JP2022515990A - 通信ネットワークにおけるトラフィックフローをモニタリングするシステム及び方法 - Google Patents

通信ネットワークにおけるトラフィックフローをモニタリングするシステム及び方法 Download PDF

Info

Publication number
JP2022515990A
JP2022515990A JP2021533189A JP2021533189A JP2022515990A JP 2022515990 A JP2022515990 A JP 2022515990A JP 2021533189 A JP2021533189 A JP 2021533189A JP 2021533189 A JP2021533189 A JP 2021533189A JP 2022515990 A JP2022515990 A JP 2022515990A
Authority
JP
Japan
Prior art keywords
packet
traffic flow
network element
acl
new
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021533189A
Other languages
English (en)
Inventor
サンドラー,エフゲニー
クライデン,アミール
ゴラン,クファー
セラ,ハガイ
Original Assignee
ドライブネッツ リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ドライブネッツ リミテッド filed Critical ドライブネッツ リミテッド
Publication of JP2022515990A publication Critical patent/JP2022515990A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/407Bus networks with decentralised control
    • H04L12/413Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection (CSMA-CD)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/022Capturing of monitoring data by sampling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate

Abstract

ネットワーク要素及び方法が、通信ネットワーク内で伝送される複数のトラフィックフローをモニタリングするように構成され、前記ネットワーク要素が、ACL機能をサポートするように構成された少なくとも1つのパケットプロセッサと、トラフィックフローのトラッキング及び統計データのエクスポートを実行するように構成された少なくとも1つのCPUと、を含む。【選択図】 図1

