JP2008512970A - ネットワーク・トラフィックのセキュリティのための方法およびシステム - Google Patents

ネットワーク・トラフィックのセキュリティのための方法およびシステム Download PDF

Info

Publication number
JP2008512970A
JP2008512970A JP2007531435A JP2007531435A JP2008512970A JP 2008512970 A JP2008512970 A JP 2008512970A JP 2007531435 A JP2007531435 A JP 2007531435A JP 2007531435 A JP2007531435 A JP 2007531435A JP 2008512970 A JP2008512970 A JP 2008512970A
Authority
JP
Japan
Prior art keywords
traffic
network
subset
resource
suspicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007531435A
Other languages
English (en)
Other versions
JP4634456B2 (ja
Inventor
エー. ロイド,ミシャエル
カラム,マンサー,ジェイ.
フラヴェル,ピーレ
フィン,シーン,ピー.
マックガイアー,ジェームス,ジー.
バルナルド,オマル,シー.
Original Assignee
アバイア テクノロジー コーポレーション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アバイア テクノロジー コーポレーション filed Critical アバイア テクノロジー コーポレーション
Publication of JP2008512970A publication Critical patent/JP2008512970A/ja
Application granted granted Critical
Publication of JP4634456B2 publication Critical patent/JP4634456B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • H04L41/5019Ensuring fulfilment of SLA
    • H04L41/5022Ensuring fulfilment of SLA by giving priorities, e.g. assigning classes of service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/508Network service management, e.g. ensuring proper service fulfilment according to agreements based on type of value added network service under agreement
    • H04L41/5096Network service management, e.g. ensuring proper service fulfilment according to agreements based on type of value added network service under agreement wherein the managed service relates to distributed or central networked applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • H04L43/0829Packet loss
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • H04L43/087Jitter
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/12Shortest path evaluation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/12Shortest path evaluation
    • H04L45/121Shortest path evaluation by minimising delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/12Shortest path evaluation
    • H04L45/124Shortest path evaluation using a combination of metrics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/50Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/15Flow control; Congestion control in relation to multipoint traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/28Flow control; Congestion control in relation to timing considerations
    • H04L47/283Flow control; Congestion control in relation to timing considerations in response to processing delays, e.g. caused by jitter or round trip time [RTT]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/80Actions related to the user profile or the type of traffic
    • H04L47/803Application aware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/82Miscellaneous aspects
    • H04L47/822Collecting or measuring resource availability data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/82Miscellaneous aspects
    • H04L47/825Involving tunnels, e.g. MPLS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/143Denial of service attacks involving systematic or selective dropping of packets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • H04L41/5009Determining service level performance parameters or violations of service level contracts, e.g. violations of agreed response time or mean time between failures [MTBF]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • H04L41/5019Ensuring fulfilment of SLA
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Computer And Data Communications (AREA)

Abstract

本発明は、ネットワークのネットワーク・リソースを監視する適応ネットワーキングの方法およびそのためのシステムを対象とする。この方法は、アプリケーション・パフォーマンスを監視する。この方法は、ネットワークのトラフィックの第1のサブセットを分類する。第1サブセットのカテゴリは、信頼できる、悪いと知られているおよび疑わしいを含む。この方法は、第1トラフィック・サブセットのカテゴリに基づいて、第2のトラフィック・サブセットについての措置を判断する。一部の実施形態は、第1の装置と、第1のサブセットおよび第2のサブセットを含むトラフィックとを含む適応ネットワーキングのためのシステムを提供する。またこのシステムは、トラフィックの転送のための第1のリソースと第2のリソースとを含む。第1装置は、トラフィックを受信し、そのトラフィックを第1および第2のサブセットに分類する。第1装置は、第1サブセットを第1リソースに割り当てる。一部の実施形態は、入トラフィックを受信するための入力と、出トラフィックを送信するための出力と、入トラフィックを分類する分類モジュールと、分類されたトラフィックを特定のリソースに割り当てるリソース割当てモジュールとを含むネットワーク装置を提供する。この装置のトラフィック・カテゴリは、疑わしいトラフィックを含む。

