层检测的流量识别方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101176306B (zh) | 2010-09-15 |
CA2607607C (en) | 2015-11-24 |
KR20080007672A (ko) | 2008-01-22 |
EP1722509A1 (en) | 2006-11-15 |
WO2006120040A1 (en) | 2006-11-16 |
ATE428238T1 (de) | 2009-04-15 |
CA2607607A1 (en) | 2006-11-16 |
CN101176306A (zh) | 2008-05-07 |
JP2008541587A (ja) | 2008-11-20 |
KR101234327B1 (ko) | 2013-02-18 |
DE602005013754D1 (de) | 2009-05-20 |
EP1722509B1 (en) | 2009-04-08 |
US7729279B2 (en) | 2010-06-01 |
US20080198759A1 (en) | 2008-08-21 |
JP4782827B2 (ja) | 2011-09-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2323244T3 (es) | Analisis del trafico en redes de alta velocidad. | |
CN106105115B (zh) | 用于由服务节点始发的服务链的方法、介质、及装置 | |
US8014390B2 (en) | Policy based routing using a fast filter processor | |
US9111013B2 (en) | Hierarchical associative memory-based classification system | |
US8761182B2 (en) | Targeted flow sampling | |
CN107431657A (zh) | 用于流分析的分组标记的方法 | |
JP2006505188A (ja) | ソフトウェアおよびハードウェア・パケット・フロー転送を行うルータまたはスイッチ、およびその方法 | |
US20060114900A1 (en) | Fast filter processor metering and chaining | |
KR20120112568A (ko) | 복수의 데이터를 프로세싱하기 위한 방법 및 통신 패킷들을 스위칭하기 위한 스위칭 디바이스 | |
US20070101195A1 (en) | Method for testing network devices using breakpointing | |
EP1793539A1 (en) | Method and equipment for Quality-of-Service (QoS) based routing | |
US20230052712A1 (en) | Network Traffic Identification Device | |
Lockwood et al. | An extensible, system-on-programmable-chip, content-aware Internet firewall | |
US11356333B2 (en) | Predicting forwarding destinations for packets | |
US7496688B2 (en) | Label switched data unit content evaluation | |
KR100864889B1 (ko) | Tcp 상태 기반 패킷 필터 장치 및 그 방법 | |
US10454831B1 (en) | Load-balanced forwarding of network packets generated by a networking device | |
Lin et al. | Guest editorial: Open source for networking: Protocol stacks | |
Xin et al. | Based on Edge Node Network Service Recognition Research | |
Gruber | Snort Virtual Network Function with DPI Service | |
Fießler | Hybrid Hardware/Software Architectures for Network Packet Processing in Security Applications | |
CN116192777A (zh) | 路径学习方法、装置及存储介质 | |
CN116016287A (zh) | IPv6网络的比特币流量检测方法、装置、设备及介质 | |
CN113765807A (zh) | 网络流量可视化的方法、装置、系统、及介质 | |
Khosravi et al. | An improved TCP protocol machine for flow analysis and network monitoring |