Description

本開示は、包括的には、ネットワーキングの分野に関し、特に通信トラフィックのネットワークフローの測定に関する。
ASIC:特定用途向け集積回路(Application-Specific Integrated Circuit)
ACL:アクセス制御リスト(Access Control List)
BGP:ボーダー・ゲートウェイ・プロトコル(Border Gateway Protocol)
CPU:中央処理装置(Central Processing Unit)
DDoS:分散型サービス妨害(Distributed Denial-of-Service)
Dst-IP:宛先IP(アドレス)(Destination IP (address))
DSCP:差別化サービスコードポイント(Differentiated Services Code Point)
FIB:転送情報ベース(Forwarding Information Base)テーブル
FPGA:フィールドプログラマブルゲートアレイ(Field-Programmable Gate Array)
Src-IP:発信元IP(アドレス)(Source IP (address))
TCP:伝送制御プロトコル(Transmission Control Protocol)
TTL:有効時間(Time to Live)
7組パラメータ(7-tuple parameters):ネットワークフローは、所与の発信元及び宛先エンドポイント間の一方向のパケット列として定義される。従来のNetFlowは、発信元及び宛先IPアドレス、トランスポート層ポート数、IPプロトコル、タイプオブサービス(ToS)、及び入力インタフェースポートの7組を使用して一意的にフローを識別し、エグレスNetFlowは出力インタフェースを使用する。
フローモニタリングは、最新のネットワークにおいて実装する必要がある必須の機能となっている。ネットワークオペレータは、様々な目的及び用途で、そして高分解能で、ネットワーク内を伝送されるトラフィックに関連する情報を収集する必要がある。そのような用途のいくつかの例は、以下の通りである。
・DDoSフロー検出
・トラフィックエンジニアリング
・ネットワーク可視性
・広告
種々のフローモニタリングプロトコルが、業界内で使用する為に定義されている。最も知られているプロトコルは、NetFlow及びIPFIXである。一般的に、フローモニタリングメカニズムの実装には、通常「フローキャッシュ」と呼ばれるテーブル内の既知のアクティブフローのリストを維持する必要があり、また、フローはしばしばパケットの7組セット、即ち同じ7つのパラメータ、即ちIn-Port、Src-IP、Dst-IP、DSCP/TC、IPプロトコル、Src-L4-Port及びDst-L4-Port、を共有するパケットのセットとして定義される。
フローモニタリングは通常、イングレスパケットを各々のフローに分類する為に使用され、受信したパケットの7組パラメータのそれぞれは、「フローキャッシュ」テーブル内の既知のアクティブフローのリストと比較される。受信したパケットが「フローキャッシュ」内の現在アクティブなフローのいずれかに属していると識別できない場合、「フローキャッシュ」テーブルに新たなフローが追加される。
フローモニタリングの機能は通常、アクティブフローのそれぞれに関連する統計値を収集することを含む。アクティブフローのそれぞれのトラフィック測定により統計値が記録されるパラメータの特定の例は、以下の通りである。
・イン-パケット(In-packets)
・イン-バイト(In-bytes)
・フロー開始時間
・フロー終了時間
・観測されたTCPフラッグのリスト
・次ホップアドレス/インタフェース
・最大/最小の観測されたパケットサイズ
・最大/最小の観測されたTTL値
最後に、フローモニタリングの機能はさらに、経時変化の機能を含み、トラフィックフローは、インアクティブフローになるとフローキャッシュテーブルから除去される。通常、フローがインアクティブフローになる基準は、フローに関連する最後のパケットが受信された時間から経過した予め定義された期間であるか、又は、「フロー終了」の標識(例えば、TCP終了フラッグ(TCP FIN flag))と共に特定のフローに関連するパケットが受信された時であることができる。
受信されたパケットのそれぞれは、フローモニタリングの為にネットワークデバイスにより検査されるべきであるから、フローモニタリングの機能がハードウェアデバイス(例えば、ASCI又はFPGAチップ)内に実装されることが不可欠である。しかしながら、全てのネットワークデバイスが、フローモニタリングをサポートするパケットプロセッサに基づいてはおらず、又は、そのような機能を実装する為のインラインFPGAデバイスを備えてはいない。そのような場合、オペレータは、ネットワークデバイスのローカルCPU上で実行されているソフトウェアのロジックとして、フローモニタリングメカニズムを実装することを決定することができる。受信したパケットの複製が、ソフトウェアベースのフローモニタリング検査の為にローカルCPUに送信される。ローカルCPUは、パケットプロセッサにより受信された全てのパケットを処理することはできないので、この問題を解決する為にパケットのサンプリング方法が通常用いられ、即ち、受信したパケットの全てがローカルCPUに転送されるわけではなく、その代わりに、オペレータにより構成されたサンプルレートにより、パケットの一部のみがローカルCPUに転送される。パケットのサンプリング方法の欠点は、ほとんどのトラフィックは測定されないという事実であり、その結果、フローの統計値はトラフィックフローの断片のみを表している。
本開示は、トラフィックフローのモニタリングに関連する上記の障害を解決する解決策を提供するものである。
本開示は、添付の特許請求の範囲を参照することによって要約することができる。
本開示の目的は、既知のトラフィックフローのモニタリングを可能にする通信ネットワーク内で動作可能な新規のネットワーク要素及びソフトウェアを提供することである。
本開示の他の目的は、パケットプロセッサの転送レートで既存(既知)のフローのトラフィック測定を実行する新規のネットワーク要素及びソフトウェアを提供することである。
本開示の他の目的は、「フローサンプリング」アプローチを実装することにより、新規(未知)のフローの検出時間を短縮することを対象とする新規のネットワーク要素及びソフトウェアを提供することである。
本開示の他の目的は、以下の説明から明らかになる。