Description

本発明は、ネットワーク・トラフィックのセキュリティに関する。詳細には、本発明は、トラフィック分類および/またはリソース配分を使用することによってネットワーク・トラフィックのセキュリティを提供することに関する。
本出願は、参照により本明細書に組み込まれている、2004年9月9日に出願した同時係属の米国仮特許出願第60/609062号「METHODS AND SYSTEMS FOR REMOTE OUTBOUND CONTROL, SECURITY STRAWMAN」の米国法典第35編119条に基づく優先権を主張するものである。
相互運用するネットワークの現在の接続世界では、望まれないアクセスおよび望まれない侵入を防ぐことは恒常的な問題である。ネットワークベースの攻撃に対処するための一部の手法は、応答を系統立てて作成するための工程として、侵入の発生を検出することを伴う。一般の侵入検出技術は偽陽性と偽陰性を被り、その両方ともが悲惨な結果をしばしばもたらす。偽陰性は攻撃からネットワークを保護し損なうという結果を招き、偽陽性は商機の逸失、または「虚報を伝えて周囲を騒がせる(cry wolf)」システムをもたらす。したがって、偽陽性は、このタイプの誤りが最終的にはネットワークを真の攻撃から保護するための解決策の効果をも減少させるので、ネットワーク保護の失敗をももたらす。
偽陽性および偽陰性の問題は、一般的な侵入検出システムの2つの特性からもたらされる。たとえばサービス拒否攻撃(DoS:Denial of Service)などの侵入または攻撃からデータ・センタ、サーバおよびネットワーク・リソースを保護しようとする多くの製品および手法が存在するにもかかわらず、一般的な手法はすべて、以下の特性を共有している。
(1)この手法は、侵入検出の基礎を、ネットワーク・トラフィックのある種の調査だけに置く。すなわち、この手法がオンラインであろうとオフラインであろうと、各パケットを見て、その特性および内容を調査することによって攻撃が存在するかどうかこの手法が判断する。したがって、より具体的には、検出の助けとするために、ネットワーク内の他のツールおよびプロトコルとの対話から得られる外部からの知識はほとんど使用されない。さらに、トラフィックが信用できるか、それとも悪いと知られているかの判断は、現在のトラフィック自体の調査だけに基づく場合にはしばしば効果的でなく、または有用となるには手遅れである。
(2)侵入検出の結果は「黒」か「白」である。すなわち、トラフィックは信頼できる、または悪いと知られているに分類される。一般に、信頼できるものでも、悪いと知られているものでもないトラフィックの追加の分類はない。従来のシステムには、グレー・ゾーンの概念はない。したがって、中間の知られていない、または疑わしいが、悪いと知られているとはまだ判断されていないトラフィックのカテゴリはない。一般に、特定の実装およびユーザ構成に応じて、こうした疑わしいトラフィックは、信頼できる、または悪いと知られているに分類される。
上述したように、「信頼できる」または「悪いと知られている」の2つのカテゴリしかもたないことの1つの問題は、ユーザが結局はかなりの量の偽陽性、偽陰性またはその両方を有することになることである。偽陰性と偽陽性の両方には、多大な時間および金がかかり得る。偽陽性と偽陰性の両方は、悲惨な結果をもたらし得る。たとえば、偽陰性が発生する場合、検出措置は望まれない侵入に対する保護に失敗し、組織のリソースが侵入者に露呈される。また偽陽性は損害が大きいこともある。実装に応じて、悪いと知られているに分類されたトラフィックは、警告をトリガし、または破棄される(drop)。良いトラフィックを破棄すると一般に、商売を逃し、機会を逸することになり、しばしば追加の結果をもたらす。警告のトリガによって、情報技術(IT:information technology)要員が発生についての調査に時間を費やすことになり、それは従業員リソース、システムのダウン時間およびお金に関して企業に損失を負わせ得る。複数の誤った警告を有すると、システムが十分な時間「虚報を伝えて周囲を騒がせる」場合には警告が無視され、あるいは安全対策、反応のよい対抗策、ならびに通知および/または保護が効果的であるには過度に低く調整され、保護システムの信頼が損なわれる。これによって、保護システムが真の攻撃を検出し、それから保護する能力が低下する。
1996年6月17日に出願された米国特許第5835726号「System for securing the flow of and selectively modifying packets in a computer network」および1999年4月1日に出願された米国特許第6701432号「Firewall including local bus」は、ファイヤウォール・タイプのシステムを含めて、上述の従来のシステムについて論じている。米国特許第5835726号および6701432号を、参照により本明細書に組み込む。
米国仮特許出願第60/609062号 米国特許第5835726号 米国特許第6701432号 米国特許出願第10/070515号 米国特許出願第09/923924号 米国特許出願第09/960623号 米国特許出願第10/070338号 PCT国際出願第PCT/US03/03297号
本発明は、ネットワーク保護のためのシステムおよびその方法である。このシステムは、ネットワークに害を及ぼし得るデータ・トラフィックを防止する。さらに、このシステムは、望まれない潜在的な侵入に関する偽陽性および偽陰性の判断を防止する。
トラフィックは、信頼できる、悪いと知られているおよび疑わしいを含めて、少なくとも3つのカテゴリに分類される。このシステムは、それぞれ異なるトラフィック・カテゴリのためにそれぞれ異なるリソースを使用し得る。これは、悪いデータまたは疑わしいデータがネットワーク・リソースに損害を与えることを防止し、また信頼できるトラフィックに向上されたサービスを提供し得る。このシステムは、ネットワーク・ユーザの履歴および使用を追跡する。履歴は、トラフィックについてどのカテゴリが指定されているか判断する際に使用される。新しいエンドポイントおよび/またはトラフィックは最初に疑わしいものとして取り扱われ、次いで後に信頼できるに格上げされ、または悪いに格下げされ得る。履歴は、向上された取扱いを受け得るいわゆるフリークエント・フライヤーを判断するために使用されることもできる。
悪いと判断されるトラフィックは、破棄され、またはネットワークのエッジへとブラックホールに入れられることもできる。疑わしいトラフィックは、異なるリソースを通って向けられ得る。異なるリソースは、異なる物理リソース、あるいは同じ物理リソース内にあるが、異なる優先度で取り扱われる異なる論理リソースであり得る。攻撃の検出は、ソース・ベース、宛先ベース、フリークエント・フライヤー・ベースまたはフロー・レート・ベースであり得る。
セキュリティ向上のため、追加の境界が、従来の侵入検出と併せて使用され得る。疑わしいおよび悪いトラフィックをそれぞれ異なるネットワーク・リソースで取り扱うことによって、従来の侵入検出方法によってもたらされるどんな誤りの影響もが最小限に抑えられる。本発明は、ハードウェア、ソフトウェアまたはその組合せで実装され得る。
本発明の新規な諸特徴について、添付の特許請求の範囲で述べる。しかし、説明のため、本発明の複数の実施形態について、以下の図面で述べる。
以下の記述では、説明するために、複数の詳細および代替物について述べる。しかし、本発明は、これらの具体的な詳細を使用せずに実施され得ることが当業者には理解されよう。他の場合では、不必要な詳細で本発明の説明を不明瞭にしないために、よく知られている構造および装置がブロック図の形で示されている。以下の節Iは、本発明の一部の実施形態のプロセス実施について述べている。節IIは、一部の実施形態の実施によりもたらされるクリティカル境界について述べている。節IIIは複数のシステム実装について述べており、節IVは本発明の具体的な利点について論じている。
本発明は、ネットワーク・リソースを監視し、インターネットまたは別のネットワークを介してアプリケーションを操作するエンドユーザのシステム上でパフォーマンスを測定するために使用される。監視を使用することによって、ネットワーク活動の固有のビューが、アプリケーションの知識、ネットワーク内のユーザの履歴知識、ユーザが使用するアプリケーション、トラフィック・パターン、ユーザおよびアプリケーションの予想される特性および要件を組み合わせる。この固有のビューは、偽陽性および偽陰性の数を減少させることによって侵入検出の効果を向上させるために使用される。これらの利点は新規の1組のアプリケーション・プログラミング・インターフェース(API:application programming interface)、ネットワーク管理ツールおよびアプリケーションを使用することによって提供されるが、特定の代替物は、既存の侵入監視ツールに複数の新規な概念を取り入れる。
I プロセスの実施
A.トラフィックの分類
図1Aは、本発明の特定の実施形態によって実施されるプロセス100を示している。図1Aに示すように、工程105で、ネットワーク・リソースが監視される。次いで、工程110で、アプリケーション・パフォーマンスも監視される。たとえば、ネットワーク・リソースおよびアプリケーション・パフォーマンスの監視は、エンドユーザのシステム上でネットワークを介したアプリケーション操作のパフォーマンスを測定することを含み得る。ネットワークは、インターネット、ならびにたとえばローカル・エリア・ネットワーク、イントラネット、プライベート・ネットワークおよび仮想プライベート・ネットワークなど、他のタイプのネットワークを含み得る。トラフィックは一般に、ネットワーク内の1つのエンドポイントたとえばソースから、ネットワーク内の別のエンドポイントたとえば宛先に流れる。トラフィックは、ネットワーク上を流れるデータを指す。
一例として、図2は、例示的なネットワーク200を介して第2の装置210にトラフィックを提供する第1の装置205を示している。ネットワーク200は、たとえばインターネット201など、ネットワークのネットワークである。第1装置205は、宛先の働きをする第2装置210へのソースとして働く。第1および第2装置205、210はそれぞれ、サブネットワーク204Aおよび204Dに個々に結合される。この実施形態では、第1および第2装置205および210は、インターネット201と、サブネットワーク204Aおよび204Dとの間のインターフェースを提供する。図2に示すように、トラフィックは、ネットワーク・リソース215を通って第2装置210に到着する。図2に示すネットワーク200は例示的なものであることが当業者には理解されよう。したがって、ネットワーク200は、たとえばMPLSネットワーク、MPLS−VPNネットワーク、プライベート・ネットワーク、VPNネットワークおよび/またはATMネットワークなど、ネットワークの他のタイプおよび構成を表すものである。
上述したように、トラフィックは、それがネットワークを通ってソースから宛先に流れるときに監視される。図1Aを再び参照すると、トラフィックがネットワークを通って流れる間、プロセス100の工程115で、トラフィックの第1のサブセットが第1のカテゴリに分類される。第1のカテゴリのトラフィック・タイプは、信頼できる、悪いと知られている、疑わしいトラフィックおよび/またはその組合せを含む。追加のカテゴリ・レベルが、本発明に従って実施され得ることが当業者には理解されよう。次いで、工程130で、第1トラフィック・サブセットのカテゴリに基づいて、第2のトラフィック・サブセットについての措置が判断される。次いで、プロセス100は終了する。第1トラフィック・サブセットは、ネットワーク・リソースの監視および/またはアプリケーションのパフォーマンスの監視に基づいて分類される。同様に、第2サブセットについての措置も、ネットワーク・リソースおよび/またはアプリケーションのパフォーマンスに基づく。
図1Aに示す特定のプロセス実施の変形形態が当業者にはさらに理解されよう。たとえば、代替実装のプロセスは、追加の工程および/または工程のそれぞれ異なる順序を含む。具体的には、特定の実装のシステムは好ましくは、ネットワークのリソースおよび/またはアプリケーションを監視しながら、ユーザおよびネットワーク使用のそのパターンに基づく情報を含む履歴を追跡する。このシステムは、第1サブセットについての措置を判断し、および/または第2のトラフィック・サブセットを分類することもできる。図1Bは、これらの追加の工程を含むプロセス101の追加の例示的な実施を示している。複数の図の要素に関して使用されている参照番号は、図示する諸実施形態の同じ要素に関して同じである。たとえば、図1Bのプロセス101内の同様にラベル付けされた諸工程は、図1Aのプロセス100に関して上述した諸工程と同じである。図1Bに示すように、第1トラフィック・サブセットが工程115で分類された後に、プロセス101は工程120に移り、第1トラフィック・サブセットについて措置が判断される。次いで、プロセス101は工程125に移り、第2トラフィック・サブセットが分類される。次いで、工程130で、第2トラフィック・サブセットについて措置が判断され、プロセス101は工程135に移る。工程135で、ユーザ、およびそのネットワーク使用パターンの履歴が追跡される。次いで、プロセス101は終了する。上述したように、図1Aおよび1Bに示した例示的な実装の可能な変形形態が当業者には理解されよう。たとえば、図1Bに示すプロセス101の等価のプロセス実施では、第2トラフィック・サブセットは、第1トラフィック・サブセットについて措置が判断される前に分類される。
好ましくは、トラフィックの第1サブセットと第2サブセットは重複しない。たとえば、本発明の特定の代替物によれば、第1トラフィック・サブセットは疑わしいトラフィックを含み、第2トラフィック・サブセットは信頼できるトラフィックを含む。代替の実施形態は、トラフィックをそれぞれ異なるやり方で扱う。たとえば、図3は、こうした実施形態によるネットワークを示している。図3は、追加のネットワーク・リソース320があることを除いて、図2と実質上同じ要素を伴う実質上同じネットワークを示している。図3に示すように、信頼できると分類されるトラフィックは、疑わしいトラフィックとは別に、追加のリソース320を介してルーティングされる、他の代替実施形態は、悪いと知られているトラフィックの第3のカテゴリを含む。一部の実施形態の悪いトラフィックはさらに、信頼できるおよび疑わしいトラフィックとは別のやり方で扱われる。図4は、追加のネットワーク・リソース425があることを除いて、図3と実質上同じ要素を伴う実質上同じネットワークを示している。図4に示すように、悪いと知られていると分類されるトラフィックは、追加のリソース425を介してルーティングされる、一部の実施形態では、トラフィックは、信頼できると既に判断されているトラフィックを含む。これらの実施形態については、節IIIでさらに述べる。
1.トラフィック監視
好ましくは本発明は、トラフィックを観察し、ネットワークのユーザを監視する。代替の実施形態はさらに、1つまたは複数のネットワーク・リソースを監視する。たとえば、一部の実施形態は、帯域幅の使用状況を監視する。これらの実施形態は、ネットワークを介したアプリケーションの操作のパフォーマンスを査定し、宛先での十分なアプリケーション・パフォーマンスを保証する必要性に応じてネットワークに変更を加える(inject)。また他の実施形態は、たとえば重要な取引が最良のサービスを受けることを保証することによって企業ポリシーを実施する。これらの実施形態では、ネットワーク上のユーザの母集団は、共有されるネットワーク・リソースのコストおよび使用を最小限に抑える十分なサービスを受け続ける。
共有されるネットワーク・リソースは、たとえばチャネル、プロトコルおよび/またはサービスなど、トラフィックのためのそれぞれ異なるルーティング機構を含む。これは、リソース配分を制限することによってトラフィックの流れを制約し、および/または変更を加え得る。リソース配分は、それぞれ別のやり方で分類されたトラフィックを、
(1)トラフィックがある方向または別の方向にルーティングされるようにそれぞれ異なるパスに、または
(2)トラフィックが、様々なサービス・レベルによるサービスのためにタグ付けされるようにそれぞれ異なるタグを付けて、または
(3)一部のトラフィック・タイプが他のトラフィック・タイプより優先されるようにそれぞれ異なるマークを付けて割り当てることによって実施され得る。
しかし、使用され得る様々な追加のリソース配分が当業者には理解されよう。リソース配分について、以下でさらに論じる。
2.トラフィックのカテゴリ
トラフィックは、異常な特性を有するトラフィックを検出することによって分類され得る。異常な特性を有するトラフィックが検出されるときに、異常なトラフィックには、トラフィックの信頼度を表す、攻撃の一環であることの非ゼロの確率が割り当てられ得る。信頼度が所定の閾値未満である場合、このシステムはこうしたトラフィックが攻撃であると見なすことができ、異常なトラフィックは疑わしいと分類される。
上述したように、ネットワーク・リソースおよび/またはアプリケーション・パフォーマンスは、第1のトラフィック・サブセットを分類するために監視される。監視および/または分類は、第1および/または第2トラフィック・サブセットについて取るべき措置を判断するために使用され得る。ネットワーク・リソースおよびパフォーマンスを測定することによってこのシステムは、それぞれ異なるリソースに渡るトラフィックの所与のサブセットのアプリケーション・パフォーマンスを認識する。その測定は、トラフィックを信頼できるまたは疑わしいと分類するために使用される。図3に関して上述したように、これらの実施形態は一般に、信頼できるトラフィックを第1の1組のリソースに送信し、疑わしいトラフィックを第2の1組のリソースに送信する。
第1および第2の別個のリソースは、疑わしいトラフィックが信頼できるトラフィックから分離されることを保証する。この分離によって、疑わしいトラフィック、具体的には問題があると判明する疑わしいトラフィック、たとえば後に悪いと判断される疑わしいトラフィックの悪影響が最低限に抑えられる。さらに、一部の実施形態の信頼できるトラフィックによって運ばれるデータには、疑わしいデータと比べて低い遅延など、より高い優先度が与えられる。これらの実施形態では、信頼できるトラフィックは疑わしいトラフィックに先手を取り、それによって、後に有害と判明するデータを運ぶ疑わしいトラフィックの潜在的に有害な効果を最小限に抑える。
3.新しいエンドポイントおよび降格
新しいエンドポイントおよび/または新しいトラフィックは最初に、疑わしいと分類される。これらの新しいエンドポイントおよび/または新しいトラフィックは後に、複数の要因に基づいて、疑わしいカテゴリから信頼できるまたは悪いカテゴリへと調整され得る。さらに、予想されるより多くのトラフィックを生成しているいずれのエンドポイントもが、疑わしいまたは悪いと分類され得る。さらに、異常なトラフィック、および/または異常な振る舞いをしているエンドポイントからのトラフィックは、疑わしいまたは悪いカテゴリに降格され得ることはめずらしい。トラフィックは、たとえばDoS攻撃からの過度なトラフィックなど、システム内にプログラムされた基準に従ってそれが動作するときに異常と判断される。異常なトラフィックおよび/またはエンドポイントは、当該のトラフィックが以前は信頼できると見なされていた場合でも降格され得る。これらの実施形態は一般に、攻撃の性質に関係なく、信頼できるエンドポイントであると見えるものから生じる攻撃から保護する。たとえば、信頼できるトラフィックが多過ぎるリソースを消費する場合、信頼できるトラフィックでも、信頼できるエンドポイントから行われる攻撃に対して保護するために一時的に降格される。一部の実施形態の信頼できるエンドポイントからの攻撃は、以下を含めて複数の可能なタイプのものであり得る。(1)信頼できるエンドポイントのソース・アドレスがスプーフィングされる。(2)信頼できるエンドポイントが実際には攻撃に関与している。(3)信頼できるエンドポイントが損なわれている。
以前に信頼できると分類されたエンドポイントおよび/またはトラフィックには、たとえば「フリークエント・フライヤー」として特別なステータスが割り当てられ得る。フリークエント・フライヤーのステータスについて、次に詳細に論じる。
4.フリークエント・フライヤー
「フリークエント・フライヤー」の概念が、特定のトラフィック・サブセットのカテゴリの判断および/またはそのサブセットについての措置の判断に役立てるために追加され得る。ネットワークおよびトラフィックを監視する間、特定の宛先または1組の宛先に向けられるトラフィックのソース・アドレスに関する履歴情報が追跡され得る。この履歴に関係する特定のパラメータの動向が発見され得る。一部の実施形態で動向が判断される対象のパラメータは以下を含む。
(1)それぞれのソース・アドレスの出現頻度のヒストグラム
(2)所与のソース・アドレスが1日の所与の時に発生する確率
(3)所与のソース・アドレスからのフロー間の到着時間間隔、および/または
(4)当業者によって理解される別のパラメータまたは動向
パラメータ動向のサブセットが、1つの宛先または1組の宛先に関連してアドレスを「フリークエント・フライヤー」と分類するために使用される。フリークエント・フライヤーは、正当であり、したがって信頼できると判断されるソース・アドレスである。この判断は、このソース・アドレスから当該宛先へのトラフィックの出現頻度および時間に関する履歴の観察に基づく。フリークエント・フライヤーを識別するための他の基準は、(1)そのアドレスから来ており、その宛先または1組の宛先に向けられたトラフィックに関係する時刻についての考慮、(2)トランザクション上の異常、および/または(3)たとえばトランザクションの頻度および/または新しさなど、完了したトランザクションに基づく。
フリークエント・フライヤーの概念は、特定の利点を有する。たとえば、単一パケットのインバウンド攻撃の特性は、かつて見たことのない単一のパケットが、エンドポイントから見えることである。一部の実施形態は、双方向トランザクションを完了するエンドポイントをフリークエント・フライヤーと宣言することによってこの特性を活用する。スプーフィングされるソースは一般に双方向トランザクションを完了し得ないので、スプーフィングされたアドレスの真の所有者による予想される応答は、第1のパケットを破棄しまたは無視することである。したがって、信頼できるデータおよび/またはトラフィックのフリークエント・フライヤー・カテゴリによって、スプーフィングされたソースの攻撃に対する保護を提供し得る。フリークエント・フライヤーの概念を使用する様々な追加の実施形態が当業者には理解されよう。たとえば、トランザクションで第3のパケットが、信頼できるエンドポイントについての良い表示と識別され得る。一部の実施形態は、第3のパケットがリセット(RST)パケットでないことを必要とし得る。
一部の実施形態は、フリークエント・フライヤーを判断するために、トランザクションにおける異常を利用する。これらの実施形態はしばしば、様々なタイプの単一パケットUDP(user datagram protocol:ユーザ・データグラム・プロトコル)Microsoft(登録商標)の様々な攻撃、たとえば「スラマー」に対して効果的である。スラマー・タイプの攻撃は、トランザクション上の異常を一般に含む。これらの実施形態はしばしば、かなりの割合のフリークエント・フライヤー顧客に、たとえばスラマー・トラフィックよりも高い優先度のリソースなど、よりよいサービスを提供する。したがって、これらの実施形態のフリークエント・フライヤーは、リソースの優先度が高いため、スラマー・トラフィックによる影響を受けない。感染していない場所からのフリークエント・フライヤー顧客の割合が大きくなるほど、これらの実施形態はスラマー・タイプの攻撃をますます最小限に抑える。図1〜4に示す諸実施形態によって実施される検出および制御は、上述のフリークエント・フライヤーの概念を含む。フリークエント・フライヤーの概念は、サービス・プロバイダおよび/または企業のために実装され得る。これらの実施形態は一般に、サービス・プロバイダと企業の間の通信を伴う。企業および/またはサービス・プロバイダのために実施される様々な実施形態の一部の例については、以下の節IIIで述べる。しかし、この議論は次に、一部の実施形態のリソースに進む。分類されるとトラフィックは一般に、1つまたは複数のリソースを通ってその宛先に到達しなければならない。
B.リソース配分
図5は、一部の実施形態のリソース配分のプロセス・フローを示している。この図に示すように、プロセス500は工程505で開始し、データ・ストリームが受信される。一部の実施形態のデータ・ストリームは、データ・パケットを備える。次いで、工程510で、パケットは分類され、または上述したように、トラフィックはサブセットに分類される。工程515で、トラフィックがたとえば悪いと知られているデータを伴うパケットを含む場合、プロセス500は工程520に移り、一部の実施形態では、悪いデータ(パケット)が破棄される。次いで、プロセス500は終了する。
工程515で、トラフィックが悪いと(工程510で)分類されなかった場合、プロセス500は工程525に移り、トラフィックが疑わしいかどうかの判断が行われる。工程525でトラフィックが信頼できると判断される場合、プロセス500は工程530に移り、トラフィックは、たとえば信頼できるトラフィック用に指定された第1のリソースに割り当てられる。次いで、プロセス500は終了する。工程525でトラフィックが疑わしい場合は、プロセス500は工程535に移り、トラフィックは、たとえば疑わしいトラフィック用に指定された第2のリソースに割り当てられる。次いで、プロセス500は終了する。
図6は、一部の実施形態のネットワーク600が、例えば、リソースのタイプまたは品質によって複数のリソースに分割可能であることを示している。この図に示すように、一部の実施形態のネットワーク・リソースの配分は、疑わしい630、信頼できる635および悪い640トラフィックおよび/またはデータのためのリソースを含む。したがって、ネットワーク600を通って第1の装置605から第2の装置610に移動するトラフィックは、これらのリソース・タイプのうちの1つまたは複数に関連付けられる。
図7は、一部の実施形態のリソース配分の別の例を示している。この図に示すように、ネットワーク700は、疑わしいトラフィック用のリソース730と、信頼できるトラフィック735用のリソース735と、悪いと知られているトラフィック用のリソース740と、ソース705と、宛先710と、複数のネットワーク装置745、750、755および760とを含む。一部の実施形態のネットワーク装置745、750、755および760は、たとえば、ルータ、ブリッジおよび/または別のネットワーク特徴を含むネットワーク上のノードまたは「ホップ」など、ネットワーク・トポロジの特定の特徴を表す。ネットワーク装置745、750、755および760については、節IIIで以下でさらに論じる。
図7に示すように、ソース705から宛先710へのトラフィックは、様々な時および/またはネットワーク700内の場所で、信頼できる、疑わしいまたは悪いと知られていると判断される。一部の実施形態は、トラフィックを分類するために、図1Aおよび1Bに関して上述したプロセスを使用する。次いで、トラフィックの各カテゴリは、そのトラフィック・カテゴリに割り当てられたリソースに向けられる。たとえば、ネットワーク装置745からのトラフィックは、疑わしい730、信頼できる735および/または悪い740トラフィック用のリソースに向けられ、ネットワーク装置755からのトラフィックは、悪いトラフィック用のリソース740に向けられる。図7に示すように、一部の実施形態のリソースは、悪いトラフィックが疑わしいトラフィックに影響を及ぼさず、また疑わしいトラフィックが信頼できるトラフィックに影響を及ぼさないようにする。一部の実施形態は、リソース配分を別のやり方で実施する。これらの違いについて以下で述べる。
1.ブラックホール化
図8は、ネットワーク800のネットワーク装置845、850、855および860が、悪いと分類されたトラフィックを別のやり方で扱い得ることを示している。たとえば、悪いトラフィックは破棄され得る。破棄されたトラフィックは、ネットワークのエッジでブラックホールに入れられる。図8は、トラフィックが破棄されおよび/またはブラックホールに入れられる一例を示している。ネットワーク装置は、データを破棄しおよび/またはブラックホールに入れる能力を含む。これらの実施形態では、データはしばしばパケットの形である。図8に示すように、一部の実施形態のネットワーク装置845、850、855および860は、悪いトラフィックを認識しおよび/または破棄するための手段865などの拡張された特徴を含む。一部の実施形態は、廃棄されたデータを悪いトラフィック用のリソース840などのリソースに配分しおよび/または割り当てずに、破棄および/またはブラックホール化を実施する。このシステムは、悪いと知られているトラフィックがこのように破棄されるように指定されることができ、また一部の実施形態では、破棄されたトラフィックはネットワークのエッジでブラックホールに入れられる。
2.レート制限
疑わしいトラフィックはレート制限され得る。一部の実施形態はトークン・バケットを使用することによってレート制限を達成し、一部の実施形態はたとえば重み付けされた公平なキューイングなど、別の手段によってレート制限を達成する。これらの実施形態では、疑わしいトラフィックに割り当てられる重みは、信頼できるトラフィックに割り当てられる重みより低い。
また、インターネット・サービス・プロバイダなどのサービス・プロバイダは、そのピアに関係する1つまたは複数のパラメータの知識を有する。たとえば、サービス・プロバイダは、その企業顧客のインバウンド・リンクの容量の知識を有する。こうした場合では、一部の実施形態のサービス・プロバイダは、この知識を使用して、企業のリンクの容量が圧倒されないようにトラフィックの流れを抑える。たとえば、特定の企業顧客は、そのサブネットワークの方におよび/またはそれを通って向けられるトラフィックを取り扱うための総インバウンド容量を有する。企業のサブネットワークを通って向けられる信頼できるおよび疑わしいトラフィックの合計が特定の企業サブネットワークの総インバウンド容量より多くなる場合、サービス・プロバイダは、レート制限しまたは疑わしいトラフィックの一部を破棄し得る。これらの場合、サービス・プロバイダは、疑わしいトラフィックを害するほどに、信頼できるトラフィックに関して企業に提供されるサービス品質を維持する。トラフィックのレート制限および/または破棄は、様々な方法を使用することによって達成される。一部の実施形態では、レート制限は、たとえばトークン・バケット、ToSマーキングおよび/またはMPLS(マルチプロトコル・ラベル・スイッチ:multiprotocol label switch)タグを使用することによって実施される。一部の実施形態は、上述したように、バッファ管理手法および/またはブラックホール化を使用することによってパケットを破棄する。追加の手段が、たとえばトラフィックを備えるパケットをレート制限しおよび/または破棄することによってトラフィックを制御するために使用され得ることが当業者には理解されよう。
3.タグ付けおよびルーティング
それぞれ異なるトラフィック・カテゴリのためのリソースは、それぞれ異なるToSマーキングを備え得る。たとえば、信頼できるトラフィックには、信頼できるトラフィックが他のカテゴリからのトラフィックよりも優先されることを保証するToSマーキングが割り当てられる。同様に、それぞれ異なるトラフィック・カテゴリは、異なるやり方でルーティングされる。これらの実施形態について、以下の実施例でさらに述べる。一部の実施形態では、それぞれ異なるトラフィック・カテゴリは、それらが論理的にそれぞれ異なる経路を使用するように、異なるやり方でタグ付けされる。
4.論理対物理リソース
一部の実施形態のそれぞれ異なるリソースは、それぞれ異なる論理リソースを含む。それぞれ異なる論理リソースは実際に、同じ物理リソースを共有する。それぞれ異なる論理および/または物理リソースは好ましくは、それぞれ異なる優先度レベルに対応する。たとえば、優先キューイング(PQ:priority queuing)は一部の実施形態のそれぞれ異なる優先レベルを提供するが、一部の実施形態はクラス・ベースの重み付けされた公平キューイング(CBWFQ:class-based weighted fair queuing)を使用して、それぞれ異なる優先度レベルを提供する。
C.リソース配分を伴う分類の実施例
1.ソース・ベース
それぞれ異なる実施形態は、攻撃の検出、ならびにトラフィックおよびルーティングの制御のためのそれぞれ異なる基準を使用する。上述したように、それぞれ異なる実施形態は、制御を行うために、それぞれ異なるカテゴリ、リソースおよび配分を使用する。検出および制御の対象のトラフィックについて、一部の実施形態はソースを使用するが、一部の実施形態は宛先を使用する。一部の実施形態では、パケットの属性が使用される。一部の実施形態は、特定の宛先アドレスに向けたトラフィックのソースをトラッキングする。ソースおよび/または宛先アドレスに基づいてこれらの実施形態は、トラフィックが信頼できるか、それとも疑わしいか判断する。ソース・アドレスは、トラフィックを適切なリソースに送信するために使用される。たとえば、そのソースのせいで疑わしいと判断されるトラフィックは、疑わしいトラフィックのために予約されたリソースへと向きが変更される。より具体的には、一部の実施形態は、疑わしトラフィックなどのトラフィックを、たとえば以下によって様々なリソースに向ける。
(1)指定された範囲のToSマーキングをトラフィックに割り当てる。
(2)トラフィックを1組の異なる物理経路に割り当てる。
(3)トラフィックがMPLSタグ付けされた特定の1組のルートに沿って、または特定の1組のMPLS対応ルータに向けられるように、特定のMPLSタグでトラフィックをマーキングする。
2.宛先ベース
さらに、一部の実施形態は、特定の宛先アドレスまたは1組の宛先を有するトラフィックを追跡する。この宛先アドレスに基づいてこれらの実施形態は、トラフィックが信頼できるか、それとも疑わしいか判断する。一部の実施形態では、宛先アドレスは、トラフィックを適切なリソースに送信するために使用される。たとえば、宛先に基づいて疑わしいと判断されるトラフィックは、一部の実施形態では、疑わしいトラフィックのために予約されたリソースへと向きが変更される。上述したように、一部の実施形態では、たとえばToSマーキング、特定の物理経路および/またはタグ付けされたルート上のMPLSタグを使用することによって、それぞれ異なるやり方で疑わしいトラフィックを扱う。
3.フリークエント・フライヤー・ベース
一部の実施形態は、上述のフリークエント・フライヤー・モデルに基づいてトラフィックを識別し、分類しおよび/または制御する。また、上述したように、フリークエント・フライヤー・トラフィックは一般に、このトラフィック・カテゴリに最高のサービス品質を提供するために、最良の使用可能なリソースに割り当てられる。
4.フロー・ベース
他の識別、分類および/または制御方法のコンテキストにおけるソース・ベースおよび/または宛先ベースの分類および/またはリソース配分の諸特徴が適用され得る。たとえば、検出、制御およびフリークエント・フライヤーの地位の判断は、ソースと宛先の情報の組合せに基づく。これらの判断は、フロー単位の情報に基づく。トラフィックを識別しおよび/または分類する他のやり方が当業者には明らかである。たとえば、一部の実施形態は、宛先、あるいは企業、サービス・プロバイダおよび/または他の宛先とのその組合せを含む1組の宛先に基づいて構成される。
D.他のコンテキスト
上記内容は、他のコンテキストに拡張され得る。これらのコンテキストは、上述のスプーフィングされるソースの単一パケット攻撃、およびたとえば実トランザクションを演じるゾンビ・ファーム(zombie farm)など、追加のコンテキストを含む。これらの場合、成功したトランザクションが、時間をかけて1つまたは複数のエンドポイント単位に追跡される。長期の顧客を含むそれらエンドポイントは信頼できる。これらの実施形態は、新しいどのエンドポイントをも疑わしいまたは悪いと分類し、同様に、一部の実施形態は既定により、知られていないおよび/または新しいトラフィックを、悪いとしてではなく、疑わしいと分類する。
E.ユーザおよびトラフィック履歴
当技術分野の従来の侵入検出システム(IDS:intrusion detection system)は一般にトラフィックが悪いことを判断するが、これらの侵入検出システムは一般に、疑わしいトラフィックが実際には信頼できることを判断しない。以下の節IIは、従来の侵入検出システムの一部の共通の特徴について述べている。一般的な侵入検出システムとは異なり、一部の実施形態は、リソース使用、アプリケーション・パフォーマンス、およびネットワークの様々なユーザの他のパターンの履歴を保持する。履歴は一般に、データベース内に保持される。履歴は一般に、疑わしいトラフィックが信頼されるべきかどうか判断するために使用される。第1のトラフィック・サブセットの分類および/または第2のトラフィック・サブセットについての措置の判断は、1組のアプリケーション管理ツールおよびディレクトリを使用して実施され得る。たとえば、アプリケーション管理ツールおよびディレクトリが、疑わしいトラフィックが信頼されるべきかどうか判断するために使用される。特定の場合では、これらのアプリケーション管理ツールおよびディレクトリは、Avaya Inc.社によって提供される。
信頼できるトラフィックを他のトラフィックと区別するために、ディレクトリからの情報、および他のネットワーク管理およびアプリケーション管理ツールが使用される。これらのツールには、たとえば、ライトウェイト・ディレクトリ・アクセス・プロトコル(LDAP:lightweight directory access protocol)、セッション開始プロトコル(SIP:session initiation protocol)および/またはNetflows(登録商標)コンピュータ・ネットワーク・パフォーマンス・システムが含まれる。Netflows(登録商標)は、ジョージア州ApplingのJanus Research Group inc.社の商標である。ユーザの特性および要件の知識は、トラフィックが本当に信頼できるかどうかの判断に資する。たとえば、一部の実施形態は、所与のユーザが現在特定の地理的領域内に存在し、特定のアプリケーションを実行すると予想され、またセルラ装置を使用していることを知っている。一部の実施形態はSIPディレクトリを使用することによってこの情報を取得するが、一部の実施形態はコール・サーバとの統合によって情報を発見する。トラフィックは、信頼できるエンドポイントの予想されるパターンにそれが一致するかどうか判断するために、このユーザから観察される。第1トラフィック・サブセットのカテゴリを判断する助けとし、および/または第2トラフィック・サブセットについての措置を判断するために、プロトコル・スイートが使用され得る。
一部の実施形態は、たとえば境界ゲートウェイ・プロトコル(BGP:border gateway protocol)および単純ネットワーク管理プロトコル(SNMP:simple network management protocol)など、様々なプロトコルを使用することによって、たとえばルータなどの他のネットワーク要素と対話する。これらの実施形態は、検出と制御の両方の段階におけるプロトコルを活用する。たとえば、一部の実施形態は、プレフィックス情報を使用する。これらの実施形態は、知られているアドレス・プレフィックスを有するアドレスから生じる(それを源とする)トラフィックを疑わしいと見なす。次いで、これらの実施形態は、そのプレフィックスからの疑わしいトラフィックが実際に悪いと知られているかどうか判断する。また、疑わしいまたは悪いと知られているトラフィックを制御しようとするときに、一部の実施形態は、適切なプレフィックスを求めて適切なルート変更を送信するために、1組のBGP制御を活用する。さらに、SNMPは、一部の実施形態の検出および制御において相乗作用的な役割を果たす。たとえば一部の実施形態では、検出および/または制御は、たとえばSNMPから得られるように、負荷の読出しの変化に基づく。
II.クリティカル境界の実装
監視、査定および制御技術の提供によって、ネットワーク環境に追加の制約を加えることによりセキュリティ品質の解決策が向上する。追加の境界が、従来の侵入検出システム(IDS)の境界と併せて実装される。これらの実施形態は、ネットワーク・トラフィックおよび攻撃に対処する際の追加の粒度レベルを提供する。攻撃に反応する際の巧妙さが向上すると、高い粒度レベルと共に、1つまたは複数のタイプのトラフィック用のリソースを選択することによってトラフィックを制御するシステムの固有の能力が活用される。疑わしいと判断されるトラフィックは、疑わしいトラフィックのために使用されるリソースが信頼できるトラフィックによって使用されるリソースと異なることを保証することによって、害を及ぼすことなしに依然として転送される。高い確実性のレベルで悪いと判断されるトラフィックだけが破棄される。アプリケーション・パフォーマンスを監視することによって、信頼できるトラフィックは、最良のサービス・レベルを受ける。これらの実施形態は、疑わしいトラフィックが受けるサービス・レベルをも制御する。たとえば、最も疑わしいトラフィックは、具体的には攻撃中などリソースが制約されるようになる場合には、最も格下げされたまたは最も低いサービス品質を受ける。
図9Aおよび9Bは、当技術分野で知られている一般的な侵入検出の実装のクリティカル検出境界を概念的に示している。これらの図に示すように、当技術分野で知られている実装のクリティカル境界905は、拒否される悪いと知られているトラフィックと、通過を許される他のすべてのトラフィックとの間にある。当技術分野で知られているこれらの手法の欠点は、これらの実装の成功が、悪いトラフィックを武器として使用する攻撃の正確な検出に大きく依存していることである。しかし。上述したように、一般的な実装は、従来の境界で無数の攻撃を検出することにしばしば失敗する。したがって、これらの手法は、偽陽性および偽陰性の形の、斜線で示された大きい誤差範囲をもたらし得る。
それとは異なり、図10は、本発明の好ましい実施形態によって実装される境界を示している。この図に示すように、一部の実施形態のクリティカル境界1010は、信頼できると判断されるトラフィックと、たとえば疑わしいおよび悪いと知られているトラフィックなど、他のすべてのトラフィックとの間にある。したがって、これらの実施形態の攻撃の検出および/または防止の成功は、悪いと知られているトラフィックと他のすべてのトラフィックとの間の従来の境界905を正確に特定する高い精度に依存しなくなる。
これは、疑わしいトラフィック・フローが依然としてアクセスを得ることができるという事実を活用し得る。疑わしいトラフィックのこの扱いは、境界をより「中心に」移動する傾向にある。この特徴は、偽陽性と偽陰性の間のより正確な均衡を可能にする。これは、疑わしいものになる、以前には信頼されていたトラフィックを信頼できるステータスから疑わしいステータスに降格または格下げする比較的な緩やかな措置を課すという利点を提供することもできる。したがって、降格は、当技術分野で知られている従来の許可/拒否の境界905で取られる措置より緩やかである。
III.システム実装
A.システムおよびルータ