本発明の第1の実施形態によれば、通信ネットワーク内で伝送される複数のトラフィックフローをモニタリングするように構成されたネットワーク要素(即ち、物理的、非一時的ネットワーク要素)であって、前記ネットワーク要素が、
(i)ACL機能をサポートするように構成された少なくとも1つのパケットプロセッサと、
(ii)a.トラフィックフローのトラッキング、及び
b.統計データのエクスポート、
を実行するように構成された少なくとも1つのCPUと、
を含むことを特徴とするネットワーク要素が提供される。
他の実施形態では、少なくとも1つのプロセッサ(例えば、パケットプロセッサ)がさらに、複数の入力パケットをそれぞれの既知のトラフィックフローに分類するように構成される。好ましくは、それぞれの既知のトラフィックフローへの複数の入力パケットの分類が、ACL機能に関連するテーブルを使用することにより達成される。
本明細書及び特許請求の範囲で使用する「既知のトラフィックフロー」という用語は、そのトラフィックフローに属するパケットを受信するネットワーク要素により既に認識されているトラフィックフローを示す為に使用され、特定のトラフィックフローに属する全てのパケットは、これら全てのパケットに共通の配信関連パラメータに関連付けされている。
本明細書及び特許請求の範囲で使用する「未知のトラフィックフロー」という用語は、そのトラフィックフローに属するパケットを受信するネットワーク要素によりまだ認識されていないトラフィックフロー、又は、ネットワーク要素でパケットを受信した時にアクティブでないトラフィックフローを示す為に使用され、特定の未知のトラフィックフローに属する全てのパケットは、これら全てのパケットに共通の配信関連パラメータに関連付けされている。
他の実施形態では、ACL機能は、各々が既知のトラフィックフローに関連する(を表す)複数のACLルール、及び、全ての未知のトラフィックフローに関連する(を表す)デフォルトACLルールを関連付けることにより得られる。
さらに他の実施形態では、デフォルトACLルールが、未知のトラフィックフローに属するパケットの複製の生成及び少なくとも1つのCPUへの転送を開始するように構成され、それにより、少なくとも1つのCPUに存在するフロートラッキングアプリケーションにより学習される。
他の実施形態によると、既知のトラフィックフローを表す複数のACLルールの1つに従うパケットは、複数のACLルールのその1つにより表される既知のトラフィックフローに属するパケットであると決定される。
さらに他の実施形態では、1つのCPUは、周期的にトラフィックフローをトラッキングし、トラフィックフローのライフサイクルに関するACL機能に関連するテーブルから情報を取り出し、そして、a)インアクティブトラフィックフローに関する情報を含むパケットの生成を開始することにより、また、b)インアクティブトラフィックフローに関するデータを収集するように動作可能な遠隔デバイス(統計データの収集を可能にするように構成されたデバイス)に向けてパケットのエクスポートを開始することにより、統計データをエクスポートするように構成される。
他の実施形態によると、ネットワーク要素はさらに、ネットワーク要素により受信され、既知のトラフィックフローに属するパケットのレートと本質的に等しいレートで、既知のトラフィックフローのフローレートをモニタリングするように構成される。即ち、本開示のこの実施形態によると、ネットワーク要素には既知のフローの1つに関連し、ネットワーク要素により受信される各パケットは考慮に入れられる(例えば、トラフィックフローの統計値を計算する為のトラフィックフローのパケットの1つとして数えられる)。
他の実施形態によると、既知のトラフィックフローのフローレートのモニタリングは、予め定義されたトラフィックフローのサンプリングレートにより実行され、新規に検出されたトラフィックフロー(未知のトラフィックフロー)の一部にのみ関する情報は考慮に入れられ(考慮され)、そして、情報を考慮に入れた新規に検出されたトラフィックフローの数は、予め定義されたトラフィックフローのサンプリングレートに依存する。予め定義されたトラフィックフローのサンプリングレートは、任意で、ユーザにより構成されることができる。
さらに他の実施形態では、複数のトラフィックフローのそれぞれは、以下のことを特徴とする。
a.複数のトラフィックフローのそれぞれは、同一の転送関連パラメータ(例えば、In-Port、Src-IP、Dst-IP、IP-プロトコル)を有する複数のパケットを含む。
b.複数のトラフィックフローのそれぞれは、予め定義された期間経過後に終了し、予め定義された期間は、各トラフィックフローに関連する最後のパケットが受信された時間から始まる期間であり、及び/又は、各トラフィックフローに関連するパケットは、エンドオブフロー特性(end-of-flow characteristic)(例えば、TCP終了フラッグ(TCP FIN flag))を含む。
c.複数のトラフィックフローのそれぞれは、各トラフィックフローに関連するパケットが最初に検出された時、及び/又は、各トラフィックフローが終了したトラフィックフローとして決定された後、各トラフィックフローに関連するパケットが最初に検出された時に開始される。
他の実施形態では、ネットワーク要素はさらに、パケットプロセッサ内に含まれるACLエンジンを使用して、既知のトラフィックフローのそれぞれを特徴付ける統計データを維持するように構成される。この実施形態は、各トラフィックフロー毎に統計値の維持を実装する為にソフトウェアメカニズムが不要であることを可能にする。
他の実施形態によると、ネットワーク要素のパケットプロセッサは、パケットスヌーピングメカニズムを作用し、ACL機能を使用することにより、トラフィックフロー学習(例えば、新規のトラフィックフローの開始の検出)を実行するように構成され、そして、パケットが既知の現在アクティブなフローのいずれにも属していないことの決定は、パケットプロセッサにより決定される。好ましくは、新規のトラフィックフローの開始を検出すると、少なくとも1つのCPUロジックが、CPUロジックに含まれるフローキャッシュテーブルに新規のアクティブトラフィックフローを追加するように構成される。
さらに他の実施形態では、ネットワーク要素はさらに、どのフローがインアクティブになったかを決定し、任意で、そのようなインアクティブフローを「フローキャッシュ」テーブルから除去するように構成される。好ましくは、上記決定は、プロセッサにACLルールとして記憶された、及び/又は、ローカルCPUに記憶されたフローキャッシュテーブルに由来する更新された情報を考慮に入れて決定され、それにより、ローカルCPUに記憶されたフローキャッシュテーブルから各ACLルールを除去することを可能にする。