アプリケーション・プログラミング・インターフェース(API)、ネットワーク管理ツール、アプリケーションを使用することによって、またエンドユーザへのネットワーク・リソースおよびアプリケーション・パフォーマンスの監視によって、アプリケーション知識、ユーザの履歴知識、そのトラフィック・パターン、およびユーザが使用するアプリケーション、ならびにユーザおよびそのアプリケーションの予想される特性および要件を組み合わせる固有のビューが提供される。より知的なこのビューは、本発明の諸実施形態に、攻撃の検出およびそれへの応答のさらなる知識を提供する。一部の実施形態はさらに、攻撃に対するより厳密なおよび/または巧妙な反応をさらに可能にする。攻撃検出の知性は、標準の侵入検出手法の2つのカテゴリではなく、少なくとも3つのトラフィック・カテゴリを識別することによって大きく向上される。一部の実施形態は、アプリケーションを調査し、アプリケーションの知識の適用を従来のシステムに拡張し、既存の侵入検出システムを他のやり方でさらに向上させる。一部の実施形態は、たとえばダウン時間など、従来のシステムが直面する問題にさらに対処する。
様々な実施形態が、ソフトウェアおよび/またはハードウェアで実装される。ハードウェア実装は、装置、ネットワーク、ならびに/またはソフトウェア、ハードウェアおよび1つまたは複数の装置の組合せを含む。一部の実施形態は、たとえばソフトウェアおよび/またはハードウェアで実装されるルータなどのネットワーク装置内でネットワーク制御および管理機能を実装する。一部の実施形態のネットワーク装置は、当技術分野で知られている一般的な装置に比べて拡張された特徴を含む。これらの拡張型装置には、たとえば、Avaya Inc.社によって提供されるルーティング・インテリジェンス・ユニット(RIU:routing intelligence unit)が含まれる。
一部の実施形態は、ネットワーク・アーキテクチュア内でルータおよび/またはルーティング・インテリジェンス・ユニットのうちの1つまたは複数にルート変更を加えることによって制御を行う。これらの実施形態は、トラフィックを所与のトラフィック・カテゴリに適したリソースに割り当てる。たとえば、一部の実施形態は、トラフィック・カテゴリの識別のためにToSマーキングを割り当てる。これらの実施形態がたとえば信頼できるおよび/またはフリークエント・フライヤ・トラフィックなど、より重要であると識別するトラフィックは、優先される扱いを受ける。
B.ISPおよび企業システム
上述した諸実施形態の様々な特徴は、それぞれ異なる実施形態で異なるやり方で組み合わされる。これらの実施形態は、企業および/またはインターネット・サービス・プロバイダ(ISP)環境での実装を含む。たとえば図11は、一部の実施形態のシステム1100を示している。この図に示すように、システム1100は、ネットワーク1115を介して企業サブネット1110に結合されたISPサブネット1105を含む。ネットワーク1115は一般に、広域ネットワーク、またはインターネットなどのネットワークのネットワークである。図11にやはり示すように、ネットワーク・ルーティング装置1120、1125および1130の複数のインスタンスが、ネットワーク1115上の1つまたは複数の場所に設置される。図11のシステム1100内の装置は、たとえばルーティング・インテリジェンス・ユニット1120および1130、ならびに標準のルータ1125など、ネットワーク化された装置の異種の集合を含む。
C.実装場所
本発明は、企業および/またはインターネット・サービス・プロバイダのネットワーク内で実装され得る。企業内で実装される場合、一部の実施形態は、企業の中央本社、本社の端、支店内および/または支店の端で実装される。同様に、サービス・プロバイダ内で実装される場合、一部の実施形態は中心で、および/またはサービス・プロバイダのネットワークのエッジで実装される。具体的には、一部の実施形態は、企業および/またはサービス・プロバイダのネットワークのエッジのできるだけ近くに実装される。様々な実装場所は、通知およびフィードバックなどの特定の特徴を提供する。これらの実装について、以下で参照する図に関連して述べる。
1.企業サブネットワークのエッジおよび内部
たとえば、本発明は、企業ネットワークのエッジに配置され得る。これらの実施形態は具体的には、特定のサイトへの入トラフィックをスキャンすることに役立つ。図12は、企業サブネットワーク1210のエッジに位置するネットワーク装置1230を含むネットワーク1200を示している。この図に示すように、サブネット1210は、ネットワーク化された装置1230および1235と連携して動作する。サブネット1210は、ネストされた下位サブネット1255を含めて、サブネット1210を形成する複数のネットワーク装置1240、1245および1250をも含む。ネットワーク装置1230はルーティング・インテリジェンス・ユニットである。図12に示す代表的な実施形態は、企業のサブネット1210内に入るトラフィックを分類するために、節Iで上記に論じた方法を一般に使用する。したがって、これらの実施形態は一般に、入トラフィックを、信頼できる、疑わしい、または悪いと知られていると分類する。悪いと知られているトラフィックは破棄され、またはブラックホールに入れられるが、信頼できるおよび疑わしいトラフィックは、これらのトラフィック・カテゴリのそれぞれに割り当てられるリソースに向けられる。上述したように、こうしたリソースには、たとえばToSマーキング、MPLSタグ付けされたルート、それぞれ異なる物理リンク、それぞれ異なるルート、および/あるいは1つまたは複数のレート制御装置が含まれる。一部の実施形態では、レート制御は、トークン・バケットを使用することによって達成される。たとえば、一部の実施形態では、疑わしいトラフィックは、トークン・バケットを使用することによってサイトの基盤内でレート制限される。図12にやはり示すように、追加のルーティング・インテリジェンス・ユニット1250が、企業サブネットワーク1210の基盤のかなり内部に置かれる。一部の実施形態はサブネットワーク1210内に下位サブネットのネストされた複数の層を有し、また追加のネットワーク装置および/またはルーティング・ユニットが任意選択で、ネストされたこれらのサブネットワークの非常に深い層内に設置されることが当業者には理解されよう。
ネットワーク装置1235〜45は、それぞれ異なるサーバであり得る。こうした実施形態では、企業サブネットワーク1210内に入る信頼できるおよび疑わしいトラフィック・ストリームは、それぞれ異なるサーバ1235〜45に向けられる。たとえば、一部の実施形態の疑わしいトラフィックは具体的にはネットワーク・サーバ装置1240に向けられるが、信頼できるトラフィックは信頼できるサーバ1245に向けられる。これらの実施形態は、信頼できるサーバが疑わしいトラフィックの内容によって影響を受ける状態にする可能性を小さくする。
図12に示すネストされた装置および/またはサブネットワークのアーキテクチュアは、さらなる利点を有する。たとえば、ルーティング・インテリジェンス・ユニットの複数の設置1230および1250は、サイト、およびサイト内の様々な場所に向かう予定のトラフィックが、複数の段階で、様々な粒度レベルでチェックされることを可能にする。さらに、これらの実施形態では、悪いと知られているトラフィックは、ルーティング・インテリジェンス・ユニット1230で、またルーティング・インテリジェンス・ユニット1250でも破棄される。さらに、前に分類されたトラフィックは、これらの様々な位置で、格の上げ下げが行われる。さらに、図12に示すルーティング・インテリジェンス・ユニット1250は、サイトの基盤内のより深くに、また特定のサーバのより近くに設置される。この位置の配置は、近くのサーバのためにより特化された検出および/または制御を可能にするなど、特定の利点を有する。
さらに、このシステム・アーキテクチュアは、それぞれ異なるサーバのサイト・サブネットワーク内の深くに到達するトラフィック量が、サイトのエッジで交差する総トラフィック量より小さいので、スケーラビリティを向上させ得る。さらに、本発明は、それぞれ異なるトラフィック・カテゴリをそれぞれ異なるサーバに向けるなど、前の実施例で述べた諸機能を実施する。
2.サービス・プロバイダ・サブネットワークのエッジおよび内部
図13は、一部の実施形態のネットワーク装置が、サービス・プロバイダ・サブネット1305の複数の位置、たとえばネットワーク装置1330、1350および1360上にも設置されるネットワーク1300を示している。この図に示す例示的なサイト(この場合、例示的なサービス・プロバイダ・サイト1305)は、サイト内への2つ以上のエントリ・ポイントを含む。具体的には、これらのエントリ・ポイントは、それぞれネットワーク装置1330および1360によって保護される。これらの外部の設置1330および1360は一般に、節Iで上述した方法のうちの1つまたは複数を使用して、エントリ・ポイントでトラフィックを調査しおよび/または分類する。上述したように、悪いと知られているトラフィックは、それがサイト1305内に入る前に破棄され得る。
やはり図13に示すように、サービス・プロバイダ・サブネット1305は、下位サブネット1355、およびサイト内に設置されたネットワーク装置1350をも含む。したがって、図12に示す企業モデルと同様に、一部の実施形態のサービス・プロバイダ・サブネット1305は、外部の設置1330および1360、ならびに内部の設置1350を含む。これらの実施形態では、それぞれ異なる設置場所が、複数の回線、および/または攻撃からの防御レベルを提供する。具体的には、内部設置1350は、サービス・プロバイダ・サイト1305のためのより粒度の高い検出および制御を提供する。
さらに、複数の設置は、サイト内に追加の特徴を提供し得る。これらの追加の特徴は、フィードバックおよび/またはアップストリーム通知を含む。たとえば、図13に示すように、内部設置1350は、アップストリーム通知を使用することによって、そのより詳細な情報をネットワーク・エッジの外部設置1330と共有する。これらの実施形態のアップストリーム通知は一般に、たとえば(1)フリークエント・フライヤー情報を含めて、信頼できると判断されるトラフィック、(2)疑わしいと判断されるトラフィックおよび/または(3)悪いと判断されるトラフィックに関する制御/シグナリング・タイプの情報を含む。一部の実施形態のアップストリーム通知は、サイトのエッジの外部設置1330に、それぞれ異なるトラフィック・カテゴリについて異なるやり方で振舞うように要求する。一部の実施形態は、上述のそれぞれ異なるトラフィック・カテゴリについて異なる措置を実施する。同様に、外部位置1330は、サービス・プロバイダ・サブネットワーク1305内のある場所に向かう予定のトラフィックに関して情報を前方に送る。
3.さらなる通知例
上述のサイト内の通知は、サイト間の場所に適応され得る。こうしたシステムでは、サービス・プロバイダと企業の両方のサブネットワーク内のルーティング・インテリジェンス・ユニットなどのネットワーク装置は、上述の諸機能のうちの1つまたは複数を独立に実施する。サービス・プロバイダは、企業のネットワークに向けられた疑わしいトラフィックの存在について企業に通知する。これらの実施形態では、サービス・プロバイダは、トラフィック分類および制御に関係する様々な側面について企業に通知する。一部の実施形態のサービス・プロバイダは、企業顧客へのサービスとして通知を提供する。たとえば、図14は、追加の制御タイプの情報、たとえば、企業1410に向けられたトラフィックが疑わしトラフィックを含むことの情報を付けて企業1410に通知するサービス・プロバイダ1405を含むネットワーク1400を示している。図14に示す異種のネットワーク装置の混合物は、ルーティング・インテリジェンス・ユニット1230および1330などの「インテリジェント」装置、ならびに一般的なルータ1435などの標準のネットワーク装置を含む。一部の実施形態は、インテリジェント装置を使用することによって、通知などの制御−信号情報を送受信する。
図15は、企業サブネット1510上のネットワーク装置1230が、アップストリーム・サービス・プロバイダ1505上に置かれたネットワーク装置1330にフィードバック通知を送信することを示している。これらの通知は一般に、たとえば受信されたトラフィックの分類に関する情報など、制御タイプの情報をも含む。企業はしばしば、たとえばトラフィック・フローに関するより進歩した検出手法を使用することによって、より多くの知識を有するよりよい状況に置かれる。一部の実施形態の企業はさらに、サービス・プロバイダによりよいアップストリーム通知を提供する。たとえば、トラフィックは、企業の構内を離れるときにしばしば暗号化される。したがって、ネットワーク装置は、具体的にはサービス・プロバイダのエッジでは、分類/格付けの判断においてトラフィック(パケット)の内容を使用することができない。これらの判断については、図1〜6に関連して上記で論じている。
一部の実施形態の通知はさらに、たとえば、疑わしいとマーク付けされる特定のソースの識別、企業によって判断されるフリークエント・フライヤーのリスト、その場所のルーティング・インテリジェンス・ユニットに関する追加の情報、および/あるいは疑わしいトラフィックまたは疑わしいトラフィックのサブセットのレート制限に関する情報を含む。一部の実施形態では、レート制限によって、企業のインバウンド・リンクが圧倒されることを防止する。
D.常時オン・アーキテクチュアの提供
1.受動制御
一部の実施形態のネットワーク・ルーティング制御は「受動的」である。受動制御は、制御および保護の特性が常にオンであることを示す。これらの実施形態は、攻撃の検出に基づくトリガを必要としない。これらの実施形態の一部はさらに、完全に正当なトラフィックからなる攻撃に対処する。したがって、一部の実施形態は、「よりスマートな」攻撃を検出する。たとえば、一部の実施形態は、正当なソースから異常な負荷パターンを検出する。場合によっては、これらの実施形態は、負荷パラメータおよび/または一般的な侵入検出システムによっては検出不可能なパターンを検出する。ソースまたはタイプに関係なく、一部の実施形態は、攻撃が開始する場合に、攻撃が進行中であることを判断する必要はない。そうではなく、一部の実施形態では、信頼できるユーザは順調な体験を有し、攻撃は自動的に自己制限される。
2.常時オン
一部の実施形態は、攻撃が実際に行われているかどうか判断する能力に依存しない。図1〜6に関して上述したプロセスの判断は、通常と攻撃の状態のもとで同じ働きをするように設定される。こうしたシステムは、疑わしいトラフィックを検出し、疑わしいトラフィックの扱いに対する従来の手法を必ずしも必要としないやり方でそれを取り扱う。上述したように、当技術分野の一般的な手法は、疑わしいトラフィックを、悪いと知られているまたは信頼できるものとして取り扱う。さらに、悪いと知られているトラフィックは一般に破棄され、信頼できるトラフィックは一般に、信頼できるトラフィック用に指定されたリソースに送信される。したがって、一般的な手法は、不所望に多くの偽陽性および偽陰性をもたらす。それとは異なり、一部の実施形態はそうではなく、トラフィックが信頼できると判明する前はそれを疑わしいと扱うことによって「常時オン」アーキテクチュアを実装する。このように、こうしたシステムは、トラフィックが目標の宛先に攻撃データを運ぶ前には攻撃が容易に識別されない場合でも、攻撃の影響を最小限に抑える。これらの実施形態は、様々なやり方で実施される。たとえば、
(1)通常なトラフィックが通常の状態では有利な扱いを受ける。
(2)通常なトラフィックが通常の状態では有利な扱いを受けない。または
(3)通常なトラフィックが、整っている企業ポリシーに従って、または別の原理に従って有利なステータスを受ける。これらの実施形態の一部について次に述べる。
信頼できるおよび疑わしいトラフィックは最初に同じリソースを使用し、次いで信頼できるトラフィックがネットワーク動作の特定の期間の間にルーティングされる。常時オン・アーキテクチュアの特定の実装では、すべてのフローは既定により「ボトルネック」リソース内に向けられる。ボトルネックは最初に、通常のトラフィックを収容できるほど十分に広く設定される。あるいは、攻撃が開始されるまで、疑わしいトラフィックに対する検出可能な影響はない。通常のネットワーク動作の間、一部のエンドポイントは「信頼できる」になる。これらのエンドポイントが信頼できるものになるときに、こうしたシステムは、信頼できるエンドポイントにボトルネックを回避するよう指示する。あるいは、信頼できるトラフィックは、たとえば異常なネットワーク活動の期間中など様々な他の期間の間、ボトルネックの周りに、別のリソースを介して向けられ得る。
信頼できるおよび疑わしいトラフィックは、時および/またはネットワークの動作に関係なく、それぞれ異なるリソースに割り当てられる。ボトルネック・リソースに入るトラフィックは、たとえば十分には信頼されていないユーザからの(疑わしい)トラフィックなど、悪いおよび/または疑わしいトラフィックを含む。こうしたシステムは、ボトルネックを通って流れる悪いトラフィックをまだ認識さえしていない可能性が高い従来の侵入検出システムに比べて、具体的な利点を有する。したがって、従来のIDSシステムは、悪いトラフィックの阻止(破棄)をそれが手遅れになるまで開始していない可能性が高い。
IV.利点
サービス・プロバイダは、上記実施形態のうちの1つまたは複数を企業顧客へのサービスとして提供する。このサービスは、これらの顧客に特定の利益をもたらす。たとえば、疑わしいトラフィックが依然としてサービスを受けることを可能にすることによって一部の実施形態は、信頼できるトラフィックが誤って破棄される機会を減少させる。したがって、商売を逃し、また機会を失うことの発生が最小限に抑えられる。したがって、これらの実施形態は具体的には、偽陽性の数を減少させる。さらに、信頼できるトラフィックが疑わしいトラフィックとは別個のリソースを使用することを保証することによって、信頼できるトラフィックのために特別な保護が提供される。たとえば、これらの実施形態の疑わしいトラフィックは、信頼できるトラフィックに影響を及ぼさない。これは、通過を許された疑わしいトラフィックの一部が実際には悪いものであると判断される場合に特に有利である。
さらに、攻撃が一般に企業内またはサービス・プロバイダ・ネットワーク内の輻輳など、負荷関連のパフォーマンス問題を引き起こすことを考慮すると、一部の実施形態は、問題が発生しているネットワークの部分から離すようにトラフィックを向けることによって攻撃関連のパフォーマンス問題を最小限に抑えおよび/または回避する。攻撃を受けるネットワークの負荷、パフォーマンス、輻輳および他の問題については、たとえば2002年7月25日に出願された、公開番号2003/0039212の米国特許出願第10/070515号「Method and apparatus for the assessment and optimization of network traffic」、2001年8月6日に出願された、公開番号2002/0078223の米国特許出願第09/923924号「Method and apparatus for performance and cost optimization in an inter network」、2001年9月20日に出願された、公開番号2002/0075813の米国特許出願第09/960623号「Method and apparatus for coordinating routing parameters via a back-channel communication medium」、2002年12月12日に出願された、公開番号2003/0161321の米国特許出願第10/070338号「Method and apparatus for characterizing the quality of a network path」、および2003年2月4日に出願された、国際公開番号WO/03/067731のPCT国際出願第PCT/US03/03297号「Load optimization」に記載されている。これらの出願を、参考により本明細書に組み込む。
さらに、上述の諸実施形態の一部は、既存のアーキテクチュアへの代替のおよび/またはスケーラブルな改良を提供している。たとえば、こうしたシステムは、アウトバウンド・パフォーマンス最適化、アウトバウンド・アプリケーション・パフォーマンス最適化、アウトバウンド負荷最適化、インバウンド・パフォーマンス最適化、インバウンド・アプリケーション・パフォーマンス最適化および/またはインバウンド負荷最適化に関する1つまたは複数の方法および/またはシステムの代わりに、またはそれと併せて実装される。これらのコンテキストについては、たとえば上述の参照により組み込まれている諸米国特許出願に記載されている。
本発明について複数の具体的な詳細を参照して述べたが、本発明の精神から逸脱せずに本発明は他の特定の形で実施され得ることが当業者には理解されよう。したがって、本発明は、上記の例示的な詳細によって制限されるものではなく、添付の特許請求の範囲によって定められるものであることが当業者には理解されよう。
本発明によるトラフィック分類のためのプロセスを示す図である。 追加の工程を伴う図1Aのプロセスを示す図である。 ネットワークを介して第2の装置にトラフィックを送信する第1の装置を示す図である。 2つ以上のリソースを使用することによって第2の装置にトラフィックを送信する第1の装置を示す図である。 第3のリソースを使用する第1の装置を示す図である。 本発明によるリソース配分のためのプロセス・フローを示す図である。 ネットワークのリソース配分を概念的に示す図である。 ネットワークのリソース配分を使用してトラフィックを送信する複数の装置を概念的に示す図である。 一部の実施形態のネットワーク装置が知的であり、悪いトラフィックを局所的に破棄することを示す図である。 一般的な侵入検出システム内のクリティカル境界を概念的に示す図である。 一般的な侵入検出システム内のクリティカル境界を概念的に示す図である。 特定の実施形態で実施されるクリティカル境界を概念的に示す図である。 本発明のシステム・アーキテクチュアを示す図である。 企業アーキテクチュアをさらに詳細に示す図である。 サービス・プロバイダ・アーキテクチュアをさらに詳細に示す図である。 本発明によるアップストリーム通知を示す図である。 本発明によるフィードバック通知を示す図である。