本開示の他の側面によると、通信ネットワーク内で動作可能なネットワーク要素により伝達される複数のトラフィックフローをモニタリングする為の方法であって、前記ネットワーク要素が、
(i)ACL機能をサポートするように構成された少なくとも1つのパケットプロセッサと、
(ii)a.トラフィックフローのトラッキング、及び
b.統計データのエクスポート、
を実行するように構成された少なくとも1つのCPUと、
を含み、
前記方法が、
ネットワーク要素により複数のパケットを受信し、
複数のパケットのそれぞれについて、ネットワーク要素が既に受信した先行するパケットのトラフィックフローに属するか決定する、
ことを含み、
パケットが、ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローに属すると決定されると、アクティブトラフィックフローを特徴付ける少なくとも1つのパラメータが、少なくとも1つのパケットプロセッサに含まれるACLテーブル内に記憶されたルールに関連付けられ、前記方法が、
アクティブトラフィックフローに属するパケットであると決定されたパケットに関連する統計データを取り出し、
取り出された前記統計データをアクティブトラフィックフローのモニタリングに適用する、
ことを含み、
パケットが、ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローのいずれにも属さないと決定されると、前記方法が、
ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローのいずれにも属さない前記パケットの複製を生成し、前記複製を前記少なくとも1つのCPUに転送し、
パケットが属する新規のトラフィックフローを表す少なくとも1つの新規のACLルールを生成し、前記少なくとも1つの新規のACLルールが前記新規のトラフィックフローを特徴付ける少なくとも1つのパラメータに関連付けられ、
前記少なくとも1つの新規のACLルールが前記少なくとも1つのパケットプロセッサに含まれるACLテーブルに記憶され、
前記ネットワーク要素に到着した複数の先行するパケットのどれが新規のトラフィックフローに属するか決定し、新規のトラフィックフローに属する前記パケットが、前記少なくとも1つの新規のACLルールに従うパケットであり、
前記新規のトラフィックフローに属するパケットであると決定されたパケットに関連する統計データを取り出し、取り出された前記統計データを前記新規のトラフィックフローのモニタリングに適用する、
ことを含むことを特徴とする方法が提供される。
本開示のこの側面の他の実施形態によると、ネットワーク要素に到着する新規のトラフィックフローの総数の中からACLルールが生成される新規のトラフィックフローの割合は、前記ネットワーク要素に到着する新規のトラフィックフローの数が増加すると、減少する。
本開示のさらに他の側面により、1以上のコンピュータプロセッサにより実行される命令セットを実行する為のコンピュータプログラムを記憶する非一時的コンピュータ可読媒体であって、前記コンピュータプログラムは、通信ネットワーク内で動作可能なネットワーク要素により伝達される複数のトラフィックフローをモニタリングする為の方法を実行するのに適しており、前記ネットワーク要素が、
(i)ACL機能をサポートするように構成された少なくとも1つのパケットプロセッサと、
(ii)a.トラフィックフローのトラッキング、及び
b.統計データのエクスポート、
を実行するように構成された少なくとも1つのCPUと、
を含み、
前記方法が、
前記ネットワーク要素が複数のパケットを受信すると、ネットワーク要素が既に受信した先行するパケットのトラフィックフローに属するか決定する、
ことを含み、
パケットが、ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローに属すると決定されると、アクティブトラフィックフローを特徴付ける少なくとも1つのパラメータが、少なくとも1つのパケットプロセッサに含まれるACLテーブル内に記憶されたルールに関連付けられ、前記方法が、
アクティブトラフィックフローに属するパケットであると決定されたパケットに関連する統計データを取り出し、
取り出された前記統計データをアクティブトラフィックフローのモニタリングに適用する、
ことを含み、
パケットが、ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローのいずれにも属さないと決定されると、前記方法が、
ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローのいずれにも属さない前記パケットの複製を生成し、前記複製を前記少なくとも1つのCPUに転送し、
パケットが属する新規のトラフィックフローを表す少なくとも1つの新規のACLルールを生成し、前記少なくとも1つの新規のACLルールが前記新規のトラフィックフローを特徴付ける少なくとも1つのパラメータに関連付けられ、
前記少なくとも1つの新規のACLルールが前記少なくとも1つのパケットプロセッサに含まれるACLテーブルに記憶され、
前記ネットワーク要素に到着した複数の先行するパケットのどれが新規のトラフィックフローに属するか決定し、前記新規のトラフィックフローに属する前記パケットが、前記少なくとも1つの新規のACLルールに従うパケットであり、
前記新規のトラフィックフローに属するパケットであると決定されたパケットに関連する統計データを取り出し、取り出された前記統計データを前記新規のトラフィックフローのモニタリングに適用する、
ことを含むことを特徴とする非一時的コンピュータ可読媒体が提供される。
本明細書に組み込まれ、本明細書の一部を構成する添付の図面は、本開示のいくつかの実施形態を示し、以下の説明と共に、本明細書に開示されるこれらの実施形態の原理を説明するために使用される。