Claims (45)

  1. a.ネットワークのネットワーク・リソースおよびネットワーク内のアプリケーションのパフォーマンスのうちの少なくとも1つを監視するステップ、
    b.前記監視に基づいてネットワーク・トラフィックを少なくとも良い、悪いおよび疑わしいトラフィック・カテゴリに分類するステップ、および
    c.前記トラフィック・カテゴリの第3のカテゴリと異なる前記トラフィック・カテゴリのうちの少なくとも2つのカテゴリを扱うステップを備える方法。
  2. a.第1のトラフィック・サブセットについての措置を判断するステップ、および
    b.第2のトラフィック・サブセットを分類するステップをさらに備える請求項1に記載の方法。
  3. 前記第1トラフィック・サブセットが、前記ネットワーク・リソースを監視する前記ステップに基づいて分類される請求項1に記載の方法。
  4. 前記第1トラフィック・サブセットが前記アプリケーションの前記パフォーマンスを監視するステップに基づいて分類される請求項1に記載の方法。
  5. 前記分類に基づいて前記第2トラフィック・サブセットについての措置を判断するステップをさらに備える請求項2に記載の方法。
  6. 前記第2トラフィック・サブセットについての前記措置が前記ネットワーク・リソースを監視する前記ステップに基づく請求項5に記載の方法。
  7. 前記第2トラフィック・サブセットについての前記措置が前記アプリケーション・パフォーマンスを監視する前記ステップに基づく請求項5に記載の方法。
  8. 前記第1トラフィック・サブセットと前記第2トラフィック・サブセットが重複しないようになっている請求項5に記載の方法。
  9. 前記第1トラフィック・サブセットと前記第2トラフィック・サブセットが重複するようになっている請求項5に記載の方法。
  10. 前記第1トラフィック・サブセットと前記第2トラフィック・サブセットが同じである請求項5に記載の方法。
  11. a.ユーザおよびトラフィック・パターンの履歴を追跡するステップ、および
    b.前記第1トラフィック・サブセットを分類する際に前記履歴を使用するステップをさらに備える請求項2に記載の方法。
  12. a.ユーザおよびトラフィック・パターンの履歴を追跡するステップ、および
    b.前記第2トラフィック・サブセットについての措置を判断する際に前記履歴を使用するステップをさらに備える請求項5に記載の方法。
  13. 前記第1トラフィック・サブセットの前記カテゴリが1組のアプリケーション管理ツールに基づく請求項2に記載の方法。
  14. 前記第2トラフィック・サブセットについての前記措置が1組のアプリケーション管理ツールに基づく請求項5に記載の方法。
  15. 前記分類ステップのためにプロトコル・スイートを使用するステップをさらに備える請求項1に記載の方法。
  16. 前記第2トラフィック・サブセットの前記カテゴリがプロトコル・スイートに基づく請求項2に記載の方法。
  17. 前記第2トラフィック・サブセットについての前記措置がプロトコル・スイートに基づく請求項5に記載の方法。
  18. 常時オン・アーキテクチュアを提供するステップをさらに備える請求項1に記載の方法。
  19. 前記常時オン・アーキテクチュアを提供するステップが、
    前記少なくとも2つのトラフィック・カテゴリを第1のリソースに割り当てるステップ、
    前記分類に基づいて、前記少なくとも2つのトラフィック・カテゴリのうちの1つのカテゴリを第2のリソースに割り当てるステップを備える請求項18に記載の方法。
  20. 前記少なくとも2つのカテゴリが良いおよび疑わしいトラフィック・カテゴリを備え、前記第2リソースが良いトラフィックに配分される請求項19に記載の方法。
  21. 前記常時オン・アーキテクチュアを提供するステップが、
    前記少なくとも2つのトラフィック・カテゴリを第1リソースに割り当てる処理、
    前記監視に基づいて、前記少なくとも2つのトラフィック・カテゴリのうちの1つのカテゴリを第2のリソースに再割当てする処理を有する請求項18に記載の方法。
  22. 前記監視が異常なネットワーク活動を検出するステップをさらに備える請求項21に記載の方法。
  23. エンドポイントが信頼できると判断するステップをさらに備え、エンドポイントがトランザクションについての前記ネットワーク内のソースまたは宛先である請求項1に記載の方法。
  24. エンドポイントにフリークエント・フライヤ・ステータスを割り当てるステップをさらに備える請求項1に記載の方法。
  25. アウトバウンド・パフォーマンス最適化とアウトバウンド・アプリケーション・パフォーマンス最適化とアウトバウンド負荷最適化とインバウンド・パフォーマンス最適化とインバウンド・アプリケーション・パフォーマンス最適化とインバウンド負荷最適化とを備えるセットから選択される最適化を提供するステップをさらに備える請求項1に記載の方法。
  26. トラフィックをパフォーマンス問題に関する攻撃を避けるように向けるステップをさらに備える請求項1に記載の方法。
  27. 前記パフォーマンス問題がアプリケーション・パフォーマンスの劣化、電圧低下および停電のうちの1つを含む請求項26に記載の方法。
  28. トラフィックを負荷問題に関する攻撃を避けるように向けるステップをさらに備える請求項1に記載の方法。
  29. 前記負荷問題が輻輳、アプリケーション・パフォーマンスの劣化、電圧低下および停電のうちの1つを含む請求項28に記載の方法。
  30. a.ネットワーク内のトラフィックを使用することによってユーザを自動的に発見するステップ、
    b.前記ユーザに関連するアプリケーションのパフォーマンスを監視するステップ、
    c.前記アプリケーションのパフォーマンスを査定するステップ、および
    d.前記トラフィックを制御することを備える方法。
  31. 前記トラフィックを制御するステップが、負荷、コストおよびアプリケーション・パフォーマンス制約の間に適切な均衡を実施することを備える請求項30に記載の方法。
  32. 前記トラフィックを制御するステップが複数の任意選択可能なリソースを備える請求項30に記載の方法。
  33. 前記リソースが、リンク、経路、MPLSタグ、サービス・タイプ(ToS)マーキングおよび仮想ローカル・アクセス・ネットワーク(VLAN)のうちの1つを含む請求項32に記載の方法。
  34. データをルーティングする方法であって、
    a.複数のデータ・パケットを備えるデータ・ストリームをノードから受信するステップ、
    b.前記複数のデータ・パケットを格付けすることであって、前記格付けが、
    i.信頼できるソースからのデータを含む信頼できるトラフィックと、
    ii.望まれないデータを含むと知られているデータを含む悪いトラフィックと、
    iii.知られていない、または信頼できるソースからのものでないデータを含む疑わしいトラフィックとを含むことを備える方法。
  35. a.第1のリソースを使用して前記信頼できるトラフィックをルーティングするステップ、
    b.第2のリソースを使用して前記悪いトラフィックをルーティングするステップ、および
    c.第3のリソースを使用して前記疑わしいトラフィックをルーティングするステップをさらに備える請求項34に記載の方法。
  36. 複数の前記第1、第2および第3リソースが同じ論理リソースである請求項34に記載の方法。
  37. 複数の前記第1、第2および第3リソースが同じ物理リソースである請求項34に記載の方法。
  38. a.入トラフィックを受信するための入力と、
    b.出トラフィックを送信するための出力と、
    c.入トラフィックを分類する分類モジュールであって、前記入トラフィックのカテゴリが疑わしいを備える分類モジュールと、
    d.前記分類されたトラフィックを特定のリソースに割り当てるリソース割当てモジュールとを備えるネットワーク装置。
  39. 前記リソース割当てが、ToSタグとMPLSタグと物理パスとを備えるセットから選択される1つまたは複数のリソースを備える請求項38に記載のネットワーク装置。
  40. 前記ネットワーク装置がルータである請求項38に記載のネットワーク装置。
  41. 適応ネットワーキングのためのシステムであって、
    複数のサブセットを備えるトラフィックであって、第1のサブセットが疑わしいトラフィックを含むトラフィックと、
    疑わしいトラフィックに配分される前記トラフィック用のリソースと、
    受信されたトラフィックを前記第1サブセットに分類するように構成された、前記トラフィックを受信するための第1の装置とを備えるシステム。
  42. 前記第1装置が前記第1サブセットを前記リソースに割り当てるように構成される請求項41に記載のシステム。
  43. インターネット・サービス・プロバイダをさらに備え、第1装置が、前記インターネット・サービス・プロバイダにまたそこから流れる前記トラフィックを受信するように構成される請求項41に記載のシステム。
  44. 企業ネットワークをさらに備える請求項41に記載のシステム。
  45. 前記第1装置がさらに、前記トラフィックとは別個のネットワーク制御データを備える通知メッセージを送受信するように構成される請求項41に記載のシステム。
JP2007531435A 2004-09-09 2005-09-08 ネットワーク・トラフィックのセキュリティのための方法およびシステム Expired - Fee Related JP4634456B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US60906204P 2004-09-09 2004-09-09
PCT/US2005/032463 WO2006029399A2 (en) 2004-09-09 2005-09-08 Methods of and systems for network traffic security

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2010227252A Division JP2011065653A (ja) 2004-09-09 2010-10-07 ネットワーク・トラフィックのセキュリティのための方法およびシステム

Publications (2)

Publication Number Publication Date
JP2008512970A true JP2008512970A (ja) 2008-04-24
JP4634456B2 JP4634456B2 (ja) 2011-02-16

Family

ID=36037050

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2007531435A Expired - Fee Related JP4634456B2 (ja) 2004-09-09 2005-09-08 ネットワーク・トラフィックのセキュリティのための方法およびシステム
JP2007531436A Expired - Fee Related JP4634457B2 (ja) 2004-09-09 2005-09-09 リモート・アウトバウンド制御のための方法およびシステム
JP2010227252A Pending JP2011065653A (ja) 2004-09-09 2010-10-07 ネットワーク・トラフィックのセキュリティのための方法およびシステム

Family Applications After (2)

Application Number Title Priority Date Filing Date
JP2007531436A Expired - Fee Related JP4634457B2 (ja) 2004-09-09 2005-09-09 リモート・アウトバウンド制御のための方法およびシステム
JP2010227252A Pending JP2011065653A (ja) 2004-09-09 2010-10-07 ネットワーク・トラフィックのセキュリティのための方法およびシステム

Country Status (6)

Country Link
US (4) US20060072543A1 (ja)
EP (2) EP1790131B1 (ja)
JP (3) JP4634456B2 (ja)
KR (2) KR101111099B1 (ja)
CA (2) CA2549577A1 (ja)
WO (2) WO2006029399A2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012191272A (ja) * 2011-03-08 2012-10-04 Fujitsu Ltd 帯域制御装置、与信度管理サーバー、及び帯域制御システム
JP2013236400A (ja) * 2011-04-18 2013-11-21 Nec Corp 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置
JP2017212705A (ja) * 2016-05-27 2017-11-30 学校法人東京電機大学 通信制御装置、通信システム、通信制御方法、及びプログラム