本発明の実施形態に従って解釈される、トラフィックフローのモニタリングを可能にするように構成されたネットワーク要素の概略図である。 本発明の他の実施形態に従って解釈される、パケットプロセッサによりまだ認識されていないトラフィックフローを処理する為のネットワーク要素の概略図である。 本発明の実施形態に従って解釈される、パケットプロセッサにより既に認識されているアクティブトラフィックフローをモニタリングする為のネットワーク要素の概略図である。 本発明の他の実施形態に従って解釈される、アクティブフローをモニタリングし、アクティブでないトラフィックフローの統計情報をエクスポートするように構成されたネットワーク要素の概略図である。
以下の詳細な説明における特定の詳細及び値の一部は、本開示の特定の例を示している。但し、この説明は、例示的なものであり、本発明の範囲を限定することを意図するものではない。特許請求される方法及び装置は、当該技術分野で公知の他の手法によって実現できることは、当業者にとって明らかである。更に、ここに記述した実施形態は、異なるステップを含むが、その全てが本発明の全ての実施形態において必要とされるわけではない。
高性能ネットワークデバイスデータプレーンは、通常、ASIC又はFPGAの形式で実装することができるパケットプロセッサに基づいている。パケットプロセッサは、複数のネットワークインタフェースを有し、パケットプロセッサがインストールされているネットワーク要素で受信されたパケットをどのように転送するか決定するように構成されている。上記決定は、転送情報ベース(FIB)テーブルに従って、パケットプロセッサにより決定される。FIBテーブルに加えて、パケットプロセッサは他のツールも維持する。そのような他のツールの1つは、特定の基準にマッチするパケットに対して実行することが必要な動作を定義する複数のルールを含むテーブルであるアクセス制御リスト(ACL)である。
これらの動作の例は、マッチしたパケットの破棄、パケットのロギング又は特定のインタフェースへのパケットのリダイレクト(ACLベースの転送)である。ルールのマッチング基準は、イングレスインタフェース(パケットを受信したインタフェース)及びパケットのヘッダパラメータのセットとしてよく実装される。そのようなルールのマッチング基準のいくつかの例は、特定の宛先IPアドレスを有するパケット、特定の発信元L4ポートを有するパケット等である。特定のルールにマッチするパケットであるとパケットが決定されると、通常その回数が数えられ、それにより、入力トラフィックに特定のルールが適用された回数に関する情報をオペレータが得ることを可能にする。
上述の少なくとも1つのパケットプロセッサに加えて、本開示のネットワーク要素はさらに、フォワーディングエンジンアプリケーションを実行するように構成された少なくとも1つのCPUを含む。フォワーディングエンジンアプリケーションは、FIB、ACL、及びルーティングエンジン指令に従う任意の他の適用可能なパケットプロセッサ資源を維持する責任がある。ルーティングエンジンデバイスは、フォワーディングエンジンアプリケーションと同じCPUにより(又は他のCPUにより)実行されることができ、同じCPUが両方に使用されるか否かの決定は、主にシステムアーキテクチャに依存する。例えば、分散型システムにおいて、ルーティングエンジンは、ルーティングプロトコルの実行専用の分離したハードウェア上で実行されることができる。
本開示は、パケットプロセッサのACLブロックを使用している間に、フローモニタリング機能を得ることができる解決策を提供する。
図1は、フローモニタリングメカニズムを実装する為の、パケットプロセッサ110及びローカルCPU120を含むネットワーク要素100の概略図である。パケットプロセッサ110は、ルールのリストを含むACLテーブル130を含み、これらのルールのそれぞれは、既知の7組フロー(イングレスインタフェース、Src-IP、Dst-IP、IPプロトコル、DSCP、Src-L4-Port、Dst-L4-Port)を表す。ACLテーブル130も、ルールマッチングカウンタ、好ましくは、各ACLルール毎のカウンタを維持する。例えば、ACLテーブル130は、パケット/オクテットが特定の7組フローにマッチした回数を表すカウンタを含むことができる。ローカルCPU120は、2つのソフトウェアエンティティ、「フロートラッカ」140及び「エクスポータ」150を実行するように構成される。「フロートラッカ」エンティティ140は、ACLテーブル130に新規のACLルール(即ち、新規のフロー)を追加し、既存のACLルールに関連する統計データの収集を可能にし、インアクティブフローを表すACLルールを削除するように構成される。また、「フロートラッカ」140は、「フローキャッシュ」テーブル160を維持することができ、フローパラメータは、既知のフローのそれぞれ毎に記憶される。そのようなフローパラメータの例は、特定のトラフィックフローに関連するモニタリングされたパケット/オクテット、トラフィックフロー開始時間、トラフィックフロー終了時間、フロー終了の理由、イングレスインタフェース、エグレスインタフェース、発信元BGP-AS、宛先BGP-AS等である。
「エクスポータ」エンティティ150は、「フロートラッカ」140からトラフィックフローの統計値を取り出し、エクスポートするパケット内にカプセル化し(パケットフォーマットは、適切なトラフィックフローモニタリングプロトコルに従って定義される)、エクスポートしたパケットを(図1には図示しない)統計値コレクタに転送するように構成される。
図2は、パケットプロセッサによりまだ認識されていないトラフィックフローに属するパケットの実施形態に関する。即ち、ACLテーブル内にまだ関連するルールが含まれていない。したがって、図2は、未知のフローに関連するパケットを処理するフローモニタリングメカニズムを実装する為の、パケットプロセッサ210及びローカルCPU220を含むネットワーク要素200の概略図である。ACLテーブル230は、既知のトラフィックフローに関連するルールのいずれにもマッチしないパケット、即ち未知のトラフィックフローに属するパケットの複製の生成を開始するように構成されたデフォルトルールを含み、前記パケットはローカルCPU220(例えば、CPU220内に含まれるフロートラッカ240)に転送される。未知のトラフィックフローに属するパケットが到着すると、ACLブロック270は、ACLテーブル230においてパケットの探索を実行する。パケットが属する特定のトラフィックフロー(即ち、未知のトラフィックフロー)にはまだルールが設定されていないので、パケットにマッチする唯一のルールは、予め定義されたデフォルトルールである。FIBリストから取り出した情報を考慮したパケットプロセッサ210による決定に従ってパケットは転送され、そのパケットの複製が(デフォルトルールに従って)ローカルCPU220に転送される。フロートラッカアプリケーション240は、パケットの複製を受信し、(パケットの7組パラメータに従って)新規のトラフィックフローを表す新規のACLルールを生成し、新規のACLルールを記憶する為にACLテーブル230に伝送する。また、フロートラッカ240は、フローキャッシュテーブル260内に新規のエントリを作成し、新規のトラフィックフローを特徴付ける全ての既知のパラメータ(例えば、フロー開始時間、FIBによるエグレスインタフェース、発信元/宛先BGP-AS等)を更新する。その後、同じトラフィックフローに関連する全ての連続するパケットは、ACLブロックにより、既知のトラフィックフローに属するパケットとみなされる。
新規のトラフィックフローに属する到着するパケットの速度は、フロートラッキングソフトウェアエンティティ240によりパケットをトラッキングするには速すぎることがある。高速パケットを処理する為に、デフォルトACLルールを決定することができ、それにより、未知のトラフィックフローに属するパケットの一部のみが処理される。そのようなアプローチは、ここでは、トラフィックフローのサンプリングレートメカニズムと呼ばれる。即ち、未知のトラフィックフローに属するパケットの一部のみがトラフィックフロートラッカ240により処理(学習)され、それにより、新規のACLルールに含まれる新規のトラフィックフローに関連するパラメータは、ユーザにより構成されることができ、予め決定されたトラフィックフローのサンプリングレートに対応する新規のトラフィックフローの数のみに基づいて決定される。しかしながら、そのような場合、新規のトラフィックフローが学習され(即ち、パケットが属するトラフィックフローに関連するパラメータが定められ)、対応するACLルールが定められると、このトラフィックフローに属する全ての進行するパケットが、既知のトラフィックフローに属するパケットとみなされ、数が数えられる。
図3は、ACLテーブルに記憶されている特定のルールに関連し、パケットプロセッサにより既に認識されているトラフィックフローに属するパケットに関する実施形態に関する。図3は、既知のフローに関連するパケットを処理するフローモニタリングメカニズムを実装する為の、パケットプロセッサ310及びローカルCPU320を含むネットワーク要素300の概略図である。
この場合、受信されたパケットは、パケットプロセッサ310のFIBに含まれるフォワーディングルックアップ(forwarding lookup)により、同時に、ACLブロック370によりACL探索される。パケットが属するトラフィックフローを表すルールであるACLルールに探索のマッチが見つかると、ACLブロック370は、パケットのパラメータにマッチする特定のACLルールに関連するパケット/オクテットの数を更新する。その後、パケットは、FIBによる決定に従って関連するエグレスインタフェースに転送される。
図4は、本開示の他の実施形態に従って解釈される、パケットプロセッサ410及びローカルCPU420を含むネットワーク要素400の概略図である。この実施形態を実装することにより実行される処理は、トラフィックフロートラッカ440によりACLテーブル430からトラフィックフローの統計値を取り出し、トラフィックフロートラッカ440により取り出された統計値をエクスポータ450により遠隔統計値コレクタ(例えば、遠隔サーバ)にエクスポートすることを含む。
全ての予め決定された期間、又は予め定義された期間において、トラフィックフロートラッカ440は、ACLテーブル430から各ACLルールに対応する統計データを取り出し、フローキャッシュテーブル460を「フロー毎のパケット/オクテットの数」等の予め定義されたパラメータにより更新する。トラフィックフロートラッキングエンティティ440は、関連するACLルールの統計値を使用して、既知のトラフィックフローがもはやアクティブでないか導き出す。例えば、構成により、フローが60分以上使用されない状態であることができず、特定のトラフィックフローの最後のパケットが60分以上前に受信されたことが知られている場合、フロートラッカ440は、フローキャッシュテーブル460において、その特定のトラフィックフローの状態を「インアクティブ」に変更する。また、フロートラッカ440は、各インアクティブフローに関する情報(例えば、統計データ)をエクスポータ450に転送し、それにより、この情報は遠隔収集システムにエクスポートされることができる。
要約すると、本開示により提供される解決策は、トラフィックフローモニタリング機能をサポートするように設計されていないパケットプロセッサによりトラフィックフローモニタリングを実装することを可能にする。ここで提供されている方法は、アクティブトラフィックフロー(即ち、既知のトラフィックフロー)の統計値を収集するアクセス制御リスト(ACL)エンジンを有するパケットプロセッサの使用に基づいている。未知のトラフィックフローに関連するパケットは、ローカルCPUに転送され、それにより、新規のトラフィックフローをフローキャッシュテーブルに追加することができる。これらの新規のトラフィックフローのフローキャッシュテーブルへの追加を実行するロジックは、フローサンプリングメカニズムを適用することにより、より大きな数のトラフィックフローを処理することを可能にするようにさらに変更されることができ、ここで、未知のトラフィックフローに関連するパケットの全てがローカルCPUに転送される訳ではない。このメカニズムを使用することにより、新規の未知のトラフィックフローの最初のパケットを受信した時に、フローキャッシュテーブルに新規の未知のトラフィックフローを追加する必要は無い。しかしながら、既知のアクティブトラフィックフローの統計記録は正確である。なぜなら、これらの既知のトラフィックフローに属する全てのパケットは、パケットプロセッサにより調べられて記録されるからである。
即ち、本開示により開示されている解決策は、標準的ACLエンジンの動作を変更することにより、トラフィックフローをモニタリングする能力を有するネットワークデバイス(例えば、スイッチ及びルータ)を提供し、それにより、入力パケットを特定の7組フローに分類し、各識別されたトラフィックフロー毎に統計値を維持することができる。
明細書の検討及びここに開示した本発明の実施から、当業者は、本発明の他の実施形態を想到することができる。明細書及び実施の形態は例示的なものにすぎず、本発明の真の範囲は、以下の特許請求の範囲によって画定される。

Claims (14)

  1. 通信ネットワーク内で伝送される複数のトラフィックフローをモニタリングするように構成されたネットワーク要素であって、前記ネットワーク要素が、
    (i)ACL機能をサポートするように構成された少なくとも1つのパケットプロセッサと、
    (ii)a.トラフィックフローのトラッキング、及び
    b.統計データのエクスポート、
    を実行するように構成された少なくとも1つのCPUと、
    を含むことを特徴とするネットワーク要素。
  2. 前記少なくとも1つのパケットプロセッサがさらに、複数の入力パケットをそれぞれの既知のトラフィックフローに分類するように構成されることを特徴とする請求項1に記載のネットワーク要素。
  3. 前記それぞれの既知のトラフィックフローへの前記複数の入力パケットの分類が、ACL機能に関連するテーブルを使用することにより達成されることを特徴とする請求項2に記載のネットワーク要素。
  4. 前記ACL機能は、各々が前記既知のトラフィックフローを表す複数のACLルール、及び、全ての未知のトラフィックフローを表すデフォルトACLルールを関連付けることにより得られることを特徴とする請求項3に記載のネットワーク要素。
  5. 前記デフォルトACLルールが、前記未知のトラフィックフローに属するパケットの複製の生成及び前記少なくとも1つのCPUへの転送を開始するように構成されることを特徴とする請求項4に記載のネットワーク要素。
  6. 前記既知のトラフィックフローを表す前記複数のACLルールの1つに従うパケットは、前記複数のACLルールの前記1つにより表される前記既知のトラフィックフローに属するパケットであると決定されることを特徴とする請求項4に記載のネットワーク要素。
  7. 前記少なくとも1つのCPUは、周期的にトラフィックフローをトラッキングし、前記トラフィックフローのライフサイクルに関する前記ACL機能に関連する前記テーブルから情報を取り出し、そして、a)インアクティブトラフィックフローに関する情報を含むパケットの生成を開始することにより、また、b)前記インアクティブトラフィックフローに関するデータを収集するように動作可能な遠隔デバイスに向けて前記パケットのエクスポートを開始することにより、統計データをエクスポートするように構成されることを特徴とする請求項3に記載のネットワーク要素。
  8. さらに、前記ネットワーク要素により受信され、既知のトラフィックフローに属するパケットのレートと本質的に等しいレートで、前記既知のトラフィックフローのフローレートをモニタリングするように構成されることを特徴とする請求項1に記載のネットワーク要素。
  9. 既知のトラフィックフローのフローレートのモニタリングは、予め定義されたトラフィックフローのサンプリングレートにより実行され、新規に検出されたトラフィックフローの一部にのみ関する情報は考慮に入れられ、そして、情報を考慮に入れた新規に検出されたトラフィックフローの数は、前記予め定義されたトラフィックフローのサンプリングレートに依存することを特徴とする請求項1に記載のネットワーク要素。
  10. 前記複数のトラフィックフローのそれぞれは、
    a.前記複数のトラフィックフローのそれぞれは、同一の転送関連パラメータを有する複数のパケットを含み、
    b.前記複数のトラフィックフローのそれぞれは、予め定義された期間経過後に終了し、前記予め定義された期間は、各トラフィックフローに関連する最後のパケットが受信された時間から始まる期間であり、及び/又は、各トラフィックフローに関連するパケットは、エンドオブフロー特性を含み、
    c.前記複数のトラフィックフローのそれぞれは、各トラフィックフローに関連するパケットが最初に検出された時、及び/又は、各トラフィックフローが終了したトラフィックフローとして決定された後、各トラフィックフローに関連するパケットが最初に検出された時に開始される、
    ことを特徴とする請求項1に記載のネットワーク要素。
  11. 前記ネットワーク要素はさらに、前記パケットプロセッサ内に含まれるACLエンジンを使用して、既知のトラフィックフローのそれぞれを特徴付ける統計データを維持するように構成されることを特徴とする請求項1に記載のネットワーク要素。
  12. 通信ネットワーク内で動作可能なネットワーク要素により伝達される複数のトラフィックフローをモニタリングする為の方法であって、前記ネットワーク要素が、
    (i)ACL機能をサポートするように構成された少なくとも1つのパケットプロセッサと、
    (ii)a.トラフィックフローのトラッキング、及び
    b.統計データのエクスポート、
    を実行するように構成された少なくとも1つのCPUと、
    を含み、
    前記方法が、
    前記ネットワーク要素により複数のパケットを受信し、
    複数のパケットのそれぞれについて、前記ネットワーク要素が既に受信した先行するパケットのトラフィックフローに属するか決定する、
    ことを含み、
    パケットが、前記ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローに属すると決定されると、前記アクティブトラフィックフローを特徴付ける少なくとも1つのパラメータが、前記少なくとも1つのパケットプロセッサに含まれるACLテーブル内に記憶されたルールに関連付けられ、前記方法が、
    前記アクティブトラフィックフローに属するパケットであると決定されたパケットに関連する統計データを取り出し、
    取り出された前記統計データを前記アクティブトラフィックフローのモニタリングに適用する、
    ことを含み、
    パケットが、前記ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローのいずれにも属さないと決定されると、前記方法が、
    前記ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローのいずれにも属さない前記パケットの複製を生成し、前記複製を前記少なくとも1つのCPUに転送し、
    前記パケットが属する新規のトラフィックフローを表す少なくとも1つの新規のACLルールを生成し、前記少なくとも1つの新規のACLルールが前記新規のトラフィックフローを特徴付ける少なくとも1つのパラメータに関連付けられ、
    前記少なくとも1つの新規のACLルールが前記少なくとも1つのパケットプロセッサに含まれるACLテーブルに記憶され、
    前記ネットワーク要素に到着した複数の先行するパケットのどれが前記新規のトラフィックフローに属するか決定し、前記新規のトラフィックフローに属する前記パケットが、前記少なくとも1つの新規のACLルールに従うパケットであり、
    前記新規のトラフィックフローに属するパケットであると決定されたパケットに関連する統計データを取り出し、取り出された前記統計データを前記新規のトラフィックフローのモニタリングに適用する、
    ことを含むことを特徴とする方法。
  13. 前記ネットワーク要素に到着する新規のトラフィックフローの総数の中から前記ACLルールが生成される新規のトラフィックフローの割合は、前記ネットワーク要素に到着する新規のトラフィックフローの数が増加すると、減少することを特徴とする請求項12に記載の方法。
  14. 1以上のコンピュータプロセッサにより実行される命令セットを実行する為のコンピュータプログラムを記憶する非一時的コンピュータ可読媒体であって、前記コンピュータプログラムは、通信ネットワーク内で動作可能なネットワーク要素により伝達される複数のトラフィックフローをモニタリングする為の方法を実行するのに適しており、前記ネットワーク要素が、
    (i)ACL機能をサポートするように構成された少なくとも1つのパケットプロセッサと、
    (ii)a.トラフィックフローのトラッキング、及び
    b.統計データのエクスポート、
    を実行するように構成された少なくとも1つのCPUと、
    を含み、
    前記方法が、
    前記ネットワーク要素が複数のパケットを受信すると、前記ネットワーク要素が既に受信した先行するパケットのトラフィックフローに属するか決定する、
    ことを含み、
    パケットが、前記ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローに属すると決定されると、前記アクティブトラフィックフローを特徴付ける少なくとも1つのパラメータが、前記少なくとも1つのパケットプロセッサに含まれるACLテーブル内に記憶されたルールに関連付けられ、前記方法が、
    前記アクティブトラフィックフローに属するパケットであると決定されたパケットに関連する統計データを取り出し、
    取り出された前記統計データを前記アクティブトラフィックフローのモニタリングに適用する、
    ことを含み、
    パケットが、前記ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローのいずれにも属さないと決定されると、前記方法が、
    前記ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローのいずれにも属さない前記パケットの複製を生成し、前記複製を前記少なくとも1つのCPUに転送し、
    前記パケットが属する新規のトラフィックフローを表す少なくとも1つの新規のACLルールを生成し、前記少なくとも1つの新規のACLルールが前記新規のトラフィックフローを特徴付ける少なくとも1つのパラメータに関連付けられ、
    前記少なくとも1つの新規のACLルールが前記少なくとも1つのパケットプロセッサに含まれるACLテーブルに記憶され、
    前記ネットワーク要素に到着した複数の先行するパケットのどれが前記新規のトラフィックフローに属するか決定し、前記新規のトラフィックフローに属する前記パケットが、前記少なくとも1つの新規のACLルールに従うパケットであり、
    前記新規のトラフィックフローに属するパケットであると決定されたパケットに関連する統計データを取り出し、取り出された前記統計データを前記新規のトラフィックフローのモニタリングに適用する、
    ことを含むことを特徴とする非一時的コンピュータ可読媒体。
JP2021533189A 2018-12-10 2019-11-16 通信ネットワークにおけるトラフィックフローをモニタリングするシステム及び方法 Pending JP2022515990A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201862777275P 2018-12-10 2018-12-10
US62/777,275 2018-12-10
PCT/IL2019/051248 WO2020121294A1 (en) 2018-12-10 2019-11-16 A system and a method for monitoring traffic flows in a communications network

Publications (1)

Publication Number Publication Date
JP2022515990A true JP2022515990A (ja) 2022-02-24

Family

ID=71076836

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021533189A Pending JP2022515990A (ja) 2018-12-10 2019-11-16 通信ネットワークにおけるトラフィックフローをモニタリングするシステム及び方法

Country Status (5)

Country Link
US (1) US20210336960A1 (ja)
EP (1) EP3895386A4 (ja)
JP (1) JP2022515990A (ja)
IL (1) IL283259A (ja)
WO (1) WO2020121294A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11647024B2 (en) * 2021-06-15 2023-05-09 Arista Networks, Inc. Per-interface access control list (ACL) counter
CN114422178B (zh) * 2021-12-10 2024-04-16 锐捷网络股份有限公司 一种基于访问控制列表的统计结果上报方法、设备及介质
CN117353960A (zh) * 2022-06-29 2024-01-05 中兴通讯股份有限公司 Acl规则处理方法、装置及存储介质

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6278694B1 (en) * 1999-04-16 2001-08-21 Concord Communications Inc. Collecting and reporting monitoring data from remote network probes
US20040174851A1 (en) * 2001-07-17 2004-09-09 Yeshayahu Zalitzky Dual purpose power line modem
US7483379B2 (en) * 2002-05-17 2009-01-27 Alcatel Lucent Passive network monitoring system
WO2004077727A2 (en) * 2003-02-21 2004-09-10 MEG COMMUNICATIONS doing business as AIR BROADBAND COMMUNICATIONS Method and apparatus of maximizing packet throughput
CN1985481A (zh) * 2004-07-09 2007-06-20 皇家飞利浦电子股份有限公司 通信网络中的数据传输
US7315963B2 (en) * 2004-08-10 2008-01-01 International Business Machines Corporation System and method for detecting errors in a network
US20060149841A1 (en) * 2004-12-20 2006-07-06 Alcatel Application session management for flow-based statistics
EP1734666A1 (en) * 2005-06-17 2006-12-20 Fujitsu Limited Resource management in multi-hop communication system
US20080186971A1 (en) * 2007-02-02 2008-08-07 Tarari, Inc. Systems and methods for processing access control lists (acls) in network switches using regular expression matching logic
US8054744B1 (en) * 2007-10-25 2011-11-08 Marvell International Ltd. Methods and apparatus for flow classification and flow measurement
US8300532B1 (en) * 2008-09-23 2012-10-30 Juniper Networks, Inc. Forwarding plane configuration for separation of services and forwarding in an integrated services router
US7990982B2 (en) * 2008-12-15 2011-08-02 At&T Intellectual Property I, L.P. Methods and apparatus to bound network traffic estimation error for multistage measurement sampling and aggregation
US8335160B2 (en) * 2010-03-30 2012-12-18 Telefonaktiebolaget L M Ericsson (Publ) Flow sampling with top talkers
US8750144B1 (en) * 2010-10-20 2014-06-10 Google Inc. System and method for reducing required memory updates
US8737204B2 (en) * 2011-05-02 2014-05-27 Telefonaktiebolaget Lm Ericsson (Publ) Creating and using multiple packet traffic profiling models to profile packet flows
US8593958B2 (en) * 2011-09-14 2013-11-26 Telefonaktiebologet L M Ericsson (Publ) Network-wide flow monitoring in split architecture networks
US8817655B2 (en) * 2011-10-20 2014-08-26 Telefonaktiebolaget Lm Ericsson (Publ) Creating and using multiple packet traffic profiling models to profile packet flows
US8418249B1 (en) * 2011-11-10 2013-04-09 Narus, Inc. Class discovery for automated discovery, attribution, analysis, and risk assessment of security threats
US8705365B1 (en) * 2012-02-21 2014-04-22 Cisco Technology, Inc. System and method for producing dynamic credit updates for time based packet sampling
US8930690B2 (en) * 2012-03-21 2015-01-06 Microsoft Corporation Offloading packet processing for networking device virtualization
US9065767B2 (en) * 2012-04-03 2015-06-23 Cisco Technology, Inc. System and method for reducing netflow traffic in a network environment
US9325589B1 (en) * 2012-10-23 2016-04-26 Jeff Flynn Audible network traffic notification system
US9106443B2 (en) * 2012-10-26 2015-08-11 Cisco Technology, Inc. Forwarding table optimization with flow data
US10270699B2 (en) * 2014-07-28 2019-04-23 Telefonaktiebolaget Lm Ericsson (Publ) Automated flow devolvement in an aggregate flow environment
US11444850B2 (en) * 2016-05-02 2022-09-13 Huawei Technologies Co., Ltd. Method and apparatus for communication network quality of service capability exposure
US11436075B2 (en) * 2019-07-23 2022-09-06 Vmware, Inc. Offloading anomaly detection from server to host

Also Published As

Publication number Publication date
WO2020121294A1 (en) 2020-06-18
IL283259A (en) 2021-07-29
EP3895386A1 (en) 2021-10-20
EP3895386A4 (en) 2022-01-05
US20210336960A1 (en) 2021-10-28

Similar Documents

Publication Publication Date Title
JP4774357B2 (ja) 統計情報収集システム及び統計情報収集装置
CN1953392B (zh) 异常通信量的检测方法和数据包中继装置
US8054744B1 (en) Methods and apparatus for flow classification and flow measurement
JP6816139B2 (ja) 情報伝送パフォーマンス警告を生成するための方法、システム、および装置
US8345575B2 (en) Traffic analysis apparatus and analysis method
JP5660198B2 (ja) ネットワークシステム、及びスイッチ方法
US7995477B2 (en) Collecting network traffic information
US9485155B2 (en) Traffic analysis of data flows
US20130304915A1 (en) Network system, controller, switch and traffic monitoring method
JP2022515990A (ja) 通信ネットワークにおけるトラフィックフローをモニタリングするシステム及び方法
EP2745468A1 (en) Network-wide flow monitoring in split architecture networks
Suárez-Varela et al. Towards a NetFlow implementation for OpenFlow software-defined networks
Suárez-Varela et al. Flow monitoring in Software-Defined Networks: Finding the accuracy/performance tradeoffs
Afaq et al. Large flows detection, marking, and mitigation based on sFlow standard in SDN
US9992081B2 (en) Scalable generation of inter-autonomous system traffic relations
JP2017034605A (ja) ネットワークシステム、通信の分析方法、及び分析装置
Gomez et al. Traffic classification in IP networks through Machine Learning techniques in final systems
US11171866B2 (en) Measuring packet residency and travel time
KR20220029142A (ko) Sdn 컨트롤러 서버 및 이의 sdn 기반 네트워크 트래픽 사용량 분석 방법
JP2016146581A (ja) トラヒック情報収集装置およびトラヒック情報収集方法
JP4246238B2 (ja) トラフィック情報の配信及び収集方法
JP4871775B2 (ja) 統計情報収集装置
Pekar et al. Towards threshold‐agnostic heavy‐hitter classification
JP7164140B2 (ja) 通信解析装置、通信解析方法およびプログラム
Bradatsch Anomaly detection based on traffic records

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20211222

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20221021

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20231030

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231107