Families Citing this family (113)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE459154T1 (de) * 2000-10-17 2010-03-15 Avaya Technology Corp Verfahren und vorrichtung zur optimierung der leistung und des kosten in einem internetzwerk
US8023421B2 (en) * 2002-07-25 2011-09-20 Avaya Inc. Method and apparatus for the assessment and optimization of network traffic
JP4421978B2 (ja) * 2004-09-03 2010-02-24 富士通株式会社 遅延保証パス設定システム
CA2549577A1 (en) * 2004-09-09 2006-03-16 Avaya Technology Corp. Methods of and systems for network traffic security
US20060171365A1 (en) * 2005-02-02 2006-08-03 Utstarcom, Inc. Method and apparatus for L2TP dialout and tunnel switching
AU2006244074B2 (en) 2005-05-09 2012-12-13 Hydra Biosciences, Inc. Compounds for modulating TRPV3 function
BRPI0622274A2 (pt) 2005-06-09 2011-08-09 Whirlpool Co aparelho configurado para executar um ciclo de operação para completar uma operação fìsica em um artigo e rede de aparelho
US7764612B2 (en) * 2005-06-16 2010-07-27 Acme Packet, Inc. Controlling access to a host processor in a session border controller
US8140665B2 (en) * 2005-08-19 2012-03-20 Opnet Technologies, Inc. Managing captured network traffic data
US7797282B1 (en) * 2005-09-29 2010-09-14 Hewlett-Packard Development Company, L.P. System and method for modifying a training set
US20070110035A1 (en) * 2005-11-14 2007-05-17 Broadcom Corporation, A California Corporation Network nodes cooperatively routing traffic flow amongst wired and wireless networks
WO2007071004A1 (en) * 2005-12-20 2007-06-28 Bce Inc. Apparatus and method for supporting multiple traffic categories at a single networked device
US8160055B1 (en) * 2006-02-24 2012-04-17 Cisco Technology, Inc. System and methods for identifying network path performance
WO2007131347A1 (en) * 2006-05-11 2007-11-22 Nortel Networks Limited Media access control protocol for multi-hop network systems and method therefore
DE102006045349B3 (de) * 2006-09-26 2008-04-30 Siemens Ag Suchverfahren mittels einer Suchvorrichtung zum Suchen eines für Datenpakete eines DoS-Angriffes auf eine Netzwerkeinrichtung indikativen Bitmusters, Suchvorrichtung, Filterverfahren und Filtervorrichtung
KR100776790B1 (ko) 2006-12-04 2007-11-19 한국전자통신연구원 Rsvp-te 프로토콜을 이용하여 lsp를 설정하기위한 lsr의 메시지 처리 방법
US8041785B2 (en) * 2007-01-17 2011-10-18 Microsoft Corporation Programmatically choosing a router configuration provider
US8214497B2 (en) 2007-01-24 2012-07-03 Mcafee, Inc. Multi-dimensional reputation scoring
US8763114B2 (en) 2007-01-24 2014-06-24 Mcafee, Inc. Detecting image spam
JP2008199138A (ja) * 2007-02-09 2008-08-28 Hitachi Industrial Equipment Systems Co Ltd 情報処理装置及び情報処理システム
US8345552B2 (en) 2007-02-27 2013-01-01 Alcatel Lucent Virtual connection route selection apparatus and techniques
US8289845B1 (en) 2007-05-15 2012-10-16 Avaya Inc. Assured path optimization
CN101801362B (zh) 2007-06-22 2014-01-22 海德拉生物科学公司 用于治疗病症的方法和组合物
US9961094B1 (en) * 2007-07-25 2018-05-01 Xangati, Inc Symptom detection using behavior probability density, network monitoring of multiple observation value types, and network monitoring using orthogonal profiling dimensions
US20090089325A1 (en) * 2007-09-28 2009-04-02 Rockwell Automation Technologies, Inc. Targeted resource allocation
CN101159656B (zh) 2007-11-12 2011-05-11 华为技术有限公司 一种报文采样的方法、系统及设备
US8239537B2 (en) 2008-01-02 2012-08-07 At&T Intellectual Property I, L.P. Method of throttling unwanted network traffic on a server
US8793363B2 (en) * 2008-01-15 2014-07-29 At&T Mobility Ii Llc Systems and methods for real-time service assurance
GB0800838D0 (en) * 2008-01-17 2008-02-27 Eads Defence And Security Syst Secure communication system
US8589503B2 (en) * 2008-04-04 2013-11-19 Mcafee, Inc. Prioritizing network traffic
DE602008000799D1 (de) * 2008-04-11 2010-04-22 Deutsche Telekom Ag Verfahren und System zur Abschwächung verteilter Dienstverweigerungsangriffe auf Grundlage einer Schätzung der Dichte der IP-Nachbarschaft
US8090870B2 (en) * 2008-04-28 2012-01-03 Disney Enterprises, Inc. Method and system for adaptive data transfer over packet networks
KR101003104B1 (ko) * 2008-12-22 2010-12-21 한국전자통신연구원 무선 네트워크에서 보안 상황 감시 장치
WO2010090311A1 (ja) 2009-02-09 2010-08-12 日本電気株式会社 経路制御システム、経路制御装置、通信装置、経路制御方法およびプログラム
US8719414B2 (en) * 2009-05-12 2014-05-06 Centurylink Intellectual Property Llc Multi-source broadband aggregation router
US8665783B2 (en) 2009-05-20 2014-03-04 Centurylink Intellectual Property Llc Dynamic multi-point access network
US9307205B2 (en) 2009-06-18 2016-04-05 Centurylink Intellectual Property Llc System and method for utilizing a secured service provider memory
KR100959264B1 (ko) * 2009-08-26 2010-05-26 에스지에이 주식회사 네트워크를 이용하는 프로세스의 감시를 통한 좀비pc 차단 시스템 및 그 방법
US8572282B2 (en) * 2009-10-30 2013-10-29 Cleversafe, Inc. Router assisted dispersed storage network method and apparatus
JP5674107B2 (ja) * 2010-10-19 2015-02-25 日本電気株式会社 通信システム、制御装置、処理規則の設定方法およびプログラム
IL209250A0 (en) * 2010-11-11 2011-01-31 Eci Telecom Ltd Technology for managing traffic via dual homed connections in communication networks
WO2012098429A1 (en) * 2011-01-18 2012-07-26 Nokia Corporation Method, apparatus, and computer program product for managing unwanted traffic in a wireless network
US10520952B1 (en) 2011-07-06 2019-12-31 Peloton Technology, Inc. Devices, systems, and methods for transmitting vehicle data
US10520581B2 (en) 2011-07-06 2019-12-31 Peloton Technology, Inc. Sensor fusion for autonomous or partially autonomous vehicle control
WO2018039134A1 (en) 2016-08-22 2018-03-01 Peloton Technology, Inc. Automated connected vehicle control system architecture
US20170242443A1 (en) 2015-11-02 2017-08-24 Peloton Technology, Inc. Gap measurement for vehicle convoying
US8612743B2 (en) * 2011-07-26 2013-12-17 The Boeing Company Wireless network security
US9119077B2 (en) 2011-07-26 2015-08-25 The Boeing Company Wireless network security
US9049660B2 (en) * 2011-09-09 2015-06-02 Microsoft Technology Licensing, Llc Wake pattern management
US8806250B2 (en) 2011-09-09 2014-08-12 Microsoft Corporation Operating system management of network interface devices
US8892710B2 (en) 2011-09-09 2014-11-18 Microsoft Corporation Keep alive management
US8516586B1 (en) * 2011-09-20 2013-08-20 Trend Micro Incorporated Classification of unknown computer network traffic
US9813310B1 (en) * 2011-10-31 2017-11-07 Reality Analytics, Inc. System and method for discriminating nature of communication traffic transmitted through network based on envelope characteristics
CN102624560B (zh) * 2012-03-12 2016-06-29 深圳市天威视讯股份有限公司 一种分布式部署、集中式控制的有线电视网络宽带接入系统
US10367878B2 (en) * 2012-03-31 2019-07-30 Bmc Software, Inc. Optimization of path selection for transfers of files
US9210180B2 (en) 2012-04-18 2015-12-08 Radware Ltd. Techniques for separating the processing of clients' traffic to different zones in software defined networks
WO2013162511A1 (en) * 2012-04-24 2013-10-31 Hewlett-Packard Development Company, L.P. Identifying network communication patterns
US9451393B1 (en) * 2012-07-23 2016-09-20 Amazon Technologies, Inc. Automated multi-party cloud connectivity provisioning
US9396034B2 (en) * 2012-07-30 2016-07-19 Hewlett Packard Enterprise Development Lp Job placement based on modeling of job slots
KR20140021774A (ko) * 2012-08-10 2014-02-20 주식회사 아이디어웨어 애플리케이션 패킷 데이터 패턴 검출 장치
US10187309B1 (en) 2012-08-20 2019-01-22 Amazon Technologies, Inc. Congestion mitigation in networks using flow-based hashing
US10182010B1 (en) 2012-08-20 2019-01-15 Amazon Technologies, Inc. Flow collision avoidance
US9013998B1 (en) * 2012-08-20 2015-04-21 Amazon Technologies, Inc. Estimating round-trip times to improve network performance
CN102938734A (zh) * 2012-11-26 2013-02-20 杭州华三通信技术有限公司 Mpls网络中隧道的选择方法及pe设备
US8964953B2 (en) 2013-01-10 2015-02-24 Microsoft Corporation Incremental valuation based network capacity allocation
US9467482B2 (en) * 2013-01-31 2016-10-11 Cable Television Laboratories, Inc. Reverse prefix delegation
US9680728B2 (en) * 2013-02-12 2017-06-13 Ixia Arrangements for monitoring network traffic on a cloud-computing environment and methods thereof
US10021042B2 (en) * 2013-03-07 2018-07-10 Microsoft Technology Licensing, Llc Service-based load-balancing management of processes on remote hosts
US11294396B2 (en) 2013-03-15 2022-04-05 Peloton Technology, Inc. System and method for implementing pre-cognition braking and/or avoiding or mitigation risks among platooning vehicles
US20180210463A1 (en) 2013-03-15 2018-07-26 Peloton Technology, Inc. System and method for implementing pre-cognition braking and/or avoiding or mitigation risks among platooning vehicles
KR102230407B1 (ko) * 2013-03-15 2021-03-22 더 보잉 컴파니 라우터의 물리적 위치에 기초한 보안 라우팅
WO2014194333A1 (en) 2013-05-31 2014-12-04 Seven Networks, Inc. Optimizing traffic by controlling keep-alives
CN105637919A (zh) 2013-06-11 2016-06-01 七网络有限责任公司 优化无线网络中的保活和其他后台流量
EP4216599A1 (en) 2013-06-11 2023-07-26 Seven Networks, LLC Offloading application traffic to a shared communication channel for signal optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols
US9319307B2 (en) * 2013-09-06 2016-04-19 At&T Intellectual Property I, L.P. Providing differentiated service to traffic flows obscured by content distribution systems
US9077639B2 (en) * 2013-11-18 2015-07-07 Arbor Networks, Inc. Managing data traffic on a cellular network
KR101566304B1 (ko) * 2013-11-21 2015-11-06 주식회사 쏠리드 Mtbf 개선을 위한 중계 시스템 및 그 방법
CN104702577B (zh) 2013-12-09 2018-03-16 华为技术有限公司 数据流安全处理方法及装置
US9088508B1 (en) 2014-04-11 2015-07-21 Level 3 Communications, Llc Incremental application of resources to network traffic flows based on heuristics and business policies
KR101576937B1 (ko) * 2014-07-28 2015-12-14 주식회사 오이솔루션 광 트랜시버
US9509616B1 (en) 2014-11-24 2016-11-29 Amazon Technologies, Inc. Congestion sensitive path-balancing
US10038741B1 (en) 2014-11-24 2018-07-31 Amazon Technologies, Inc. Selective enabling of sequencing for encapsulated network traffic
US9929969B1 (en) * 2014-12-31 2018-03-27 VCA IP Holding Company LLC Tenant-based management system and method for distributed computing environments
US9621577B2 (en) 2015-05-28 2017-04-11 Microsoft Technology Licensing, Llc Mitigation of computer network attacks
US10003522B2 (en) * 2015-08-27 2018-06-19 Facebook, Inc. Routing with flow over shared risk link groups
US9942202B2 (en) * 2015-09-08 2018-04-10 Microsoft Technology Licensing, Llc Trust status of a communication session
WO2017053441A1 (en) * 2015-09-21 2017-03-30 Huawei Technologies Co., Ltd. Fast and scalable database cluster communication path
US10135702B2 (en) 2015-11-12 2018-11-20 Keysight Technologies Singapore (Holdings) Pte. Ltd. Methods, systems, and computer readable media for testing network function virtualization (NFV)
CN106817340B (zh) * 2015-11-27 2020-05-08 阿里巴巴集团控股有限公司 预警决策的方法、节点及子系统
US9967165B2 (en) 2015-12-07 2018-05-08 Keysight Technologies Singapore (Holdings) Pte. Ltd. Methods, systems, and computer readable media for packet monitoring in a virtual environment
WO2017129476A1 (en) * 2016-01-29 2017-08-03 Philips Lighting Holding B.V. Managing network traffic in application control networks
EP3465371A4 (en) 2016-05-31 2019-12-18 Peloton Technology Inc. STATE MACHINE FOR PLATOON REGULATOR
US10369998B2 (en) 2016-08-22 2019-08-06 Peloton Technology, Inc. Dynamic gap control for automated driving
US10523528B2 (en) * 2017-05-22 2019-12-31 Cisco Technology, Inc. Determination of quality of service of a network tunnel
US10587937B2 (en) * 2018-04-09 2020-03-10 Futurewei Technologies, Inc. Packet and optical integration
US11398968B2 (en) 2018-07-17 2022-07-26 Keysight Technologies, Inc. Methods, systems, and computer readable media for testing virtualized network functions and related infrastructure
US10762791B2 (en) 2018-10-29 2020-09-01 Peloton Technology, Inc. Systems and methods for managing communications between vehicles
US11427196B2 (en) 2019-04-15 2022-08-30 Peloton Technology, Inc. Systems and methods for managing tractor-trailers
US10938706B1 (en) 2019-09-18 2021-03-02 Cisco Technology, Inc. Systems and methods for providing traffic generation on network devices
WO2021115779A1 (en) * 2019-12-09 2021-06-17 Koninklijke Philips N.V. System and method for monitoring health status based on home internet traffic patterns
CN113098749B (zh) * 2020-01-08 2024-10-15 华为技术有限公司 报文发送方法、装置及存储介质
EP4096661A4 (en) 2020-01-29 2024-03-06 Kamari Pharma Ltd. COMPOUNDS AND COMPOSITIONS FOR USE IN TREATING SKIN DISEASES
US11516670B2 (en) * 2020-07-06 2022-11-29 T-Mobile Usa, Inc. Security system for vulnerability-risk-threat (VRT) detection
US11800361B2 (en) 2020-07-06 2023-10-24 T-Mobile Usa, Inc. Security system with 5G network traffic incubation
US11622273B2 (en) 2020-07-06 2023-04-04 T-Mobile Usa, Inc. Security system for directing 5G network traffic
US11770713B2 (en) 2020-07-06 2023-09-26 T-Mobile Usa, Inc. Distributed security system for vulnerability-risk-threat (VRT) detection
US11743729B2 (en) 2020-07-06 2023-08-29 T-Mobile Usa, Inc. Security system for managing 5G network traffic
US11323354B1 (en) 2020-10-09 2022-05-03 Keysight Technologies, Inc. Methods, systems, and computer readable media for network testing using switch emulation
US11483227B2 (en) 2020-10-13 2022-10-25 Keysight Technologies, Inc. Methods, systems and computer readable media for active queue management
US20230139002A1 (en) * 2021-10-29 2023-05-04 Cisco Technology, Inc. SASE Based Method of Preventing Exhausting Attack in Wireless Mesh Networks
US11853254B1 (en) 2022-10-07 2023-12-26 Keysight Technologies, Inc. Methods, systems, and computer readable media for exposing data processing unit (DPU) traffic in a smartswitch
US11863396B1 (en) 2022-11-18 2024-01-02 Packet Forensics, LLC Passive assessment of signal relays amongst bystanders
US20240275726A1 (en) * 2023-02-13 2024-08-15 Hourglass Software LLC Modifying network routing and bandwidth balancing for lower latency and high quality fair traffic

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003524925A (ja) * 1998-12-09 2003-08-19 ネットワーク アイス コーポレイション ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置
JP2006506853A (ja) * 2002-11-07 2006-02-23 ティッピングポイント テクノロジーズ インコーポレイテッド 能動的ネットワーク防衛システム及び方法

Family Cites Families (183)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4495570A (en) * 1981-01-14 1985-01-22 Hitachi, Ltd. Processing request allocator for assignment of loads in a distributed processing system
US4901244A (en) 1985-01-25 1990-02-13 Szeto Lai Wan M Apparatus for, and method of, analyzing signals
US4669113A (en) * 1985-04-26 1987-05-26 At&T Company Integrated network controller for a dynamic nonhierarchical routing switching network
US4726017A (en) * 1985-05-21 1988-02-16 Fla. Multidrop data concentrator communication network
US5287537A (en) * 1985-11-15 1994-02-15 Data General Corporation Distributed processing system having plural computers each using identical retaining information to identify another computer for executing a received command
US4748658A (en) * 1986-07-16 1988-05-31 Bell Communications Research, Inc. Architecture for allocating resources in a telecommunications network
US4920432A (en) * 1988-01-12 1990-04-24 Eggers Derek C System for random access to an audio video data library with independent selection and display at each of a plurality of remote locations
US5652841A (en) 1990-02-06 1997-07-29 Nemirovsky; Paul Method and apparatus for aggregating terminals into clusters to assist in the construction of a distributed data communication network
JPH05505709A (ja) * 1990-03-05 1993-08-19 マサチユセツツ・インスチチユート・オブ・テクノロジー メツセージ経路指定のための拡大及び/又は分散論理クラスターを有する交換網
EP0528075A1 (en) 1991-08-19 1993-02-24 ALCATEL BELL Naamloze Vennootschap Performance measurement device for a telecommunication path and method used therein
US5247347A (en) * 1991-09-27 1993-09-21 Bell Atlantic Network Services, Inc. Pstn architecture for video-on-demand services
US5291554A (en) * 1992-05-28 1994-03-01 Tv Answer, Inc. Shared-price custom video rentals via interactive TV
US5508732A (en) * 1993-03-22 1996-04-16 International Business Machines Corporation Data server, control server and gateway architecture system and method for broadcasting digital video on demand
US5406502A (en) * 1993-06-29 1995-04-11 Elbit Ltd. System and method for measuring the operation of a device
US5414455A (en) * 1993-07-07 1995-05-09 Digital Equipment Corporation Segmented video on demand system
US5631897A (en) * 1993-10-01 1997-05-20 Nec America, Inc. Apparatus and method for incorporating a large number of destinations over circuit-switched wide area network connections
BE1007682A3 (nl) * 1993-10-29 1995-09-12 Philips Electronics Nv Schakelinrichting.
JP3420621B2 (ja) 1993-11-04 2003-06-30 富士通株式会社 通信網の分散型経路選択制御装置
JP3361865B2 (ja) 1993-12-13 2003-01-07 富士通株式会社 スタティックなルーティング情報の自動設定方法およびルーティング情報の自動設定を行うコンピュータ
US5835726A (en) 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US5974457A (en) * 1993-12-23 1999-10-26 International Business Machines Corporation Intelligent realtime monitoring of data traffic
US5515511A (en) * 1994-06-06 1996-05-07 International Business Machines Corporation Hybrid digital/analog multimedia hub with dynamically allocated/released channels for video processing and distribution
US5519435A (en) * 1994-09-01 1996-05-21 Micropolis Corporation Multi-user, on-demand video storage and retrieval system including video signature computation for preventing excessive instantaneous server data rate
EP0701349A1 (fr) * 1994-09-07 1996-03-13 T.R.T. Telecommunications Radioelectriques Et Telephoniques Système et noeud de transmission de données avec surveillance de l'engorgement
US6751562B1 (en) 2000-11-28 2004-06-15 Power Measurement Ltd. Communications architecture for intelligent electronic devices
NL9500512A (nl) * 1995-03-15 1996-10-01 Nederland Ptt Inrichting voor het bepalen van de kwaliteit van een door een signaalbewerkingscircuit te genereren uitgangssignaal, alsmede werkwijze voor het bepalen van de kwaliteit van een door een signaalbewerkingscircuit te genereren uitgangssignaal.
JP2666769B2 (ja) * 1995-05-16 1997-10-22 日本電気株式会社 インタネットプロトコルルーティング方法及び装置
US5654958A (en) 1995-06-05 1997-08-05 Motorola, Inc. System and method for learning and dynamic routing of data in a mobile communication network
US6393486B1 (en) * 1995-06-23 2002-05-21 Cisco Technology, Inc. System and method using level three protocol information for network centric problem analysis and topology construction of actual or planned routed network
US5590126A (en) 1995-09-27 1996-12-31 Lucent Technologies Inc. Method for call establishment and rerouting in mobile computing networks
US5629930A (en) * 1995-10-31 1997-05-13 Northern Telecom Limited Call routing in an ATM switching network
US5754639A (en) * 1995-11-03 1998-05-19 Lucent Technologies Method and apparatus for queuing a call to the best split
US5812528A (en) 1995-11-17 1998-09-22 Telecommunications Techniques Corporation Measuring round trip time in ATM network virtual connections
US5940478A (en) 1996-05-31 1999-08-17 Octel Communications Corporation Method and system for extended addressing plans
US5892754A (en) 1996-06-07 1999-04-06 International Business Machines Corporation User controlled adaptive flow control for packet networks
US5872930A (en) * 1996-07-11 1999-02-16 Microsoft Corporation Load balancing between E-mail servers within a local area network
US5841775A (en) 1996-07-16 1998-11-24 Huang; Alan Scalable switching network
US6185601B1 (en) * 1996-08-02 2001-02-06 Hewlett-Packard Company Dynamic load balancing of a network of client and server computers
US6130889A (en) * 1996-10-02 2000-10-10 International Business Machines Corporation Determining and maintaining hop-count for switched networks
DE19645339B4 (de) * 1996-11-04 2010-05-06 Valeo Schalter Und Sensoren Gmbh Verfahren zur von den Fahrzeugdaten abhängigen Abstandsmessung aus einem Fahrzeug
US6012088A (en) * 1996-12-10 2000-01-04 International Business Machines Corporation Automatic configuration for internet access device
US6594307B1 (en) 1996-12-13 2003-07-15 Koninklijke Kpn N.V. Device and method for signal quality determination
US6226266B1 (en) * 1996-12-13 2001-05-01 Cisco Technology, Inc. End-to-end delay estimation in high speed communication networks
US6052718A (en) * 1997-01-07 2000-04-18 Sightpath, Inc Replica routing
US6549954B1 (en) * 1997-01-16 2003-04-15 Advanced Micro Devices, Inc. Object oriented on-chip messaging
US6034946A (en) * 1997-04-15 2000-03-07 International Business Machines Corporation Selection of routing paths in data communications networks to satisfy multiple requirements
US6341309B1 (en) * 1997-05-27 2002-01-22 Novell, Inc. Firewall system for quality of service management
US6178448B1 (en) * 1997-06-18 2001-01-23 International Business Machines Corporation Optimal link scheduling for multiple links by obtaining and utilizing link quality information
US6904110B2 (en) * 1997-07-31 2005-06-07 Francois Trans Channel equalization system and method
US6912222B1 (en) 1997-09-03 2005-06-28 Internap Network Services Corporation Private network access point router for interconnecting among internet route providers
AU9489198A (en) 1997-09-16 1999-04-05 Transnexus, Llc Gatekeeper for internet clearinghouse communications system
US6434606B1 (en) 1997-10-01 2002-08-13 3Com Corporation System for real time communication buffer management
US6026441A (en) * 1997-12-16 2000-02-15 At&T Corporation Method for establishing communication on the internet with a client having a dynamically assigned IP address
US6339595B1 (en) * 1997-12-23 2002-01-15 Cisco Technology, Inc. Peer-model support for virtual private networks with potentially overlapping addresses
US6078963A (en) 1998-01-16 2000-06-20 At&T Corp. Router with de-centralized processing using intelligent ports
US6185598B1 (en) * 1998-02-10 2001-02-06 Digital Island, Inc. Optimized network resource location
US6438592B1 (en) 1998-02-25 2002-08-20 Michael G. Killian Systems for monitoring and improving performance on the world wide web
EP1062758A1 (en) * 1998-03-12 2000-12-27 BRITISH TELECOMMUNICATIONS public limited company Method and apparatus for signal degradation measurement
US6453356B1 (en) 1998-04-15 2002-09-17 Adc Telecommunications, Inc. Data exchange system and method
US7046653B2 (en) * 1998-05-01 2006-05-16 Jan Nigrin Diversity communication system and method of operation thereof
US6493353B2 (en) 1998-05-07 2002-12-10 Mci Communications Corporation Communications signaling gateway and system for an advanced service node
US6560204B1 (en) 1998-05-13 2003-05-06 Telcordia Technologies, Inc. Method of estimating call level traffic intensity based on channel link measurements
US6311144B1 (en) 1998-05-13 2001-10-30 Nabil A. Abu El Ata Method and apparatus for designing and analyzing information systems using multi-layer mathematical models
US6707824B1 (en) 1998-05-20 2004-03-16 Nortel Networks Limited Method and apparatus for flexible egress traffic queuing
US6260070B1 (en) 1998-06-30 2001-07-10 Dhaval N. Shah System and method for determining a preferred mirrored service in a network by evaluating a border gateway protocol
US6385198B1 (en) 1998-06-11 2002-05-07 Synchrodyne Networks, Inc. Signaling for timely forwarding in packet switching network with a common time reference
US6711152B1 (en) 1998-07-06 2004-03-23 At&T Corp. Routing over large clouds
US6862622B2 (en) * 1998-07-10 2005-03-01 Van Drebbel Mariner Llc Transmission control protocol/internet protocol (TCP/IP) packet-centric wireless point to multi-point (PTMP) transmission system architecture
US6173324B1 (en) * 1998-07-15 2001-01-09 At&T Corp Method and apparatus for fault detection and isolation in data
JP3602972B2 (ja) 1998-07-28 2004-12-15 富士通株式会社 通信性能測定装置及びその測定方法
US6963914B1 (en) 1998-09-01 2005-11-08 Lucent Technologies Inc. Method and apparatus for retrieving a network file using a logical reference
US6130890A (en) 1998-09-11 2000-10-10 Digital Island, Inc. Method and system for optimizing routing of data packets
US6189044B1 (en) 1998-10-14 2001-02-13 Hughes Electronics Corporation Dynamic routing method for packet switched satellite communications
US20010010059A1 (en) 1998-10-28 2001-07-26 Steven Wesley Burman Method and apparatus for determining travel time for data sent between devices connected to a computer network
US6385643B1 (en) 1998-11-05 2002-05-07 Bea Systems, Inc. Clustered enterprise Java™ having a message passing kernel in a distributed processing system
US6687229B1 (en) * 1998-11-06 2004-02-03 Lucent Technologies Inc Quality of service based path selection for connection-oriented networks
US6522627B1 (en) 1998-11-12 2003-02-18 Nortel Networks Limited Managing internet protocol connection oriented services
JP2000151708A (ja) * 1998-11-18 2000-05-30 Nec Corp 同報通信方法および同報通信装置
US6446028B1 (en) 1998-11-25 2002-09-03 Keynote Systems, Inc. Method and apparatus for measuring the performance of a network based application program
US6363332B1 (en) * 1998-12-22 2002-03-26 Caterpillar Inc. Method and apparatus for predicting a fault condition using non-linear curve fitting techniques
US6714549B1 (en) * 1998-12-23 2004-03-30 Worldcom, Inc. High resiliency network infrastructure
US7099282B1 (en) 1998-12-24 2006-08-29 Mci, Inc. Determining the effects of new types of impairments on perceived quality of a voice service
US7085230B2 (en) 1998-12-24 2006-08-01 Mci, Llc Method and system for evaluating the quality of packet-switched voice signals
US6452950B1 (en) 1999-01-14 2002-09-17 Telefonaktiebolaget Lm Ericsson (Publ) Adaptive jitter buffering
US6856627B2 (en) * 1999-01-15 2005-02-15 Cisco Technology, Inc. Method for routing information over a network
US6598145B1 (en) * 1999-02-12 2003-07-22 Avici Systems Irregular network
US6760775B1 (en) * 1999-03-05 2004-07-06 At&T Corp. System, method and apparatus for network service load and reliability management
US6538416B1 (en) 1999-03-09 2003-03-25 Lucent Technologies Inc. Border gateway reservation protocol for tree-based aggregation of inter-domain reservations
US6711137B1 (en) * 1999-03-12 2004-03-23 International Business Machines Corporation System and method for analyzing and tuning a communications network
US6701432B1 (en) 1999-04-01 2004-03-02 Netscreen Technologies, Inc. Firewall including local bus
US6795860B1 (en) 1999-04-05 2004-09-21 Cisco Technology, Inc. System and method for selecting a service with dynamically changing information
US6505254B1 (en) * 1999-04-19 2003-01-07 Cisco Technology, Inc. Methods and apparatus for routing requests in a network
US6801502B1 (en) 1999-05-07 2004-10-05 At&T Corp. Method and apparatus for load-sensitive routing of long-lived packet flows
US6553423B1 (en) * 1999-05-27 2003-04-22 Cisco Technology, Inc. Method and apparatus for dynamic exchange of capabilities between adjacent/neighboring networks nodes
US6728777B1 (en) * 1999-06-02 2004-04-27 Nortel Networks Limited Method for engineering paths for multicast traffic
US6463454B1 (en) 1999-06-17 2002-10-08 International Business Machines Corporation System and method for integrated load distribution and resource management on internet environment
US6973490B1 (en) 1999-06-23 2005-12-06 Savvis Communications Corp. Method and system for object-level web performance and analysis
US6839751B1 (en) * 1999-06-30 2005-01-04 Hi/Fn, Inc. Re-using information from data transactions for maintaining statistics in network monitoring
AU5920000A (en) * 1999-07-09 2001-02-13 Malibu Networks, Inc. Method for transmission control protocol (tcp) rate control with link-layer acknowledgements in a wireless point to multi-point (ptmp) transmission system
US6728484B1 (en) * 1999-09-07 2004-04-27 Nokia Corporation Method and apparatus for providing channel provisioning in optical WDM networks
US6704795B1 (en) * 1999-10-12 2004-03-09 Cisco Technology, Inc. Technique for reducing consumption of router resources after BGP restart
US6836463B2 (en) 1999-10-15 2004-12-28 Nokia Corporation System for communicating labeled routing trees to establish preferred paths and source routes with local identifiers in wireless computer networks
US6728779B1 (en) * 1999-12-01 2004-04-27 Lucent Technologies Inc. Method and apparatus for exchanging routing information in a packet-based data network
US6614789B1 (en) 1999-12-29 2003-09-02 Nasser Yazdani Method of and apparatus for matching strings of different lengths
US7003571B1 (en) * 2000-01-31 2006-02-21 Telecommunication Systems Corporation Of Maryland System and method for re-directing requests from browsers for communication over non-IP based networks
US6873600B1 (en) * 2000-02-04 2005-03-29 At&T Corp. Consistent sampling for network traffic measurement
US6820133B1 (en) 2000-02-07 2004-11-16 Netli, Inc. System and method for high-performance delivery of web content using high-performance communications protocol between the first and second specialized intermediate nodes to optimize a measure of communications performance between the source and the destination
US20010026537A1 (en) 2000-02-24 2001-10-04 Michael Massey Satellite internet backbone network system using virtual onboard switching
US20020152305A1 (en) * 2000-03-03 2002-10-17 Jackson Gregory J. Systems and methods for resource utilization analysis in information management environments
US6601101B1 (en) 2000-03-15 2003-07-29 3Com Corporation Transparent access to network attached devices
US6826613B1 (en) 2000-03-15 2004-11-30 3Com Corporation Virtually addressing storage devices through a switch
US7162539B2 (en) * 2000-03-16 2007-01-09 Adara Networks, Inc. System and method for discovering information objects and information object repositories in computer networks
US6768969B1 (en) 2000-04-03 2004-07-27 Flint Hills Scientific, L.L.C. Method, computer program, and system for automated real-time signal analysis for detection, quantification, and prediction of signal changes
US6741569B1 (en) 2000-04-18 2004-05-25 Telchemy, Incorporated Quality of service monitor for multimedia communications system
US7027448B2 (en) 2000-04-21 2006-04-11 At&T Corp. System and method for deriving traffic demands for a packet-switched network
US7024475B1 (en) 2000-04-24 2006-04-04 Nortel Networks Limited Performance modeling of a communications system
US7123620B1 (en) 2000-04-25 2006-10-17 Cisco Technology, Inc. Apparatus and method for scalable and dynamic traffic engineering in a data communication network
US7343422B2 (en) * 2000-04-28 2008-03-11 Adara Networks, Inc. System and method for using uniform resource locators to map application layer content names to network layer anycast addresses
US6556582B1 (en) * 2000-05-15 2003-04-29 Bbnt Solutions Llc Systems and methods for collision avoidance in mobile multi-hop packet radio networks
US7111073B1 (en) 2000-05-30 2006-09-19 Cisco Technology, Inc. Apparatus for estimating delay and jitter between network routers
US6963575B1 (en) 2000-06-07 2005-11-08 Yipes Enterprise Services, Inc. Enhanced data switching/routing for multi-regional IP over fiber network
MXPA02012346A (es) 2000-06-14 2004-09-09 Coreexpress Inc Desagregacion de ruta de internet y preferencia de seleccion de ruta.
US20020093527A1 (en) * 2000-06-16 2002-07-18 Sherlock Kieran G. User interface for a security policy system and method
US6956858B2 (en) 2000-06-30 2005-10-18 Mayan Networks Corporation Network routing table and packet routing method
US7020086B2 (en) 2000-07-03 2006-03-28 Telefonaktiebolaget Lm Ericsson (Publ) Lagrange quality of service routing
US6999432B2 (en) * 2000-07-13 2006-02-14 Microsoft Corporation Channel and quality of service adaptation for multimedia over wireless networks
US6839745B1 (en) 2000-07-19 2005-01-04 Verizon Corporate Services Group Inc. System and method for generating reports in a telecommunication system
US7219158B2 (en) * 2000-07-21 2007-05-15 Hughes Network Systems Llc Method and system for improving network performance using a performance enhancing proxy
JP3640160B2 (ja) * 2000-07-26 2005-04-20 日本電気株式会社 ルータ装置及びそれに用いる優先制御方法
US6973038B1 (en) 2000-07-28 2005-12-06 Tactical Networks A.S. System and method for real-time buying and selling of internet protocol (IP) transit
US6981055B1 (en) 2000-08-22 2005-12-27 Internap Network Services Corporation Method and system for optimizing routing through multiple available internet route providers
US7050963B2 (en) * 2000-09-12 2006-05-23 Progress Software Corporation Method and apparatus for flash load balancing
US7698463B2 (en) * 2000-09-12 2010-04-13 Sri International System and method for disseminating topology and link-state information to routing nodes in a mobile ad hoc network
US20020174246A1 (en) 2000-09-13 2002-11-21 Amos Tanay Centralized system for routing signals over an internet protocol network
US6760777B1 (en) 2000-09-15 2004-07-06 Pluris, Inc. Method and apparatus for distributing and providing fault tolerance to path-vector routing protocols within a multi-processor router
US7222268B2 (en) * 2000-09-18 2007-05-22 Enterasys Networks, Inc. System resource availability manager
US7043541B1 (en) * 2000-09-21 2006-05-09 Cisco Technology, Inc. Method and system for providing operations, administration, and maintenance capabilities in packet over optics networks
US7720959B2 (en) * 2000-10-17 2010-05-18 Avaya Inc. Method and apparatus for characterizing the quality of a network path
ATE459154T1 (de) * 2000-10-17 2010-03-15 Avaya Technology Corp Verfahren und vorrichtung zur optimierung der leistung und des kosten in einem internetzwerk
US7349994B2 (en) * 2000-10-17 2008-03-25 Avaya Technology Corp. Method and apparatus for coordinating routing parameters via a back-channel communication medium
US7487237B2 (en) * 2000-10-17 2009-02-03 Avaya Technology Corp. Load optimization
US8023421B2 (en) * 2002-07-25 2011-09-20 Avaya Inc. Method and apparatus for the assessment and optimization of network traffic
US7336613B2 (en) 2000-10-17 2008-02-26 Avaya Technology Corp. Method and apparatus for the assessment and optimization of network traffic
US7363367B2 (en) * 2000-10-17 2008-04-22 Avaya Technology Corp. Systems and methods for robust, real-time measurement of network performance
WO2002033893A2 (en) * 2000-10-17 2002-04-25 Routescience Technologies, Inc. Method and apparatus for communicating data within measurement traffic
US7406539B2 (en) * 2000-10-17 2008-07-29 Avaya Technology Corp. Method and apparatus for performance and cost optimization in an internetwork
US6894991B2 (en) * 2000-11-30 2005-05-17 Verizon Laboratories Inc. Integrated method for performing scheduling, routing and access control in a computer network
US7155436B2 (en) 2001-01-12 2006-12-26 Vendaria, Inc Method and system for generating and providing rich media presentations optimized for a device over a network
TWI223942B (en) 2001-02-20 2004-11-11 Li Jian Min Contents transmission network system and creating method thereof
US7110393B1 (en) 2001-02-28 2006-09-19 3Com Corporation System and method for providing user mobility handling in a network telephony system
WO2002071191A2 (en) * 2001-03-02 2002-09-12 Kasenna, Inc. Metadata enabled push-pull model for efficient low-latency video-content distribution over a network
US7139242B2 (en) 2001-03-28 2006-11-21 Proficient Networks, Inc. Methods, apparatuses and systems facilitating deployment, support and configuration of network routing policies
US7269157B2 (en) 2001-04-10 2007-09-11 Internap Network Services Corporation System and method to assure network service levels with intelligent routing
US7730528B2 (en) 2001-06-01 2010-06-01 Symantec Corporation Intelligent secure data manipulation apparatus and method
JP3814505B2 (ja) * 2001-09-19 2006-08-30 富士通株式会社 提供サービス制御機能を有するipネットワークシステム
US7222190B2 (en) * 2001-11-02 2007-05-22 Internap Network Services Corporation System and method to provide routing control of information over data networks
KR100578503B1 (ko) * 2001-12-13 2006-05-12 주식회사 이글루시큐리티 위험도 추론 침입탐지시스템
US7085264B2 (en) 2001-12-18 2006-08-01 Nortel Networks Limited System and method for controlling media gateways that interconnect disparate networks
US20030135609A1 (en) * 2002-01-16 2003-07-17 Sun Microsystems, Inc. Method, system, and program for determining a modification of a system resource configuration
US7743415B2 (en) * 2002-01-31 2010-06-22 Riverbed Technology, Inc. Denial of service attacks characterization
JP3667700B2 (ja) * 2002-03-06 2005-07-06 エルピーダメモリ株式会社 入力バッファ回路及び半導体記憶装置
US7535913B2 (en) * 2002-03-06 2009-05-19 Nvidia Corporation Gigabit ethernet adapter supporting the iSCSI and IPSEC protocols
JP3602510B2 (ja) * 2002-03-06 2004-12-15 日本電信電話株式会社 ネットワークおよびノードおよびプログラムおよび記録媒体
US20030225549A1 (en) 2002-03-29 2003-12-04 Shay A. David Systems and methods for end-to-end quality of service measurements in a distributed network environment
US7260645B2 (en) * 2002-04-26 2007-08-21 Proficient Networks, Inc. Methods, apparatuses and systems facilitating determination of network path metrics
US7764617B2 (en) * 2002-04-29 2010-07-27 Harris Corporation Mobile ad-hoc network and methods for performing functions therein based upon weighted quality of service metrics
AU2003239385A1 (en) * 2002-05-10 2003-11-11 Richard R. Reisman Method and apparatus for browsing using multiple coordinated device
US20040162994A1 (en) * 2002-05-13 2004-08-19 Sandia National Laboratories Method and apparatus for configurable communication network defenses
JP3872717B2 (ja) * 2002-05-15 2007-01-24 日本電信電話株式会社 ネットワークの品質制御方法、ネットワークシステム及び管理装置
GB2389479B (en) * 2002-06-07 2005-12-28 Hewlett Packard Co Method of serving out video over a network of video servers
US20040015719A1 (en) 2002-07-16 2004-01-22 Dae-Hyung Lee Intelligent security engine and intelligent and integrated security system using the same
JP2004056726A (ja) * 2002-07-24 2004-02-19 Matsushita Electric Ind Co Ltd トラヒック量制御装置およびトラヒック量制御方法
EP1387527A1 (en) * 2002-07-30 2004-02-04 Agilent Technologies Inc. Identifying network routers and paths
US6983323B2 (en) * 2002-08-12 2006-01-03 Tippingpoint Technologies, Inc. Multi-level packet screening with dynamically selected filtering criteria
US7324447B1 (en) * 2002-09-30 2008-01-29 Packeteer, Inc. Methods, apparatuses and systems facilitating concurrent classification and control of tunneled and non-tunneled network traffic
CA2503343A1 (en) * 2002-10-22 2004-05-06 Unho Choi Integrated emergency response system in information infrastructure and operating method therefor
EP1554658A2 (en) 2002-10-24 2005-07-20 Optical Solutions, Inc. Passive optical network address association recovery
US7830861B2 (en) 2003-10-16 2010-11-09 At&T Intellectual Property Ii, L.P. Method and apparatus for functional architecture of voice-over-IP SIP network border element
US20050132060A1 (en) * 2003-12-15 2005-06-16 Richard Mo Systems and methods for preventing spam and denial of service attacks in messaging, packet multimedia, and other networks
US7543052B1 (en) * 2003-12-22 2009-06-02 Packeteer, Inc. Automatic network traffic discovery and classification mechanism including dynamic discovery thresholds
US6984991B2 (en) * 2004-05-11 2006-01-10 International Business Machines Corporation Initialization of a bidirectional, self-timed parallel interface with automatic testing of AC differential wire pairs
US20060026682A1 (en) * 2004-07-29 2006-02-02 Zakas Phillip H System and method of characterizing and managing electronic traffic
CA2549577A1 (en) 2004-09-09 2006-03-16 Avaya Technology Corp. Methods of and systems for network traffic security

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003524925A (ja) * 1998-12-09 2003-08-19 ネットワーク アイス コーポレイション ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置
JP2006506853A (ja) * 2002-11-07 2006-02-23 ティッピングポイント テクノロジーズ インコーポレイテッド 能動的ネットワーク防衛システム及び方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012191272A (ja) * 2011-03-08 2012-10-04 Fujitsu Ltd 帯域制御装置、与信度管理サーバー、及び帯域制御システム
JP2013236400A (ja) * 2011-04-18 2013-11-21 Nec Corp 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置
US9397949B2 (en) 2011-04-18 2016-07-19 Nec Corporation Terminal, control device, communication method, communication system, communication module, program, and information processing device
JP2017212705A (ja) * 2016-05-27 2017-11-30 学校法人東京電機大学 通信制御装置、通信システム、通信制御方法、及びプログラム

Also Published As

Publication number Publication date
US8051481B2 (en) 2011-11-01
JP2011065653A (ja) 2011-03-31
EP1790127A4 (en) 2010-08-04
CA2549577A1 (en) 2006-03-16
US7818805B2 (en) 2010-10-19
EP1790131A4 (en) 2010-07-07
WO2006029399A3 (en) 2007-12-21
JP4634457B2 (ja) 2011-02-16
WO2006029400A3 (en) 2007-04-19
JP2008512971A (ja) 2008-04-24
US20100325272A1 (en) 2010-12-23
US20060072543A1 (en) 2006-04-06
EP1790131A2 (en) 2007-05-30
JP4634456B2 (ja) 2011-02-16
KR101111099B1 (ko) 2012-02-17
WO2006029400A2 (en) 2006-03-16
CA2549578A1 (en) 2006-03-16
WO2006029399A2 (en) 2006-03-16
US20060092841A1 (en) 2006-05-04
EP1790127B1 (en) 2012-01-04
KR20070049599A (ko) 2007-05-11
US20090031420A1 (en) 2009-01-29
KR101148900B1 (ko) 2012-05-29
US7596811B2 (en) 2009-09-29
EP1790127A2 (en) 2007-05-30
EP1790131B1 (en) 2012-12-05
KR20070061762A (ko) 2007-06-14

Similar Documents

Publication Publication Date Title
JP4634456B2 (ja) ネットワーク・トラフィックのセキュリティのための方法およびシステム
US20190297017A1 (en) Managing network congestion using segment routing
AU2015255980B2 (en) System and methods for reducing impact of malicious activity on operations of a wide area network
US8881281B1 (en) Application and network abuse detection with adaptive mitigation utilizing multi-modal intelligence data
US7870611B2 (en) System method and apparatus for service attack detection on a network
US7707305B2 (en) Methods and apparatus for protecting against overload conditions on nodes of a distributed network
US9392009B2 (en) Operating a network monitoring entity
US8339971B2 (en) Network protection via embedded controls
Sahay et al. Adaptive policy-driven attack mitigation in SDN
KR101118398B1 (ko) 트래픽 방어 방법 및 장치
Hachem et al. HADEGA: A novel MPLS-based mitigation solution to handle network attacks
Alarood et al. Attacks Notification of Differentiated Services Code Point (DSCP) Values Modifications
Jog et al. Distributed capabilities-based DDoS defense
US20190230115A1 (en) Fatigue-based segment routing
US12120128B1 (en) Route and packet flow evaluation on a cloud exchange
Sardana et al. Autonomous dynamic honeypot routing mechanism for mitigating DDoS attacks in DMZ
Zargar Towards Coordinated, Network-Wide Traffic Monitoring for Early Detection of DDoS Flooding Attacks
Sharma et al. Everything on DDoS Attacks, DDoS incidents & DDoS Defense Mechanisms!
An et al. Evolution of Enterprise Security Federation
Sahay et al. SDN-based Dynamic and Adaptive Policy Management System to Mitigate DDoS Attacks
Tödtmann Preventing DoS Attacks in QoS-enabled IP Networks Through Efficient IP Source Address Validation
Chou DDoS Defense Systems and Techniques
Fahmy et al. Vulnerabilities and Safe-guards in Networks with QoS Support
Bhandari Router Based Mechanism for Mitigation of DDoS Attack-A Survey

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080618

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100625

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100707

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101007

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101025

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101118

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131126

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees