JP2023500274A - 情報報告方法、データ処理方法、及び装置 - Google Patents

Abstract

この出願の複数の実施形態は、情報報告方法を開示する。従来の技術においては、BGP FSルールを生成するデバイスがネットワークノードにBGP FSルールを送信した後に、さらに、ネットワークノードにおけるBGP FSルールの実装の状況をモニタリングする措置はとられていない。この出願においては、BGP FSルールを受信した後に、ネットワークノードは、ネットワークノードにおけるBGP FSルールの実装の状況を取得してもよく、その状況は、BGP FSルールがネットワークノードにおいて実装されているということを示してもよく、又は、BGP FSルールがネットワークノードにおいて実装されていないということを示してもよい。その次に、ネットワークノードは、サーバにその状況を送信する。このように、サーバは、ネットワークノードにおけるBGP FSルールの実装の状況を知ることが可能である。それに対応して、例えば、BGP FSルールを生成するサーバ等のサーバ又は他のサーバは、その状況を格納してもよく、さらに、例えば、対応する調整を実行するといったように、必要に応じて、その状況に基づいて、対応する操作を実行して、攻撃トラフィックを効果的に防止することが可能である。

Description

[関連出願への相互参照]
この出願は、2019年10月31日付で中国国家知的所有権管理局に出願された"情報報告方法、データ処理方法、及び装置"と題する中国特許出願番号第201911053999.5号に基づく優先権を主張し、その内容は、その全体が参照により本明細書に組み込まれる。

[技術分野]
この出願は、通信分野に関し、特に、情報報告方法、データ処理方法、及び装置に関する。

現在、通信技術の発達に伴って、通信セキュリティに関するいくつかの問題が生じている。例えば、ネットワーク攻撃は、通信デバイスに対して生起する。それに対応して、また、ネットワーク攻撃を防止するためのいくつかのポリシーが出現している。ネットワーク攻撃を防止するためのそれらのポリシーのうちの1つは、境界ゲートウェイプロトコルフロー仕様(Border Gateway Protocol Flow Specification, BGP FS)である。そのBGP FSにおいては、BGP FSルールを伝送する際に、ネットワークノード等のBGP FSピアにBGP FSルートを伝送することが可能であり、それによって、ネットワークノードにおいてトラフィックを制御して、攻撃トラフィックを防止することが可能となる。

しかしながら、従来の技術の場合には、BGP FSは、攻撃トラフィックを効果的に防止することは不可能である。したがって、上記の問題を解決するための緊急の解決方法が必要とされる。

この出願の複数の実施形態は、情報報告方法を提供して、BGP FSルールにしたがってトラフィック攻撃を効果的に防止することが不可能であるという問題を解決する。

第1の態様によれば、この出願のそれらの複数の実施形態は、情報報告方法を提供する。従来の技術においては、BGP FSルールを生成するサーバが、ネットワークノードにそのBGP FSルールを送信した後に、そのBGP FSルールに関連する制御手順は終了し、さらに、ネットワークノードにおけるBGP FSルールの実装の状況をモニタリングするいかなる手段も行われない。結果として、ネットワークノードにおけるBGP FSルールの実装の状況は知られていない。さらに、BGP FSルールは、ネットワークノードにおいて実装されない場合があるので、そのBGP FSルールは、攻撃トラフィックを効果的に防止することは不可能である。この問題を解決するために、この出願のそれらの複数の実施形態においては、そのBGP FSルールを受信した後に、ネットワークノードは、そのネットワークノードにおけるBGP FSルールの実装の状況を取得することが可能であり、その状況は、そのBGP FSルールがネットワークノードにおいて実装されているということを示してもよく、又は、そのBGP FSルールがネットワークノードにおいて実装されていないということを示してもよい。その次に、ネットワークノードは、サーバにその状況を送信する。このように、サーバは、そのネットワークノードにおけるBGP FSルールの実装の状況を知ることが可能である。それに対応して、例えば、そのBGP FSルールを生成するサーバ等のそのサーバ又は他のサーバは、その状況を格納してもよく、さらに、必要に応じて、その状況に基づいて、対応する操作を実行して、攻撃トラフィックを効果的に防止することが可能である。

ある1つの実装において、実際の適用においては、ネットワークノードに、BMPによってBGP FS Local-RIBをモニタリングする機能を配置する場合には、BGP FSルートを受信した後に、そのネットワークノードは、BMPサーバにそのBGP FSルートを報告する。加えて、ネットワークノードは、RMメッセージを使用することによって、BMPサーバに、受信したBGP FSルートを報告してもよい。この観点から、ネットワークノードは、キャリアとしてRMメッセージを使用し、そして、第1のサーバに、ネットワークノードにおけるBGP FSルールの実装の状況を含むRMメッセージを送信してもよい。具体的には、ネットワークノードは、ネットワークノードにおけるBGP FSルールの実装の状況をRMメッセージに追加し、そして、その次に、第1のサーバに、状況が追加されているRMメッセージを送信してもよい。

ある1つの実装において、BMPによるBGP FS Local-RIBのモニタリングの機能が、ネットワークノードに配置されていないときに、BMPによるBGP FS Local-RIBのモニタリングの機能は、ネットワークノードに配置されていないため、そのネットワークノードは、第1のサーバにBGP FSルートを送信しない。それに対応して、RMメッセージによって、第1のサーバに、ネットワークノードにおけるBGP FSルールの実装の状況を送信することは不可能である。この場合には、第1のサーバは、ネットワークノードに状況報告指示を送信してもよい。状況報告指示は、第1のサーバに、ネットワークノードにおけるBGP FSルールの実装の状況を報告するようにネットワークノードに指示するのに使用される。言い換えると、第1のサーバから状況報告指示を受信した後に、ネットワークノードは、ネットワークノードにおけるBGP FSルールの実装の状況を取得し、そして、第1のサーバに、取得した状況を送信してもよい。

ある1つの実装において、状況が、ネットワークノードにおけるBGP FSルールの実装のより詳細な内容を反映することを可能とするために、ネットワークノードにおいて実装されているBGP FSルールは、正常な実装及び異常な実装の少なくとも2つの場合を含んでもよい。正常な実装は、BGP FSルールがBGP最良経路選択プロセスに正しく参加しているということを意味し、BGP FSルールは、実装されるときに他の要因によって干渉されない。異常な実装は、BGP FSルールがBGP最良経路選択プロセスに正しく参加しているが、BGP FSルールは実装されるときに他の要因によって干渉されるということを意味する。したがって、ネットワークノードにおいて実装されているBGP FSルールは、ネットワークノードにおけるBGP FSルールの実装が正常であること、又は、ネットワークノードにおけるBGP FSルールの実装が異常であることを含んでもよい。

ある1つの実装において、実際の適用においては、さらに、ネットワークノードにおいて他のトラフィック制御ポリシーを実行してもよい。BGP FSルールの優先順位が、他のトラフィック制御ポリシーの優先順位よりも低い場合には、ネットワークノードを通過するトラフィックは、最初に他のトラフィック制御ポリシーによって処理され、その次に、BGP FSルールによって処理されるため、これらの他のトラフィック制御ポリシーは、ネットワークノードにおけるそのBGP FSルールの実装を妨げる。言い換えると、ネットワークノードにおいて異常に実装されているBGP FSルールは、そのBGP FSルールの優先順位が他のトラフィック制御ポリシーの優先順位よりも低いということを意味する場合がある。

ある1つの実装において、状況が、BGP FSルールがネットワークノードにおいて実装されていないということであるときに、その状況が、さらに、ネットワークノードにおいてそのBGP FSルールが実装されていない理由を反映することを可能とするために、その状況は、さらに、ネットワークノードにおいてBGP FSルールが実装されていない具体的な理由を反映してもよい。具体的には、BGP FSルールを取得した後に、ネットワークノードは、最初に、BGP FSルールを検証し、BGP FSルールの検証に成功した後にのみ、ネットワークノードは、そのBGP FSルールを実装することが可能である。BGP FSルールに対して実行される検証は、BGP検証及び/又はBGP FS検証が含んでもよい。BGP FSルールがBGP検証に失敗している場合、又は、BGP FSルールがBGP FS検証に失敗している場合に、ネットワークノードは、もはや、BGP FSルールを実装しない。したがって、ネットワークノードにおいて実装されていないBGP FSルールは、BGP FSルールがBGP検証で失敗しているBGP FSルール、及び/又は、BGP FSルールがBGP FS検証に失敗しているBGP FSルールを含んでもよい。

ある1つの実装において、BGP FSルールがBGP検証に失敗していることは、BGP FSルールが無効なパラメータを搬送しているということであってもよい。無効なパラメータは、少なくとも2つの場合を含んでもよい。1つは、ネットワークノードが処理することが不可能であるパラメータがBGP FSルールの中に存在するということであり、もう1つは、無効な自律システム経路がBGP FSルールの中に存在するということである。

ある1つの実装において、ネットワークノードは、通常、1つ又は複数のインターフェイスを含んでもよく、BGP FSルールは、通常、BGP FSルールの実際に使用されているインターフェイスを搬送する。BGP FSルールの中で搬送されている実際に使用されているインターフェイスが、ネットワークノードのインターフェイスに適合していない場合に、ネットワークノードにおいてそのBGP FSルールを実装することは不可能である。したがって、BGP FSルールがネットワークノードにおいて実装されていないことは、そのBGP FSルールの中で搬送されている実際に使用されているインターフェイスが、ネットワークノードのインターフェイスに適合していないということであってもよい。加えて、実際の適用においては、対応するセキュリティ保護ポリシーは、さらに、ネットワークノードにおいて構成されていてもよい。BGP FSルールがセキュリティ保護ポリシーと矛盾する場合に、ネットワークノードにおいてそのBGP FSルールを実装することは不可能である。したがって、BGP FSルールがネットワークノードにおいて実装されていないことは、そのBGP FSルールがセキュリティ保護ポリシーと矛盾しているということであってもよい。加えて、通常は、さらに、BGP FSルールのために、ネットワークノードにおいてあらかじめ設定されている実装条件を設定してもよく、BGP FSルールがあらかじめ設定されている実装条件を満たすときにのみ、ネットワークノードは、BGP FSルールを実装することが可能である。したがって、BGP FSルールがネットワークノードにおいて実装されていないことは、そのBGP FSルールがあらかじめ設定されている実装条件を満たしていないということであってもよい。

ある1つの実装において、BGP FSルールがネットワークノードにおいて実装されるときに、さらに、そのBGP FSルールのトラフィック制御効果を評価するために、ネットワークノードは、さらにそのBGP FSルールのトラフィックマッチング情報を取得し、そして、第1のサーバにそのトラフィックマッチング情報を送信してもよい。トラフィックマッチング情報は、BGP FSルールに適合するデータトラフィックの関連する情報である。

ある1つの実装において、BMPによってBGP FS Local-RIBをモニタリングする機能が、ネットワークノードに配置されている場合に、BGP FSルートを受信した後に、ネットワークノードは、BMPサーバにBGP FSルートを報告する。ネットワークノードがBMPサーバに送信するメッセージのタイプは、SRメッセージである。SRメッセージは、統計情報を搬送し、トラフィックマッチング情報は、また、統計情報として考えられてもよい。この観点から、トラフィックマッチング情報は、キャリアとして既存のSRメッセージを使用することによって、第1のサーバに送信されてもよい。言い換えると、ネットワークノードは、SRメッセージにBGP FSルールのトラフィックマッチング情報を追加し、そして、その次に、第1のサーバに、トラフィックマッチング情報が追加されているSRメッセージを送信してもよい。具体的には、ネットワークノードは、SRメッセージの拡張フィールドを使用して、トラフィックマッチング情報を搬送してもよい。例えば、トラフィックマッチング情報は、拡張TLVフィールドの中で搬送されてもよい。

ある1つの実装において、BMPによってBGP FS Local-RIBをモニタリングする機能が、ネットワークノードに配置されていないときに、第1のサーバは、ネットワークノードにトラフィック情報報告指示を送信してもよく、トラフィック情報報告指示は、第1のサーバにトラフィックマッチング情報を報告するようにネットワークノードに指示するのに使用される。言い換えると、第1のサーバからトラフィック情報報告指示を受信した後に、ネットワークノードは、BGP FSルールのトラフィックマッチング情報を取得し、そして、第1のサーバにトラフィックマッチング情報を送信してもよい。

ある1つの実装において、BGP FSルールがネットワークノードにおいて実装されていない場合に、必然的に、BGP FSルールに適合するデータトラフィックは存在しない。この観点から、第1のサーバがネットワークノードから状況を受信し、且つ、その状況が、BGP FSルールがネットワークノードにおいて実装されるということを示しているときにのみ、第1のサーバは、ネットワークノードにトラフィック情報報告指示を送信して、第1のサーバとネットワークノードとの間のデータ交換を減少させることが可能である。

第2の態様によれば、この出願のそれらの複数の実施形態は、データ処理方法を提供する。具体的には、第1のサーバは、ネットワークノードにおける境界ゲートウェイプロトコルフロー仕様BGP FSルールの実装の状況を取得してもよく、その状況は、BGP FSルールがネットワークノードにおいて実装されているということを示すか、又は、その状況は、BGP FSルールがネットワークノードにおいて実装されていないということを示し、第1のサーバは、その状況を格納する。このように、第1のサーバは、ネットワークノードにおけるBGP FSルールの実装の状況を知ることが可能である。それに対応して、第1のサーバは、さらに、例えば、対応する調整を実行して、攻撃トラフィックを効果的に防止するといったように、必要に応じて、状況に基づいて、対応する操作を実行してもよい。

ある1つの実装において、ネットワークノードにおけるBGP FSルールの実装の状況を格納した後に、第1のサーバは、ネットワークノードにおけるBGP FSルールの実装の状況を読み取り、そして、例えば、その状況に基づいて第1の操作を実行するといったように、その状況に基づいて、他の操作を実行してもよい。もちろん、第1のサーバは、代替的に、第2のサーバにその状況を送信してもよく、第2のサーバは、その状況に基づいて第1の操作を実行する。実際の適用においては、通常、第1の操作は、BGP FSルールに関連している。したがって、この出願のそれらの複数の実施形態において、第2のサーバは、BGP FSルールを生成するサーバであってもよい。第1のサーバ及び第2のサーバが1つのデバイスにおいて動作するときに、第1のサーバは、その状況に基づいて、第1の操作を実行してもよいということを理解することが可能である。第1のサーバ及び第2のサーバが2つのデバイスにおいて動作するときに、第1のサーバは、第2のサーバに状況を送信してもよく、第2のサーバは、その状況に基づいて第1の操作を実行する。

この出願のそれらの複数の実施形態のある1つの実装において、ネットワーク管理者が、ネットワークノードにおけるBGP FSルールの実装の状況を知ることを可能とするために、第1のサーバ又は第2のサーバは、その状況を表示するようにディスプレイデバイスを制御してもよい。このように、ネットワーク管理者は、ディスプレイデバイスに表示されるコンテンツを使用することによって、ネットワークノードにおけるBGP FSルールの実装の状況を決定することが可能である。さらに、ネットワーク管理者は、その状況に基づいて、対応する調整を実行してもよい。

ある1つの実装において、ネットワークノードにおいてBGP FSルールを実装して、攻撃トラフィックを制御することを可能にするために、状況が、BGP FSルールがネットワークノードにおいて実装されていないということを示している場合に、特定の実装の際に、第1のサーバ又は第2のサーバは、ネットワークノードにおいてBGP FSルールを実装することを可能とする目的で、状況に基づいて第1の操作を実行してもよい。具体的には、第1のサーバ又は第2のサーバが、BGP FSルールの構成パラメータに起因して、そのBGP FSルールがネットワークノードにおいて実装されていないということを決定する場合に、第1の操作を実行するときは、例えば、第1のサーバ又は第2のサーバは、特定の実装の際に、BGP FSルールを修正し、そして、ネットワークノードに、修正されているBGP FSルールを送信してもよく、それによって、ネットワークノードは、その修正されているBGP FSルールを実装することが可能である。第1のサーバ又は第2のサーバが、ネットワークノードの構成に起因して、BGP FSルールがネットワークノードにおいて実装されていないということを決定する場合に、第1の操作を実行するときは、例えば、第1のサーバ又は第2のサーバは、特定の実装の際に、ネットワークノードに第1の構成指示を送信してもよい。第1の構成指示は、ネットワークノードを再構成するのに使用される。このように、ネットワークノードは、そのBGP FSルールを実装することが可能である。

ある1つの実装において、BGP FSルールがBGP検証に失敗していることは、そのBGP FSルールが無効なパラメータを搬送しているということであってもよい。したがって、その状況が、BGP FSルールがBGP検証に失敗しているということを示す場合に、第1のサーバ又は第2のサーバは、そのBGP FSルールを修正してもよく、それによって、修正されたBGP FSルールは、BGP検証に成功する。このように、第1のサーバ又は第2のサーバが、ネットワークノードに修正されたBGP FSルールを送信した後に、ネットワークノードは、そのBGP FSルールを実装することが可能である。具体的には、第1のサーバ又は第2のサーバは、BGP FSルールの中で搬送されている無効なパラメータを決定し、そして、有効なパラメータへとその無効なパラメータを修正してもよい。

ある1つの実装において、状況が、BGP FSルールの中で搬送されている実際に使用されているインターフェイスがネットワークノードのインターフェイスに適合していないということを示す場合に、第1のサーバ又は第2のサーバは、そのBGP FSルールを修正してもよい。具体的には、第1のサーバ又は第2のサーバは、ネットワークノードのインターフェイスに適合するインターフェイスへと、BGP FSルールの中で搬送されている実際に使用されているインターフェイスを修正し、そして、ネットワークノードに、修正されているBGP FSルールを送信してもよい。このように、ネットワークノードは、そのBGP FSルールを実装することが可能である。

ある1つの実装において、状況が、BGP FSルールがセキュリティ保護ポリシーと矛盾するということを示す可能性がある場合に、第1のサーバ又は第2のサーバは、BGP FSルールを修正してもよい。具体的には、第1のサーバ又は第2のサーバは、セキュリティ保護ポリシーと矛盾していないBGP FSルールへと、そのBGP FSルールを修正し、そして、ネットワークノードにその修正されているBGP FSルールを送信してもよい。このように、ネットワークノードは、そのBGP FSルールを実装することが可能である。

ある1つの実装において、状況が、BGP FSルールがBGP FS検証に失敗しているということを示す可能性がある場合に、BGP FSルールは、あらかじめ設定されている実装条件を満たしていないため、そのBGP FSルールは、BGP FS検証に失敗する場合がある。この場合には、第1のサーバ又は第2のサーバは、ネットワークノードに第1の構成指示を送信してもよい。第1の構成指示は、ターゲットパラメータを再構成するようにネットワークノードに指示するのに使用され、そのターゲットパラメータは、そのBGP FSルールがあらかじめ設定されている実装条件を満たすか否かを決定するのに使用されるパラメータである。このように、ネットワークノードがターゲットパラメータを再構成した後は、BGP FSルールは、あらかじめ設定されている実装条件を満たすことが可能である。もちろん、第1の構成指示は、代替的に、BGP FSルールがあらかじめ設定されている実装条件を満たすか否かの検証を中止するように、ネットワークノードを構成するのに使用される構成指示であってもよい。ネットワークノードが、もはや、BGP FSルールがあらかじめ設定されている実装条件を満たすか否かを検証しない場合には、ネットワークノードは、そのBGP FSルールを実装することが可能であるということを理解することが可能である。

ある1つの実装において、第1のサーバは、さらに、BGP FSルールのトラフィックマッチング情報を取得してもよく、そのトラフィックマッチング情報を取得した後に、第1のサーバは、さらに、そのトラフィックマッチング情報を格納してもよい。このように、第1のサーバは、ネットワークノードにおけるBGP FSルールのトラフィックマッチングの状況を知ることが可能である。それに対応して、第1のサーバは、さらに、例えば、対応する調整を実行して、攻撃トラフィックを効果的に防止するといったように、必要に応じて、その状況に基づいて、対応する操作を実行してもよい。

ある1つの実装において、第1のサーバは、トラフィックマッチング情報に基づいて、第2の操作を実行することが可能であり、又は、第1のサーバは、第2のサーバにトラフィックマッチング情報を送信し、第2のサーバは、そのトラフィックマッチング情報に基づいて、第2の操作を実行する。

ある1つの実装において、ネットワーク管理者が、ネットワークノードにおけるBGP FSルールのトラフィックマッチングの状況を知ることを可能とするために、トラフィックマッチング情報に基づいて第2の操作を実行するときに、例えば、第1のサーバ又は第2のサーバは、特定の実装の際にトラフィックマッチング情報を表示するようにディスプレイデバイスを制御してもよい。このように、ネットワーク管理者は、表示デバイスに表示されるコンテンツを使用することによって、ネットワークノードにおけるBGP FSルールのトラフィックマッチングの状況を決定することが可能である。

ある1つの実装において、BGP FSルールが効果的に攻撃トラフィックを制御することを可能とするために、トラフィックマッチング情報を取得した後に、第1のサーバ又は第2のサーバは、さらに、トラフィックマッチング情報があらかじめ設定されている条件を満たすか否かを決定してもよい。本明細書においては、トラフィックマッチング情報があらかじめ設定されている条件を満たすか否かを決定することは、BGF FSルールにしたがって実行されるトラフィック制御の結果が期待値を満たすか否かを決定するということを指す。

ある1つの実装において、実際の適用において、BGP FSルールは、ネットワークノードを通過する履歴データトラフィックを分析することによって決定される異常トラフィックについて定式化される。したがって、あらかじめ設定されている条件は、また、異常トラフィックに基づいて決定されてもよい、すなわち、ネットワークノードを通過する履歴データトラフィックを分析することによって取得されてもよい。

ある1つの実装において、取得されたトラフィックマッチング情報が、あらかじめ設定されている条件を満たすということを決定する場合には、その決定は、BGP FSルールが攻撃トラフィックを効果的に防止することを可能とするということを示す。取得されたトラフィックマッチング情報が、あらかじめ設定されている条件を満たしていないということを決定する場合には、その決定は、BGP FSルールが攻撃トラフィックを効果的に防止することは不可能であるということを示す。BGP FSルールが攻撃トラフィックを効果的に防止することが不可能であるときに、第1のサーバ又は第2のサーバは、さらに、そのBGP FSルールが、攻撃トラフィックを効果的に防止することが不可能である理由を決定し、そして、対応する調整を実行して、攻撃トラフィックを効果的に防止してもよい。通常は、トラフィックマッチング情報があらかじめ設定されている条件を満たさない理由が2つ存在する場合がある。1つは、BGP FSルールの実装が他のトラフィック制御ポリシーによる干渉を受けることである。すなわち、ネットワークノードにおけるそのBGP FSルールの実装は異常である。もう1つは、BGP FSルールの構成である。1番目の理由の場合には、例えば、第1のサーバ又は第2のサーバは、ネットワークノードを再構成することが可能であり、それによって、通常、ネットワークノードにおけるBGP FSルールの実装は正常となる。2番目の理由の場合には、例えば、第1のサーバ又は第2のサーバは、BGP FSルールを修正し、そして、ネットワークノードに、修正されているBGP FSルールを送信してもよい。言い換えると、第1のサーバ又は第2のサーバは、さらに、特定の実装の際に、2つの実装におけるトラフィックマッチング情報に基づいて、第2の操作を実行してもよい。ある1つの実装において、トラフィックマッチング情報があらかじめ設定されている条件を満たしていないということを決定するときに、第2の構成指示は、トラフィックマッチング情報に基づいてネットワークノードに送信され、第2の構成指示は、ネットワークノードを再構成するのに使用される。他の実装において、トラフィックマッチング情報があらかじめ設定されている条件を満たしていないということを決定するときに、トラフィックマッチング情報に基づいて、そのBGP FSルールを修正し、修正されているBGP FSルールは、ネットワークノードに送信される。

ある1つの実装において、第1のサーバ又は第2のサーバは、最初に、ネットワークノードにおけるBGP FSルールの実装の取得された状況に基づいて、トラフィックマッチング情報があらかじめ設定されている条件を満たしていない理由が、ネットワークノードにおけるBGP FSルールの異常な実装であるか否かを決定してもよい。具体的には、第1のサーバ又は第2のサーバが取得するネットワークノードにおけるBGP FSルールの実装の状況が、BGP FSルールの優先順位が他のトラフィック制御ポリシーの優先順位よりも低いということを含む場合には、その状況は、ネットワークノードにおけるBGP FSルールの実装が異常であるということを示す。それに対応して、第1のサーバ又は第2のサーバは、ネットワークノードに第2の構成指示を送信してもよく、第2の構成指示は、他のトラフィック制御ポリシーの実装を中止するようにネットワークノードを構成するのに使用されるか、又は、BGP FSルールを優先的に実装するようにネットワークノードを構成するのに使用される。

ある1つの実装において、実際の適用においては、BGP FSルールがネットワークノードにおいて実装されていなくても、他のトラフィック制御ポリシーが攻撃トラフィックを効果的に防止することが可能である場合には、そのネットワークシステムは、依然として、正常に動作する。この観点から、第1のサーバ又は第2のサーバが取得するネットワークノードにおけるBGP FSルールの実装の状況が、BGP FSルールの優先順位が他のトラフィック制御ポリシーの優先順位よりも低いということを含む場合には、第1のサーバ又は第2のサーバは、さらに、ネットワークノードを通過するデータトラフィックを分析し、そして、異常なトラフィックが存在するか否かを決定してもよい。異常なトラフィックが存在する場合には、その分析結果は、他のトラフィック制御ポリシーが攻撃トラフィックを効果的に防止していないということを示す。この場合には、第1のサーバ又は第2のサーバは、ネットワークノードに第2の構成指示を送信する。異常なトラフィックが存在しない場合には、その分析結果は、他のトラフィック制御ポリシーが攻撃トラフィックを効果的に防止することができているということを示す。この場合には、第1のサーバ又は第2のサーバは、ネットワークノードに第2の構成指示を送信しなくてもよい。

ある1つの実装において、第1のサーバ又は第2のサーバが取得するネットワークノードにおけるBGP FSルールの実装の状況が、BGP FSルールの優先順位が、他のトラフィック制御ポリシーの優先順位よりも低いということを含まない場合には、その状況は、BGP FSルールの実装が正常であるということを示す。それに対応して、第1のサーバ又は第2のサーバは、トラフィックマッチング情報が、そのBGP FSルールの構成に起因して、あらかじめ設定されている条件を満たしていないということを決定してもよい。この場合には、第1のサーバ又は第2のサーバは、ネットワークノードに第2の構成指示を送信して、ネットワークノードを再構成してもよく、それによって、そのBGP FSルールを実装した後に、攻撃トラフィックを効果的に防止することが可能となる。

ある1つの実装において、実際の適用においては、BGP FSルールのパラメータのうちのいくつかの組み合わせが、BGP FSルールを有効にさせない場合には、さらに、ネットワークノードにおいてBGP FSルールを実装した後にも、攻撃トラフィックを効果的に防止することは不可能である。したがって、第1のサーバ又は第2のサーバは、BGP FSルールの構成パラメータを分析して、BGP FSルールを有効にさせないいくつかのパラメータの組み合わせが、BGP FSルールの中に存在するか否かを決定してもよい。パラメータのうちのいくつかの組み合わせが存在する場合には、第1のサーバ又は第2のサーバは、パラメータを修正してもよく、それによって、修正されたBGP FSルールは、有効になることが可能となる。

ある1つの実装において、実際の適用においては、BGP FSルールが示すトラフィック制御ポリシーが対象とするトラフィックが、実際には、防止することを必要とする攻撃トラフィックではない場合には、BGP FSルールを実装した後も、攻撃トラフィックを効果的に防止することは不可能である。この場合には、第1のサーバ又は第2のサーバは、ネットワークノードを通過するデータトラフィックを分析し、そして、分析結果に基づいて、BGP FSルールを修正してもよい。具体的には、第1のサーバ又は第2のサーバは、あらかじめ設定されている時間期間の中でネットワークノードを通過するデータトラフィックを分析することによって、攻撃トラフィックの特徴を決定し、そして、攻撃トラフィックのその特徴に基づいて、BGP FSルールを修正してもよい。

第3の態様によれば、この出願の複数の実施形態は、情報報告装置を提供する。その装置は、ネットワークノードにおける境界ゲートウェイプロトコルフロー仕様BGP FSルールの実装の状況を取得するように構成される取得ユニットであって、前記状況は、前記BGP FSルールが前記ネットワークノードにおいて実装されているということを示すか、又は、前記状況は、前記BGP FSルールが前記ネットワークノードにおいて実装されていないということを示す、取得ユニットと、サーバに前記状況を送信するように構成される送信ユニットと、を含む。

ある1つの実装において、前記送信ユニットは、特に、ルートモニタリングRMメッセージに前記状況を追加し、そして、前記サーバに、前記状況が追加されているRMメッセージを送信するように構成される。

ある1つの実装において、前記状況が、前記BGP FSルールが前記ネットワークノードにおいて実装されているということである場合に、前記取得ユニットは、さらに、前記BGP FSルールのトラフィックマッチング情報を取得するように構成され、前記トラフィックマッチング情報は、前記BGP FSルールに適合するデータトラフィックの関連する情報であり、前記送信ユニットは、さらに、前記サーバに前記トラフィックマッチング情報を送信するように構成される。

ある1つの実装において、前記送信ユニットは、特に、状況報告SRメッセージに前記トラフィックマッチング情報を追加し、そして、前記サーバに、前記トラフィックマッチング情報が追加されているSRメッセージを送信するように構成される。

ある1つの実装において、前記取得ユニットは、特に、前記サーバから状況報告指示を受信した後に、前記ネットワークノードにおける前記BGP FSルールの実装の前記状況を取得するように構成される。

ある1つの実装において、前記取得ユニットは、特に、前記サーバからトラフィック情報報告指示を受信した後に、前記BGP FSルールの前記トラフィックマッチング情報を取得するように構成される。

第4の態様によれば、この出願の複数の実施形態は、データ処理装置を提供する。その装置は、ネットワークノードにおける境界ゲートウェイプロトコルフロー仕様BGP FSルールの実装の状況を取得するように構成される取得ユニットであって、前記状況は、前記BGP FSルールが前記ネットワークノードにおいて実装されているということを示すか、又は、前記状況は、前記BGP FSルールが前記ネットワークノードにおいて実装されていないということを示す、取得ユニットと、前記状況を格納するように構成される記憶ユニットと、を含む。

ある1つの実装において、当該装置は、前記状況に基づいて第1の操作を実行するように構成される操作ユニットをさらに含むか、又は、第2のサーバに前記状況を送信するように構成される送信ユニットをさらに含み、それによって、前記第2のサーバは、前記状況に基づいて第1の操作を実行する。

ある1つの実装において、前記操作ユニットは、特に、前記状況が、前記BGP FSルールの中で搬送されている実際に使用されているインターフェイスが前記ネットワークノードのインターフェイスに適合していないということである場合に、前記ネットワークノードの前記インターフェイスに適合しているインターフェイスへと、前記BGP FSルールの中で搬送されている前記実際に使用されているインターフェイスを修正するように構成される。

ある1つの実装において、前記操作ユニットは、特に、前記状況が、前記BGP FSルールがセキュリティ保護ポリシーと矛盾しているということである場合に、前記セキュリティ保護ポリシーと矛盾していないBGP FSルールへと前記BGP FSルールを修正するように構成される。

ある1つの実装において、前記操作ユニットは、特に、前記状況が、前記BGP FSルールがあらかじめ設定されている実装条件を満たさないということである場合に、前記ネットワークノードに前記第1の構成指示を送信するように構成され、前記第1の構成指示は、ターゲットパラメータを再構成するように前記ネットワークノードに指示するのに使用され、それによって、前記BGP FSルールは、前記あらかじめ設定されている実装条件を満たし、又は、前記第1の構成指示は、前記BGP FSルールが前記あらかじめ設定されている実装条件を満たすか否かの検証を中止するように前記ネットワークノードを構成するのに使用される。

ある1つの実装において、前記取得ユニットは、さらに、前記BGP FSルールのトラフィックマッチング情報を取得するように構成され、前記トラフィックマッチング情報は、前記BGP FSルールに適合するデータトラフィックの関連する情報であり、記憶ユニットは、さらに、前記トラフィックマッチング情報を格納するように構成される。

ある1つの実装において、前記操作ユニットは、さらに、前記トラフィックマッチング情報に基づいて、第2の操作を実行するように構成されるか、又は、前記送信ユニットは、さらに、前記第2のサーバに前記トラフィックマッチング情報を送信するように構成され、それによって、前記第2のサーバは、前記トラフィックマッチング情報に基づいて、第2の操作を実行する。

ある1つの実装において、前記操作ユニットは、特に、前記トラフィックマッチング情報を表示するようにディスプレイデバイスを制御するように構成される。

ある1つの実装において、前記操作ユニットは、特に、前記トラフィックマッチング情報が、あらかじめ設定されている条件を満たしているか否かを決定し、前記トラフィックマッチング情報が、前記あらかじめ設定されている条件を満たしていない場合には、前記トラフィックマッチング情報に基づいて、前記BGP FSルールを修正し、そして、前記ネットワークノードに、修正されているBGP FSルールを送信するように構成される。

ある1つの実装において、前記操作ユニットは、特に、前記トラフィックマッチング情報に基づいて、前記ネットワークノードに第2の構成指示を送信するように構成され、前記第2の構成指示は、前記ネットワークノードを構成するのに使用される。

ある1つの実装において、前記操作ユニットは、特に、前記状況が、前記BGP FSルールの優先順位が他のトラフィック制御ポリシーの優先順位よりも低いということを含む場合に、前記ネットワークノードに前記第2の構成指示を送信するように構成され、前記第2の構成指示は、前記他のトラフィック制御ポリシーの実装を中止するように前記ネットワークノードを構成するのに使用されるか、又は、前記BGP FSルールを優先的に実装するように前記ネットワークノードを構成するのに使用される。

ある1つの実装において、当該装置は、前記第2の構成指示が前記ネットワークノードに送信される前に、前記ネットワークノードを通過するデータトラフィックを分析して、分析結果を取得するように構成される分析ユニットをさらに含む。前記操作ユニットは、特に、前記分析結果が、前記ネットワークノードを通過する前記データトラフィックの中に異常なトラフィックが存在するということを示す場合に、前記ネットワークノードに前記第2の構成指示を送信するように構成される。

ある1つの実装において、前記操作ユニットは、特に、前記状況が、前記BGP FSルールの前記優先順位が他のトラフィック制御ポリシーの優先順位よりも低いということを含まない場合には、前記BGP FSルールを修正するように構成される。

ある1つの実装において、前記操作ユニットは、特に、前記BGP FSルールの構成パラメータを分析し、前記BGP FSルールを有効にさせないパラメータの組み合わせが存在するか否かを決定し、そして、前記パラメータの組み合わせが存在する場合には、前記パラメータの組み合わせを修正し、それによって、修正されているBGP FSルールは有効になる。

ある1つの実装において、前記操作ユニットは、特に、前記ネットワークノードを通過する前記データトラフィックを分析し、そして、分析結果に基づいて、前記BGP FSルールを修正するように構成される。

ある1つの実装において、前記送信ユニットは、さらに、前記ネットワークノードに、状況報告指示を送信するように構成され、前記状況報告指示は、当該データ処理装置に、前記ネットワークノードにおける前記BGP FSルールの実装の前記状況を報告するように前記ネットワークノードに指示するのに使用される。

ある1つの実装において、前記送信ユニットは、さらに、前記ネットワークノードにトラフィック情報報告指示を送信するように構成され、前記トラフィック情報報告指示は、当該データ処理装置に前記BGP FSルールの前記トラフィックマッチング情報を報告するように前記ネットワークノードに指示するのに使用され、前記トラフィックマッチング情報は、前記BGP FSルールに適合するデータトラフィックの関連する情報である。

ある1つの実装において、前記送信ユニットは、特に、当該データ処理装置が受信する前記状況が、前記BGP FSルールが前記ネットワークノードにおいて実装されているということであるときに、前記ネットワークノードに、前記トラフィック情報報告指示を送信するように構成される。

ある1つの実装において、前記BGP FSルールが前記ネットワークノードにおいて実装されていることは、前記BGP FSルールの実装が正常であること又は前記BGP FSルールの実装が異常であることを含む。

ある1つの実装において、前記BGP FSルールの実装が異常であることは、前記BGP FSルールの優先順位が、前記ネットワークノードにおいて実行されている他のトラフィック制御ポリシーの優先順位よりも低いということを含む。

ある1つの実装において、前記BGP FSルールが前記ネットワークノードにおいて実装されていないことは、前記BGP FSルールがBGP検証に失敗しているということ及び/又は前記BGP FSルールがBGP FS検証に失敗しているということを含む。

ある1つの実装において、前記BGP FSルールが前記BGP検証に失敗していることは、前記BGP FSルールが無効なパラメータを搬送しているということを含む。

ある1つの実装において、前記BGP FSルールが前記BGP FS検証に失敗していることは、前記BGP FSルールがあらかじめ設定されている実装条件を満たしていないということ、前記BGP FSルールの中で搬送されている実際に使用されているインターフェイスが、前記ネットワークノードのインターフェイスに適合していないということ、及び、前記BGP FSルールが前記ネットワークノードにおいて実行されているセキュリティ保護ポリシーと矛盾しているということ、のうちの1つ又は複数を含む。

第5の態様によれば、この出願の複数の実施形態は、プロセッサ及びメモリを含むデバイスを提供する。メモリは、命令を格納するように構成され、プロセッサは、メモリの中の命令を実行して、第1の態様のいずれかの実装にしたがった方法又は第2の態様のいずれかの実装にしたがった方法を実行するように構成される。

第6の態様によれば、この出願の複数の実施形態は、さらに、複数の命令を含むコンピュータ読み取り可能な記憶媒体を提供する。それらの複数の命令がコンピュータによって実行されるときに、コンピュータが、第1の態様のいずれかの実装にしたがった方法又は第2の態様のいずれかの実装にしたがった方法を実行することを可能とする。

第7の態様によれば、この出願の複数の実施形態は、複数の命令を含むコンピュータプログラム製品を提供する。それらの複数の命令がコンピュータによって実行されるときに、そのコンピュータが、第1の態様のいずれかの実装にしたがった方法又は第2の態様のいずれかの実装にしたがった方法を実行することを可能とする。

この出願の複数の実施形態における複数の技術的解決方法又は従来技術をより明確に説明するために、以下の記載は、それらの複数の実施形態又は従来技術を説明する際に使用される複数の添付の図面を簡単に説明している。以下の説明の中の添付の図面は、この出願の複数の実施形態のうちのいくつかを示しているということが明確であり、当業者は、創造的な努力を行うことなく、さらに、これらの複数の添付の図面から他の図面を導き出すことが可能である。

この出願のある1つの実施形態にしたがった例示的な適用シナリオの概略的な図である。 この出願のある1つの実施形態にしたがった情報報告方法のシグナリング対話図である。 この出願のある1つの実施形態にしたがった情報報告方法のシグナリング対話図である。 この出願のある1つの実施形態にしたがった情報報告装置の構成の概略的な図である。 この出願のある1つの実施形態にしたがったデータ処理装置の構成の概略的な図である。 この出願のある1つの実施形態にしたがったデバイスの構成の概略的な図である。

この出願の複数の実施形態は情報報告方法を提供して、従来の技術のBGP FSルールにしたがってトラフィック攻撃を効果的に防止することは不可能であるという問題を解決する。

この出願のそれらの複数の実施形態によって提供される解決方法の理解を容易にするために、最初に簡単にBGP FSルートを説明する。

BGP FSルートは、新たなBGPネットワーク層到達可能性情報及び新たな拡張コミュニティ属性を含む。その新たなネットワーク層到達可能性情報及びその新たな拡張コミュニティ属性を使用することによって、BGP FSルートは、対応するBGP FSルールを搬送してもよく、BGP FSルールは、また、トラフィック制御ポリシーであると考えられてもよい。具体的には、BGP FSルールは、トラフィックマッチング条件及びトラフィックマッチングの後の対応するトラフィック処理動作を含んでもよい。現在、トラフィックマッチング条件は、ネットワーク層到達可能性情報としてBGP FSルートの中で搬送され、トラフィック処理動作は、拡張コミュニティ属性としてBGP FSルートの中で搬送される。

トラフィックマッチング条件は、宛先アドレスに基づくマッチング、送信元アドレスに基づくマッチング、インターネットプロトコル(Internet Protocol, IP)プロトコル番号に基づくマッチング、ポート番号に基づくマッチング、宛先ポート番号に基づくマッチング、送信元ポート番号に基づくマッチング、インターネット制御メッセージプロトコル(Internet Control Message Protocol, ICMP)タイプに基づくマッチング、ICMPコーディングに基づくマッチング、伝送制御プロトコル(Transmission Control Protocol, TCP)のフラグビットに基づくマッチング、差分化サービスコードポイント(differentiated services code point, DSCP)に基づくマッチング、及びスライスタイプに基づくマッチングの12個のマッチング方式を含んでもよい。トラフィック処理動作は、トラフィック廃棄、トラフィック制限、パケットのDSCP値の修正、及び仮想プライベートネットワーク(virtual private network, VPN)へのリダイレクトの4つのタイプを含んでもよい。

以下の記載は、複数の添付の図面を参照して、この出願の複数の実施形態の適用シナリオを簡潔に説明する。図1は、この出願のある1つの実施形態にしたがった例示的な適用シナリオの概略的な図である。

自律システム(autonomous system, AS)100は、ネットワークデバイス101、ネットワークデバイス102、及びネットワークデバイス103を含む。ネットワークデバイス101、ネットワークデバイス102、及びネットワークデバイス103は、ルータであってもよく又はスイッチであってもよい。このことは、この出願のそれらの複数の実施形態においては特に限定されない。ネットワークデバイス101は、プロバイダエッジ(provider edge, PE)デバイスであってもよく、ネットワークデバイス101は、例えば、AS100のネットワークエッジノードであってもよい。

攻撃トラフィックを防止するために、サーバ200、ネットワークデバイス101、及びネットワークデバイス102のBGP FSピア関係をセットアップしてもよく、ネットワークデバイス101、ネットワークデバイス102、及びネットワークデバイス103のBGP FSピア関係をセットアップしてもよい。このように、例えば、サーバ200は、ネットワークデバイス102及びネットワークデバイス103にトラフィックサンプリング機能を配置してもよい。例えば、サーバ200は、ネットストリーム(netstream)を使用することによって、ネットワークデバイス102及びネットワークデバイス103を通過するトラフィックをサンプリングしてもよい。サーバ200は、そのサンプリングされたトラフィックを分析して、異常なトラフィックが存在するか否かを決定する。異常なトラフィックが存在する場合に、サーバ200は、その異常なトラフィックに対応するBGP FSルートを生成する。例えば、サーバ200がサンプリングされたトラフィックを分析した後に、サーバ200が、IPプロトコル番号が193である大きな量の攻撃トラフィックがネットワークデバイス102において発生しているということを決定する場合に、サーバ200は、IPプロトコル番号が193であるデータパケットを傍受するように指示するBGP FSルートを生成する。そのBGP FSルートを生成した後に、サーバ200は、ネットワークデバイス101又はネットワークデバイス102にそのBGP FSルートを送信する。そのBGP FSルートを受信した後に、ネットワークデバイス101又はネットワークデバイス102は、そのBGP FSルートを構文解析して、対応するBGP FSルールを決定してもよい。理想的な場合には、ネットワークデバイス101は、そのBGP FSルールを実装して、異常なトラフィックを制御してもよい。サーバ200がネットワークデバイス101にそのBGP FSルートを送信する場合に、ネットワークデバイス101は、そのASのネットワークエッジノードであるため、そのAS100のネットワーク入口又はネットワーク出口においてその異常なトラフィックを制御することが可能であるということを理解することが可能である。

実際の適用においては、サーバ200からBGP FSルートを受信した後に、ネットワークデバイス101又はネットワークデバイス102は、理想的なケースの中で説明されているように、BGP FSルールを実装しなくてもよいということを理解することが可能である。しかしながら、現時点では、いずれのデバイスも、ネットワークデバイス101等のネットワークノードにおけるBGP FSルールの実装の状況をモニタリングしていない。それに対応して、サーバ200は、ネットワークノードにおけるBGP FSルールの実装の状況に基づいて、BGP FSルールによって攻撃トラフィックを防止する効果を評価することが不可能であり、必要なときに対応する調整を実行することが不可能であり、攻撃トラフィックを効果的に防止することが不可能である。

図1に示されているように、図1は、サーバ200のほかにサーバ300をさらに含む。サーバ300は、BGPモニタリングプロトコル(BGP Monitoring Protocol, BMP)サーバであってもよい。BMPサーバは、リアルタイムでネットワークデバイスのBGP実行状況をモニタリングしてもよい。BGP実行状況は、ピア関係の確立及び終了、及び、ルーティング情報の更新等を含む。ネットワークデバイスは、BMPプロトコルにしたがってBMPサーバにメッセージを送信して、BMPサーバにネットワークデバイスのBGP実行状況を送信してもよい。図1に示されているシナリオにおいて、ネットワークデバイス101、ネットワークデバイス102、及びネットワークデバイス103は、サーバ300に、ネットワークデバイス101、ネットワークデバイス102、及びネットワークデバイス103のBGP実行状況を報告してもよい。表1を参照して、ネットワークデバイスがBMPプロトコルにしたがってBMPサーバに送信するメッセージを理解することが可能である。

加えて、BMPによってBGP FSローカルルーティング情報ベース(local routing information base, Local-RIB)をモニタリングする機能が配置されているネットワークデバイスの場合には、そのネットワークデバイスは、BMPサーバに、受信したBGP FSルートを報告してもよい。例えば、BMPによってBGP FS Local-RIBをモニタリングする機能がネットワークデバイス101に配置されている場合に、BGP FSルートを受信した後に、ネットワークデバイス101は、BMPサーバにBGP FSルートを報告する。ところが、ネットワークデバイス101は、BMPサーバにBGP FSルートを報告するにすぎない。したがって、たとえ、サーバ200がネットワークデバイス101からBGP FSルートを受信する場合であっても、サーバ200は、ネットワークデバイス101におけるBGP FSルールの実装の状況を知ることは不可能である。結果として、BGP FSが攻撃トラフィックを効果的に防止することが不可能であるという問題は、依然として存在する。

その問題を解決するために、この出願のそれらの複数の実施形態は、情報報告方法を提供する。以下の記載は、図1に示されているシナリオを参照して、その情報報告方法を説明する。

この出願のそれらの複数の実施形態によって提供される情報報告方法を説明する前に、さらに、図1は、理解を容易にするために示されているにすぎず、この出願のそれらの複数の実施形態に対するいかなる限定も構成しないということに留意すべきである。実際の適用においては、ASに含まれているネットワークデバイスの数は、図1に示されている3つには限定されない。加えて、この出願のそれらの複数の実施形態におけるサーバは、デバイスであってもよく又は機能モジュールであってもよい。このことは、この出願のそれらの複数の実施形態においては特に限定されない。この出願のそれらの複数の実施形態におけるサーバが、機能モジュールであるときに、その機能モジュールは、さまざまなデバイスにおいて実行されてもよい。機能モジュールが実行されているデバイスは、この出願のそれらの複数の実施形態においては特に限定されない。そのデバイスは、ネットワークノード又は端末デバイス等であってもよい。本明細書においては、詳細は説明されない。言い換えると、サーバ200及びサーバ300は、2つの独立したデバイスであってもよく、又は、一体化されて1つのデバイスとなっていてもよい。代替的に、サーバ200及びサーバ300は、同じデバイスにおいて実行されている2つの機能モジュールであってもよく、又は、2つの異なるデバイスにおいて実行されている2つの機能モジュールであってもよい。

図2は、この出願のある1つの実施形態にしたがった情報報告方法のシグナリング対話図である。この出願のこの実施形態によって提供される情報報告方法は、S101、S102、及びS103によって実装されてもよい。

S101: ネットワークノードは、ネットワークノードにおけるBGP FSルールの実装の状況を取得する。

本明細書におけるネットワークノードは、例えば、図1に示されているネットワークデバイス101であってもよいということに留意すべきである。ネットワークノードは、例えば、図1に示されているサーバ200等のサーバからBGP FSルートを受信してもよく、そのBGP FSルートは、BGP FSルールを搬送している。BGP FSルートを受信した後に、ネットワークノードは、そのBGP FSルートを構文解析して、そのBGP FSルートの中で搬送されているBGP FSルールを決定してもよい。さらに、ネットワークノードは、そのBGP FSルールを実装してもよい。

この出願のこの実施形態において、ネットワークノードにおけるBGP FSルールの実装の状況は、そのBGP FSルールがネットワークノードにおいて実装されているということを示すのに使用されるか、又は、そのBGP FSルールがネットワークノードにおいて実装されていないということを示すのに使用される。実際の適用においては、ネットワークノードは、ネットワークノードにおけるBGP FSルールの実装の状況を記録する。したがって、ネットワークノードは、対応する記憶ファイルを読み取って、ネットワークノードにおけるBGP FSルールの実装の状況を取得してもよい。

この出願のこの実施形態においては、その状況が、より詳細にネットワークノードにおけるBGP FSルールの実装の状況を反映することを可能とするために、この出願のこの実施形態のある1つの実装において、実際の適用の場合に、ネットワークノードにおいて実装されているBGP FSルールは、正常な実装及び異常な実装の少なくとも2つの場合を含んでもよい。正常な実装は、BGP FSルールが、BGP最良経路選択プロセスに正しく参加し、且つ、BGP FSルールが、実装されているときに、他の要因によって干渉されないということを意味する。異常な実装は、BGP FSルールがBGP最良経路選択プロセスに正しく参加しているが、BGP FSルールが、実装されているときに、他の要因によって干渉されるということを意味する。この観点から、BGP FSルールがネットワークノードにおいて実装されていることは、ネットワークノードにおけるBGP FSルールの実装が正常であるということ、又は、ネットワークノードにおけるBGP FSルールの実装が異常であるということ、を含んでもよい。

実際の適用においては、さらに、ネットワークノードにおいて、例えば、アクセス制御リスト(access control list, ACL)が示すトラフィック制御ポリシー又はポリシールール(policy based routing, PBR)が示すトラフィック制御ポリシー等の他のトラフィック制御ポリシーを実行してもよい。BGP FSルールの優先順位が、他のトラフィック制御ポリシーの優先順位よりも低い場合には、ネットワークノードを通過するトラフィックは、最初に、他のトラフィック制御ポリシーによって処理され、その次に、そのBGP FSルールによって処理されるため、これらの他のトラフィック制御ポリシーは、ネットワークノードにおけるそのBGP FSルールの実装と干渉する。言い換えると、この出願のこの実施形態のある1つの実装において、ネットワークノードにおけるBGP FSルールの実装が異常であることは、BGP FSルールの優先順位が、他のトラフィック制御ポリシーの優先順位よりも低いということを意味してもよい。

それに対応して、状況が、BGP FSルールがネットワークノードにおいて実装されていないということである場合には、さらに、BGP FSルールがネットワークノードにおいて実装されていない理由を反映させるように、この出願のこの実施形態のある1つの実装において、状況は、さらに、BGP FSルールがネットワークノードにおいて実装されていない具体的な理由を示してもよい。

具体的には、ある1つの実装において、BGP FSルールを取得した後に、ネットワークノードは、最初に、BGP FSルールを検証し、そして、BGP FSルールが検証に成功した後にのみ、ネットワークノードは、そのBGP FSルールを実装してもよい。BGP FSルールに対して実行される検証は、BGP検証及び/又はBGP FS検証を含んでもよい。BGP FSルールがBGP検証に失敗している場合、又は、BGP FSルールがBGP FS検証に失敗している場合には、ネットワークノードは、もはや、そのBGP FSルールを実装しない。したがって、この出願のこの実施形態において、BGP FSルールがネットワークノードにおいて実装されていないことは、BGP FSルールがBGP検証に失敗しているということ及び/又はBGP FSルールがBGP FS検証に失敗しているということ以下を含んでもよい。

実際の適用においては、BGP FSルールがBGP検証に失敗している理由は、通常は、BGP FSルールが無効なパラメータを搬送しているということであってもよいということに留意すべきである。無効なパラメータは、少なくとも2つの場合に該当してもよい。1つは、ネットワークノードが処理することが不可能であるパラメータが、そのBGP FSルールの中に存在するということである。例えば、BGP FSルールは、インターネットプロトコルバージョン6(Internet Protocol Version 6, IPv6)の次のホップにリダイレクトするということを示している。一方で、ネットワークノードは、IPv6の次のホップへのリダイレクトをサポートしていない。もう1つは、無効な自律システム(autonomous system, AS)経路が、そのBGP FSルールの中に存在するということである。例えば、BGP FSルールの中で搬送されているAS識別子は、ネットワークノードに対応するAS識別子に等しい。他の例では、BGP FSルールの中で搬送されているAS識別子は、第2のサーバに対応するAS識別子と等しくはない。

BGP FSルールがBGP FS検証に失敗している場合には、ある1つの実装において、通常は、ネットワークノードは、1つ又は複数のインターフェイスを含んでもよく、BGP FSルールは、通常、BGP FSルールの実際に使用されているインターフェイスを搬送するということに留意すべきである。BGP FSルールの中で搬送されている実際に使用されているインターフェイスが、ネットワークノードのインターフェイスに適合していない場合には、ネットワークノードにおいてそのBGP FSルールを実装することは不可能である。この場合には、BGP FSルールがネットワークノードにおいて実装されていないことは、BGP FSルールの中で搬送されている実際に使用されているインターフェイスが、ネットワークノードのインターフェイスに適合していないということであってもよい。

本明細書における実際に使用されているインターフェイスは、1つのインターフェイスであってもよく、複数のインターフェイスであってもよいということに留意すべきである。このことは、この出願のこの実施形態においては特に限定されない。複数の実際に使用されているインターフェイスが存在するときに、例えば、BGP FSルールは、複数のインターフェイスの識別子を搬送していてもよい。

ある1つの実装において、実際の適用においては、さらに、ネットワークノードにおいて、対応するセキュリティ保護ポリシーを構成してもよい。BGP FSルールが、そのセキュリティ保護ポリシーと矛盾している場合には、ネットワークノードにおいてそのBGP FSルールを実装することは不可能である。例えば、ネットワークノードにおけるセキュリティ保護ポリシーは、指定されたIPプレフィックス又は指定されたプロトコルを使用するパケットに対するトラフィック制限を禁止することを示し、BGP FSルールは、指定されたIPアドレスを有するパケットに対するトラフィック制限を実行することである。結果として、ネットワークノードにおいてそのBGP FSルールを実装することは不可能である。この場合には、BGP FSルールがネットワークノードにおいて実装されていないことは、BGP FSルールがセキュリティ保護ポリシーと矛盾しているということであってもよい。

加えて、通常、さらに、BGP FSルールのために、ネットワークノードにおいてあらかじめ設定されている実装条件を設定してもよく、BGP FSルールがあらかじめ設定されている実装条件を満たすときにのみ、ネットワークノードは、BGP FSルールを実装することが可能である。あらかじめ設定されている実装条件に関して、ある1つの実装において、デバイスのすべてが、実際の適用において、BGP FSルールを実装するための要件を満たしているわけではないということに留意すべきである。例えば、ルートリフレクタは、ルートを転送するように構成されているにすぎず、BGP FSルールを実装しない。したがって、通常は、あらかじめ設定されている実装条件は、そのネットワークノードがそのBGP FSルールを実装することは許可されないということを含んでもよい。ネットワークノードがそのBGP FSルールを実装することを許可しないように構成されている場合には、ネットワークノードにおけるそのBGP FSルールの実装の状況は、明らかに、BGP FSルールが実装されていないということであるということを理解することが可能である。他の実装において、実際の適用においては、ネットワークノードがBGP FSルールを実装するために占有するリソースを制御するために、ネットワークノードは、実装されるBGP FSルールの数の上限を設定してもよい。受信したBGP FSルールの数が、数の上限を超えるときに、BGP FSルールは、あらかじめ設定されている実装条件を満たしていないということを決定する。代替的に、ネットワークデバイスは、トラフィックマッチング条件の数の上限を設定してもよい。BGP FSルールが示すトラフィックマッチング条件が、トラフィックマッチング条件の数の上限を超えるということを決定するときに、ネットワークノードは、BGP FSルールがあらかじめ設定されている実装条件を満たしていないということを決定する。代替的に、ネットワークデバイスは、トラフィック処理動作の数の上限を設定してもよく、BGP FSルールが示すトラフィック処理動作が、トラフィック処理動作の数の上限を超えるということを決定するときに、ネットワークノードは、BGP FSルールがあらかじめ設定されている実装条件を満たしていないということを決定する。代替的に、ネットワークノードは、BGP FSルールに特定の量のメモリを割り当て、BGP FSルールに対応する利用可能なメモリが十分ではないということを決定するときに、ネットワークノードは、BGP FSルールがあらかじめ設定されている実装条件を満たしていないということを決定する。

S102: ネットワークノードは、第1のサーバに状況を送信する。

状況を取得した後に、ネットワークノードは、第1のサーバに状況を送信してもよい。ネットワークノードが第1のサーバに状況を送信した後に、第1のサーバは、その状況に基づいて、ネットワークノードにおけるBGP FSルールの実装の状況を決定してもよい。本明細書における第1のサーバは、図1に示されているサーバ200であってもよく、又は、図1に示されているサーバ300であってもよいということに留意すべきである。このことは、この出願のこの実施形態においては特に限定されない。一方で、実際の適用においては、BMPサーバは、通常、リアルタイムでネットワークデバイスのBGP実行状況をモニタリングする。したがって、選択的な解決方法においては、第1のサーバは、BMPサーバ、すなわち、図1に示されているサーバ300であってもよい。この出願のこの実施形態の以下の説明においては、別段の定めがある場合を除き、第1のサーバは、図1に示されるサーバ300に対応する。

上記のように、BMPによってBGP FS Local-RIBをモニタリングする機能がネットワークノード上に配置されている場合に、BGP FSルートを受信した後に、ネットワークノードは、BMPサーバにBGP FSルートを報告する。加えて、ネットワークノードは、表1に示されているRMメッセージを使用することによって、BMPサーバに、受信したBGP FSルートを報告してもよい。この観点から、この出願のこの実施形態のある1つの実装において、ネットワークノードは、キャリアとしてRMメッセージを使用し、そして、第1のサーバに、ネットワークノードにおけるBGP FSルールの実装の状況を含むRMメッセージを送信してもよい。具体的には、ネットワークノードは、RMメッセージに、ネットワークノードにおけるBGP FSルールの実装の状況を追加し、そして、その次に、第1のサーバに、その状況が追加されているRMメッセージを送信してもよい。この出願のこの実施形態においては、RMメッセージは、RMメッセージの拡張フィールドの中で状況を搬送するように拡張されてもよい。例えば、状況は、拡張されたtype-length-value(type length value, TLV)フィールドの中で搬送されてもよい。

加えて、BMPによってBGP FS Local-RIBをモニタリングする機能がネットワークノードに配置されていないときに、BMPによってBGP FS Local-RIBをモニタリングする機能がネットワークノードに配置されていないため、ネットワークノードは、第1のサーバにBGP FSルートを送信しない。それに対応して、RMメッセージによって第1のサーバに、ネットワークノードにおけるBGP FSルールの実装の状況を送信することは不可能である。この場合には、第1のサーバは、ネットワークノードに状況報告指示を送信してもよい。状況報告指示は、第1のサーバに、ネットワークノードにおけるBGP FSルールの実装の状況を報告するようにネットワークノードに指示するのに使用される。言い換えると、第1のサーバから状況報告指示を受信した後に、ネットワークノードは、S101及びS102を実行してもよい。

状況報告指示のフレーム構造は、この出願のこの実施形態においては特に限定されないということに留意すべきである。ある1つの例では、状況報告指示は、アドレスファミリー識別子(address family identifier, AFI)及び後続のアドレスファミリー識別子(subsequent AFI, SAFI)を搬送してもよい。AFI及びSAFIに適合している各々のBGP FSルールについて、ネットワークノードは、第1のサーバに、ネットワークノードにおける各々のBGP FSルールの実装の状況を報告してもよい。他の例では、状況報告指示は、BGP FSルールの識別子を搬送し、ネットワークノードは、第1のサーバに、ネットワークノードにおける識別子に対応するBGP FSルールの実装の状況を報告してもよい。もちろん、状況報告指示は、本明細書においては1つずつ説明することはない他のフィールドをさらに含んでもよい。

この出願のこの実施形態において、状況報告指示を受信した後に、ネットワークノードは、周期的に、S101及びS102を実行してもよく、又は、確実に、S101及びS102を1回のみ実行してもよい。このことは、この出願のこの実施形態においては特に限定されない。ネットワークノードが周期的にS101及びS102を実行する解決方法においては、この出願のこの実施形態のある1つの実装において、第1のサーバは、さらに、ネットワークノードに状況報告停止指示を送信して、ネットワークノードにおけるBGP FSルールの実装の状況をもはや報告しないようにネットワークノードに指示してもよい。例えば、第1のサーバは、ネットワークノードが報告するネットワークノードにおけるBGP FSルールの実装の状況に基づいて、ある時間期間においてBGP FSルールの実装が正常であるということを決定し、したがって、ネットワークノードにおけるBGP FSルールの実装の状況をモニタリングしない。この場合には、第1のサーバは、ネットワークノードに状況報告停止指示を送信してもよい。

この出願のこの実施形態において、状況報告指示及び状況報告停止指示は、同じフレーム構造を使用してもよく、フィールドの値は、状況報告指示と状況報告停止指示とを区別するのに使用される。例えば、第1のサーバが配送する第1の指示の中の最初のフィールドの値が1であるときに、第1の指示は、状況報告指示であり、第1の指示の中の最初のフィールドの値が0であるときに、第1の指示は、状況報告停止指示である。

S103: 第1のサーバは、受信した状況を格納する。

この出願のこの実施形態において、第1のサーバが、ネットワークノードにおけるBGP FSルールの実装の状況を受信した後に、第1のサーバは、その状況を格納してもよい。具体的には、第1のサーバは、メモリの中にその状況を格納してもよい。必要に応じて、第1のサーバは、メモリから、ネットワークノードにおけるBGP FSルールの実装の状況を読み取り、そして、例えば、その状況に基づいて第1の操作を実行するといったように、その状況に基づいて、他の操作を実行してもよい。もちろん、第1のサーバは、代替的に、第2のサーバにその状況を送信してもよく、第2のサーバは、その状況に基づいて第1の操作を実行する。実際の適用においては、通常は、第1の操作は、BGP FSルールに関連しているということに留意すべきである。したがって、この出願のこの実施形態において、第2のサーバは、例えば、図1に示されているサーバ200等のBGP FSルールを生成するサーバであってもよい。上記のように、第1のサーバ及び第2のサーバは、同じデバイスにおいて実行されてもよく、複数の異なるデバイスにおいて実行されてもよい。第1のサーバ及び第2のサーバが1つのデバイスにおいて実行されるときに、第1のサーバは、その状況に基づいて、第1の操作を実行してもよいということを理解することが可能である。第1のサーバ及び第2のサーバが2つのデバイスにおいて実行されるときに、第1のサーバは、第2のサーバに状況を送信してもよく、第2のサーバは、その状況に基づいて、第1の操作を実行する。第1のサーバがその状況に基づいて第1の操作を実行する特定の実装は、第2のサーバがその状況に基づいて第1の操作を実行する特定の実装と同じである。以下の記載は、説明のために、第1のサーバがその状況に基づいて第1の操作を実行するある1つの例を使用する。

この出願のこの実施形態のある1つの実装において、ネットワーク管理者が、ネットワークノードにおけるBGP FSルールの実装の状況を知ることを可能とするために、第1のサーバは、状況を表示するようにディスプレイデバイスを制御してもよい。このように、ネットワーク管理者は、ディスプレイデバイスに表示されているコンテンツを使用することによって、ネットワークノードにおけるBGP FSルールの実装の状況を決定することが可能である。さらに、ネットワーク管理者は、状況に基づいて、対応する調整を実行してもよい。本明細書におけるディスプレイデバイスは、ディスプレイであってもよい。ディスプレイは、第1のサーバのディスプレイであってもよく、又は、他のデバイスのディスプレイであってもよい。このことは、この出願のこの実施形態においては特に限定されない。

この出願のこの実施形態の他の実装において、BGP FSルールが、ネットワークノードにおいて実装されて、攻撃トラフィックを制御することを可能とするために、状況が、BGP FSルールがネットワークノードにおいて実装されていないということを示している場合に、特定の実装の際に、第1のサーバは、BGP FSルールがネットワークノードにおいて実装されることを可能とする目的で、その状況に基づいて、第1の操作を実行してもよい。具体的には、S101でのネットワークノードにおけるBGP FSルールの実装の状況の説明から、BGP FSルールは、BGP FSルールの構成パラメータ又はネットワークノードの構成に起因して、ネットワークノードにおいて実装されないということを理解することが可能である。したがって、この出願のこの実施形態において、第1のサーバは、ネットワークノードにおけるBGP FSルールの実装の状況に基づいて、BGP FSルールがネットワークノードにおいて実装されない理由を決定し、さらに、その決定された理由に基づいて、第1の操作を実行してもよい。

具体的には、BGP FSルールが、そのBGP FSルールの構成パラメータに起因して、ネットワークノードにおいて実装されていないということを、第1のサーバが決定する場合に、第1の操作を実行するときは、例えば、第1のサーバは、BGP FSルールを修正し、そして、特定の実装の際に、ネットワークノードに、その修正されているBGP FSルールを送信し、それによって、ネットワークノードは、修正されているBGP FSルールを実装する。BGP FSルールが、ネットワークノードの構成に起因して、ネットワークノードにおいて実装されていないということを、第1のサーバが決定する場合に、第1の操作を実行するときは、例えば、第1のサーバは、特定の実装の際に、ネットワークノードに第1の構成指示を送信してもよい。その第1の構成指示は、ネットワークノードを再構成するのに使用される。このように、ネットワークノードは、BGP FSルールを実装することが可能である。

以下の記載は、第1のサーバが状況に基づいてBGP FSルールを修正し、第1のサーバがネットワークノードに第1の構成指示を送信する複数の特定の実装を個別に説明する。

"第1のサーバが状況に基づいてBGP FSルールを修正する"特定の実装を最初に説明する。

S101でのネットワークノードにおけるBGP FSルールの実装の状況の説明から、状況は、BGP FSルールがBGP検証に失敗しているということを示していてもよいということを理解することが可能である。一方で、BGP FSルールがBGP検証に失敗していることは、BGP FSルールが無効なパラメータを搬送しているということを含んでもよい。この場合には、第1のサーバは、BGP FSルールを修正してもよく、それによって、修正されているBGP FSルールは、BGP検証に成功する。このように、第1のサーバがネットワークノードに修正されているBGP FSルールを送信した後に、ネットワークノードは、BGP FSルールを実装してもよい。具体的には、第1のサーバは、BGP FSルールの中で搬送されている無効なパラメータを決定し、そして、有効なパラメータへとその無効なパラメータを修正してもよい。例えば、第1のサーバは、BGP FSルールの中に存在し、且つ、ネットワークノードが処理することが不可能であるパラメータをネットワークノードが処理することが可能であるパラメータへと修正し、そして、ネットワークノードにその修正されているBGP FSルールを送信してもよい。他の例では、第1のサーバは、有効なAS経路へとBGP FSルールの中の無効なAS経路を修正し、そして、ネットワークノードにその修正されているBGP FSルールを送信してもよい。

S101でのネットワークノードにおけるBGP FSルールの実装の状況の説明から、状況は、BGP FSルールの中で搬送されている実際に使用されているインターフェイスが、ネットワークノードのインターフェイスに適合していないということを示してもよいということを理解することが可能である。この場合には、BGP FSルールの中で搬送されている実際に使用されているインターフェイスは、ネットワークノードのインターフェイスに適合していないため、ネットワークノードにおいてBGP FSルールを実装することは不可能である。したがって、第1のサーバは、BGP FSルールを修正してもよい。具体的には、第1のサーバは、ネットワークノードのインターフェイスに適合するインターフェイスへと、BGP FSルールの中で搬送されている実際に使用されているインターフェイスを修正し、そして、ネットワークノードにその修正されているBGP FSルールを送信してもよい。このように、ネットワークノードは、BGP FSルールを実装することが可能である。

S101でのネットワークノードにおけるBGP FSルールの実装の状況の説明から、状況は、BGP FSルールがセキュリティ保護ポリシーと矛盾しているということを示してもよいということを理解することが可能である。この場合には、第1のサーバは、BGP FSルールを修正してもよい。具体的には、第1のサーバは、セキュリティ保護ポリシーと矛盾していないBGP FSルールへとそのBGP FSルールを修正し、そして、ネットワークノードにその修正されているBGP FSルールを送信してもよい。このように、ネットワークノードは、BGP FSルールを実装することが可能である。例えば、ネットワークノードにおけるセキュリティ保護ポリシーは、第1のIPプレフィックスを有するパケットに対するトラフィック制限を禁止することを示し、BGP FSルールは、第1のIPプレフィックス及び第2のIPプレフィックスを有するパケットに対するトラフィック制限を実行することを示す。この場合には、第1のサーバは、BGP FSルールから、第1のIPプレフィックスを有するパケットに対するトラフィック制限を実行するためのトラフィック制御ポリシーを削除してもよい。

以下の記載は、"第1のサーバが、状況に基づいて、ネットワークノードに第1の構成指示を送信する"特定の実装を説明する。

S101でのネットワークノードにおけるBGP FSルールの実装の状況の説明から、状況は、BGP FSルールがBGP FS検証に失敗しているということを示してもよいということを理解することが可能である。BGP FSルールがBGP FS検証に失敗している理由は、そのBGP FSルールが、ネットワークノードがBGP FSルールを検証するのに使用する検証ルールにしたがっていない、すなわち、そのBGP FSルールが、あらかじめ設定されている実装条件を満たしていないということであってもよい。この場合には、第1のサーバは、ネットワークノードに第1の構成指示を送信してもよい。第1の構成指示は、ターゲットパラメータを再構成するようにネットワークノードに指示するのに使用され、ターゲットパラメータは、BGP FSルールがあらかじめ設定されている実装条件を満たすか否かを決定するのに使用されるパラメータである。このように、ネットワークノードがターゲットパラメータを再構成した後に、BGP FSルールは、あらかじめ設定されている実装条件を満たすことが可能となる。例えば、ターゲットパラメータは、BGP FSルールを実装するようにネットワークノードを構成することを可能とするパラメータ、上記で説明されているBGP FSルールの数の上限、上記で説明されているトラフィックマッチング条件の数の上限、上記で説明されているトラフィック処理動作の数の上限、又は、ネットワークノードがBGP FSルールに割り当てるメモリサイズであってもよい。もちろん、第1の構成指示は、代替的に、ある構成指示であってもよく、その構成指示は、BGP FSルールがあらかじめ設定されている実装条件を満たすか否かの検証を中止するようにネットワークノードを構成するのに使用される。ネットワークノードが、もはや、BGP FSルールがあらかじめ設定されている実装条件を満たすか否か検証しない場合には、ネットワークノードは、BGP FSルールを実装することが可能であるということを理解することが可能である。

上記の説明から、この出願のこの実施形態によって提供される解決方法によれば、第1のサーバは、ネットワークノードにおけるBGP FSルールの実装の状況を知ることが可能であるということを理解することが可能である。それに対応して、第1のサーバは、状況を格納し、そして、例えば、BGP FSルールを修正し、又は、ネットワークノードを再構成するといったように、必要がある場合に、状況に基づいて第1の操作を実行し、それによって、ネットワークノードにおいてそのBGP FSルールを実装することが可能として、攻撃トラフィックを効果的に防止する。

この出願のこの実施形態のある1つの実装において、BGF FSルールがネットワークノードにおいて実装されるときに、さらに、BGP FSルールのトラフィック制御効果を評価するために、ネットワークノードは、さらに、BGP FSルールのトラフィックマッチング情報を取得し、そして、第1のサーバにトラフィックマッチング情報を送信してもよい。トラフィックマッチング情報は、BGP FSルールに適合するデータトラフィックの関連する情報である。トラフィックマッチング情報は、この出願のこの実施形態においては特に限定されない。例えば、トラフィックマッチング情報は、BGP FSルールに適合するパケットの数であってもよく、又は、BGP FSルールに適合するパケットが占有するバイトの数であってもよい。

上記のように、BMPによってBGP FS Local-RIBをモニタリングする機能が、ネットワークノードに配置されている場合に、BGP FSルートを受信した後に、ネットワークノードは、BMPサーバにBGP FSルートを報告する。表1から、ネットワークノードがBMPサーバに送信するメッセージのタイプは、SRメッセージであるということを理解することが可能である。SRメッセージは、統計情報を搬送し、トラフィックマッチング情報は、また、統計情報であると考えられてもよい。この観点から、この出願のこの実施形態において、キャリアとして既存のSRメッセージを使用することによって、第1のサーバにトラフィックマッチング情報を送信してもよい。言い換えると、この出願のこの実施形態のある1つの実装において、ネットワークノードは、SRメッセージにBGP FSルールのトラフィックマッチング情報を追加し、そして、その次に、第1のサーバに、トラフィックマッチング情報が追加されているSRメッセージを送信してもよい。具体的には、ネットワークノードは、SRメッセージの拡張フィールドを使用して、トラフィックマッチング情報を搬送してもよい。例えば、トラフィックマッチング情報は、拡張TLVフィールドの中で搬送されてもよい。

加えて、BMPによってBGP FS Local-RIBをモニタリングする機能が、ネットワークノードに配置されていないときに、第1のサーバは、ネットワークノードにトラフィック情報報告指示を送信してもよく、トラフィック情報報告指示は、第1のサーバにトラフィックマッチング情報を報告するようにネットワークノードに指示するのに使用される。言い換えると、第1のサーバからトラフィック情報報告指示を受信した後に、ネットワークノードは、BGP FSルールのトラフィックマッチング情報を取得し、そして、第1のサーバにそのトラフィックマッチング情報を送信してもよい。トラフィック情報報告指示のフレーム構造は、この出願のこの実施形態においては特に限定されないということに留意すべきである。状況報告指示のフレーム構造と同様に、ある1つの例では、トラフィック情報報告指示は、AFI及びSAFIを搬送してもよい。他の例では、トラフィック情報報告指示は、BGP FSルールの識別子を搬送する。もちろん、トラフィック情報報告指示は、本明細書においては、1つずつ説明されない他のフィールドをさらに含んでもよい。

実際の適用においては、BGP FSルールがネットワークノードにおいて実装されていない場合に、必ずしも、BGP FSルールに適合するデータトラフィックは存在するわけではない。この観点から、この出願のこの実施形態のある1つの実装において、第1のサーバがネットワークノードから状況を受信し、その状況が、BGP FSルールがネットワークノードにおいて実装されているということを示すときにのみ、第1のサーバは、ネットワークノードにトラフィック情報報告指示を送信してもよく、第1のサーバとネットワークノードとの間のデータ交換を減少させる。

この出願のこの実施形態においては、トラフィック情報報告指示を受信した後に、ネットワークノードは、周期的にBGP FSルールのトラフィックマッチング情報を取得し、そして、第1のサーバにそのトラフィックマッチング情報を送信してもよい。もちろん、ネットワークノードは、代替的に、BGP FSルールのトラフィックマッチング情報を取得し、そして、第1のサーバに1回だけトラフィックマッチング情報を送信してもよい。このことは、この出願のこの実施形態においては特に限定されない。ネットワークノードによって、周期的に、BGP FSルールのトラフィックマッチング情報を取得し、そして、第1のサーバにそのトラフィックマッチング情報を送信するステップのために、この出願のこの実施形態のある1つの実装において、第1のサーバは、さらに、ネットワークノードにトラフィック情報報告停止指示を送信してもよい。その指示は、BGP FSルールのトラフィックマッチング情報をもはや報告しないようにネットワークノードに指示するのに使用される。例えば、第1のサーバが、ネットワークノードが報告するトラフィックマッチング情報に基づいて、BGP FSルールがある時間期間の中で攻撃トラフィックの傍受に成功しているということを決定し、したがって、第1のサーバがもはやBGP FSルールのトラフィックマッチング状況をモニタリングしない場合に、第1のサーバは、ネットワークノードにトラフィック情報報告停止指示を送信してもよい。

この出願のこの実施形態において、トラフィック情報報告指示及びトラフィック情報報告停止指示は、同じフレーム構造を使用してもよく、フィールドの値は、トラフィック情報報告指示とトラフィック情報報告停止指示とを区別するのに使用される。例えば、第1のサーバが配送する第2の指示の中の第2のフィールドの値が1であるときに、第2の指示は、トラフィック情報報告指示であり、第2の指示の中の第2のフィールドの値が0であるときに、第2の指示は、トラフィック情報報告停止指示である。

ネットワークノードからトラフィックマッチング情報を受信した後に、第1のサーバは、トラフィックマッチング情報を格納してもよく、さらに、そのトラフィックマッチング情報に基づいて、第2の操作を実行してもよい。代替的に、第1のサーバは、第2のサーバにトラフィックマッチング情報を送信し、第2のサーバは、そのトラフィックマッチング情報に基づいて、第2の操作を実行する。

第1のサーバがトラフィックマッチング情報に基づいて第2の操作を実行する特定の実装は、第2のサーバがトラフィックマッチング情報に基づいて第2の操作を実行する特定の実装と同じである。以下の記載は、説明のために、第1のサーバがトラフィックマッチング情報に基づいて第2の操作を実行するある1つの例を使用する。

この出願のこの実施形態のある1つの実装において、ネットワーク管理者が、ネットワークノードにおけるBGP FSルールのトラフィックマッチングの状況を知ることを可能とするために、第1のサーバは、トラフィックマッチング情報を表示するようにディスプレイデバイスを制御してもよい。このように、ネットワーク管理者は、ディスプレイデバイスに表示されているコンテンツを使用することによって、ネットワークノードにおけるBGP FSルールのトラフィックマッチングの状況を決定することが可能である。さらに、ネットワーク管理者は、トラフィックマッチング情報に基づいて、対応する調整を実行してもよい。本明細書におけるディスプレイデバイスは、ディスプレイであってもよい。ディスプレイは、第1のサーバのディスプレイであってもよく、又は、他のデバイスのディスプレイであってもよい。このことは、この出願のこの実施形態においては特に限定されない。

この出願のこの実施形態の他の実装において、BGP FSルールが攻撃トラフィックを効果的に制御することを可能とするために、トラフィックマッチング情報を取得した後に、第1のサーバは、さらに、トラフィックマッチング情報があらかじめ設定されている条件を満たすか否かを決定してもよい。本明細書において、トラフィックマッチング情報があらかじめ設定されている条件を満たすか否かを決定することは、BGF FSルールにしたがって実行されるトラフィック制御の効果が、期待値を満たすか否かを決定することを指す。あらかじめ設定されている条件は、この出願のこの実施形態においては特に限定されない。実際の適用においては、BGP FSルールは、そのネットワークノードを通過する履歴データトラフィックを分析することによって決定される異常なトラフィックについて定式化される。したがって、この出願のこの実施形態の実施において、あらかじめ設定されている条件は、また、異常なトラフィックに基づいて決定されてもよい、すなわち、そのネットワークノードを通過する履歴データトラフィックを分析することによって取得されてもよい。例えば、そのネットワークノードを通過する履歴データトラフィックを分析することによって、単位時間の中でネットワークノードを通過する攻撃トラフィックが、Mであるということを発見する場合に、トラフィックマッチング情報は、あらかじめ設定されている条件を満たす。例えば、あらかじめ設定されている条件は、単位時間の中でBGP FSルールが示すトラフィック制御ポリシーに適合するデータトラフィックが、M×k以上であってもよいということであり、kは比例係数である。もちろん、上記の説明は、理解を容易にするのみのために本明細書の中で提供され、この出願のこの実施形態に対する限定を構成しない。

第1のサーバが、取得したトラフィックマッチング情報があらかじめ設定されている条件を満たすということを決定する場合に、その決定は、BGP FSルールが攻撃トラフィックを効果的に防止することが可能であるということを示すということを理解することが可能である。第1のサーバが、取得したトラフィックマッチング情報があらかじめ設定されている条件を満たしていないということを決定する場合に、その決定は、BGP FSルールが効果的に攻撃トラフィックを防止することは不可能であるということを示す。BGP FSルールが攻撃トラフィックを効果的に防止することが不可能であるときに、第1のサーバは、さらに、BGP FSルールが効果的に攻撃トラフィックを防止することができない理由を決定し、そして、対応する調整を実行して、攻撃トラフィックを効果的に防止してもよい。

実際の適用においては、トラフィックマッチング情報があらかじめ設定されている条件を満たしていない理由が2つ存在してもよい。1つは、BGP FSルールの実装が、他のトラフィック制御ポリシーによって干渉を受けるということである。すなわち、上記のように、ネットワークノードにおけるBGP FSルールの実装は、異常である。もう1つは、BGP FSルールの構成である。第1の理由の場合には、この出願のこの実施形態においては、例えば、第1のサーバは、ネットワークノードを再構成してもよく、それによって、ネットワークノードにおけるBGP FSルールの実装は正常となる。第2の理由の場合には、この出願のこの実施形態においては、例えば、第1のサーバは、BGP FSルールを修正し、そして、ネットワークノードに、その修正されているBGP FSルールを送信してもよい。言い換えると、この出願のこの実施形態においては、第1のサーバは、さらに、特定の実装の際に、2つの実装におけるトラフィックマッチング情報に基づいて、第2の操作を実行してもよい。ある1つの実装において、トラフィックマッチング情報が、あらかじめ設定されている条件を満たしていないということを決定するときに、トラフィックマッチング情報に基づいて、ネットワークノードに第2の構成指示を送信し、第2の構成指示は、ネットワークノードを再構成するのに使用される。他の実装において、トラフィックマッチング情報が、あらかじめ設定されている条件を満たしていないということを決定するときに、トラフィックマッチング情報に基づいて、BGP FSルールを修正し、そして、ネットワークノードに、修正されているBGP FSルールを送信する。以下の記載は、それらの2つの実装を個別に説明する。

具体的には、第1のサーバは、最初に、ネットワークノードにおけるBGP FSルールの実装の取得した状況に基づいて、トラフィックマッチング情報があらかじめ設定されている条件を満たしていない理由が、ネットワークノードにおけるBGP FSルールの異常な実装であるか否かを決定してもよい。具体的には、第1のサーバが取得するネットワークノードにおけるBGP FSルールの実装の状況が、BGP FSルールの優先順位が他のトラフィック制御ポリシーの優先順位よりも低いということを含む場合に、その状況は、ネットワークノードにおけるBGP FSルールの実装が異常であるということを示す。それに対応して、第1のサーバは、ネットワークノードに第2の構成指示を送信してもよく、第2の構成指示は、他のトラフィック制御ポリシーの実装を中止するようにネットワークノードを構成するのに使用されるか、又は、BGP FSルールを優先的に実装するようにネットワークノードを構成するのに使用される。他のトラフィック制御ポリシーについては、実装状況情報の上記の説明を参照すべきである。本明細書においては、詳細は繰り返しては説明されない。

実際の適用においては、たとえ、BGP FSルールがネットワークノードにおいて実装されていなくても、他のトラフィック制御ポリシーが、攻撃トラフィックを効果的に防止することができる場合には、そのネットワークシステムは、依然として、正常に動作する。この観点から、この出願のこの実施形態のある1つの実装において、第1のサーバが取得するネットワークノードにおけるBGP FSルールの実装の状況が、BGP FSルールの優先順位が、他のトラフィック制御ポリシーの優先順位よりも低いということを含む場合には、第1のサーバは、さらに、そのネットワークノードを通過するデータトラフィックを分析し、そして、異常なトラフィックが存在するか否かを決定してもよい。異常なトラフィックが存在する場合には、その決定は、他のトラフィック制御ポリシーが攻撃トラフィックを効果的に防止していないということを示す。この場合には、第1のサーバは、ネットワークノードに第2の構成指示を送信する。異常なトラフィックが存在しない場合には、その決定は、他のトラフィック制御ポリシーが攻撃トラフィックを効果的に防止することが可能であるということを示す。この場合には、第1のサーバは、ネットワークノードに第2の構成指示を送信しなくてもよい。

第1のサーバが取得するネットワークノードにおけるBGP FSルールの実装の状況が、BGP FSルールの優先順位が他のトラフィック制御ポリシーの優先順位よりも低いということを含まない場合には、その状況は、BGP FSルールの実装が正常であるということを示す。それに対応して、第1のサーバは、トラフィックマッチング情報が、BGP FSルールの構成に起因して、あらかじめ設定されている条件を満たしていないということを決定してもよい。実際の適用においては、BGP FSルールの中のパラメータのうちのいくつかの組み合わせが、そのBGP FSルールを有効にさせない場合には、さらに、ネットワークノードにおいてBGP FSルールを実装した後も、攻撃トラフィックを効果的に防止することは不可能である。例えば、パラメータ1は、1000よりも小さいバイトを有するパケットに適合する必要があり、パラメータ2は、2000よりも大きいバイトを有するパケットに適合する必要がある。それらの2つのパラメータを組み合わせた後も、BGP FSルールを有効にすることは不可能である。他の例では、パラメータ3に対応するトラフィック処理動作は、VPNインスタンスにリダイレクトされ、パラメータ4に対応するトラフィック処理動作は、特定のIPアドレスにリダイレクトされる。2つのパラメータを組み合わせた後も、BGP FSルールを有効にすることは不可能である。この観点から、この出願のこの実施形態のある1つの実装において、第1のサーバは、BGP FSルールの構成パラメータを分析して、BGP FSルールを有効にさせないパラメータのうちのいくつかの組み合わせが、BGP FSルールの中に存在するか否かを決定してもよい。いくつかのパラメータの組み合わせが存在する場合には、第1のサーバは、パラメータを修正してもよく、それによって、修正されているBGP FSルールを有効にすることが可能である。加えて、BGP FSルールが示すトラフィック制御ポリシーが対象とするトラフィックが、実際には防止する必要がある攻撃トラフィックではない場合には、BGP FSルールを実装した後も、攻撃トラフィックを効果的に防止することは不可能である。例えば、攻撃トラフィックの宛先アドレスネットワークセグメントは、10.1.1.0/24であり、一方で、BGP FSルールのマッチング条件の中の宛先アドレスネットワークセグメントは、20.1.1.0/24である。この場合には、この出願のこの実施形態のある1つの実装において、第1のサーバは、そのネットワークノードを通過するデータトラフィックを分析し、そして、分析結果に基づいて、BGP FSルールを修正してもよい。具体的には、第1のサーバは、あらかじめ設定されている時間期間の中でそのネットワークノードを通過するデータトラフィックを分析することによって、攻撃トラフィックの特徴を決定し、そして、攻撃トラフィックのその特徴に基づいて、BGP FSルールを修正してもよい。例えば、第1の時間期間の中でネットワークノードを通過するデータトラフィックを分析した後に、第1のサーバは、宛先アドレスがネットワークセグメント10.1.1.0/24の中にある大きな量の攻撃トラフィックが存在し、且つ、BGP FSルールのマッチング条件の中の宛先アドレスが、ネットワークセグメント20.1.1.0/24の中にあるということを決定する。この場合には、第1のサーバは、BGP FSルールのマッチング条件の中の宛先アドレスが10.1.1.0/24に位置しているネットワークセグメントを修正する。あらかじめ設定されている時間期間は、この出願のこの実施形態においては特に限定されない。

上記の記載は、この出願の複数の実施形態によって提供される情報報告方法を説明し、以下の記載は、複数の添付の図面を参照して、この出願のそれらの複数の実施形態によって提供される情報報告方法を説明する。図3は、この出願のある1つの実施形態にしたがった情報報告方法のシグナリング対話図である。図3は、ネットワークノードと第1のサーバとの間のシグナリングの対話を示す。図3に示されているシナリオにおいて、上記で説明されている第2のサーバ及び第1のサーバは、一体化されて、1つのデバイスとなっているということに留意すべきである。図3は、理解を容易にするために、複数のステップのうちのいくつかを示しているが、このことは、この出願のこの実施形態に対する限定を構成しない。図3に示されている情報報告方法は、S201乃至S209によって実装されてもよい。

S201: 第1のサーバは、ネットワークノードにBGP FSルートを送信する。

S202: 第1のサーバは、ネットワークノードに状況報告指示を送信する。

S203: ネットワークノードは、ネットワークノードにおけるBGP FSルールの実装の状況を取得し、その状況は、BGP FSルールがネットワークノードにおいて実装されているということである。

ネットワークノードが受信するBGP FSルートは、BGP FSルールを搬送しているということを理解することが可能である。

S204: ネットワークノードは、第1のサーバに、取得した状況を送信する。

S205: 第1のサーバは、ネットワークノードにトラフィック情報報告指示を送信する。

S206: ネットワークノードは、BGP FSルールのトラフィックマッチング情報を取得する。

S207: ネットワークノードは、第1のサーバに、取得したトラフィックマッチング情報を送信する。

S208: 第1のサーバは、トラフィックマッチング情報があらかじめ設定されている条件を満たしていないということを決定し、受信した状況が示すBGP FSルールの優先順位が他のトラフィック制御ポリシーの優先順位よりも低いということを決定する。

S209: 第1のサーバは、ネットワークノードに第2の構成指示を送信し、第2の構成指示は、BGP FSルールを優先的に実装するようにネットワークノードを構成するのに使用される。

上記の複数の実施形態によって提供される情報報告方法によれば、この出願の複数の実施形態は、さらに、情報報告装置を提供する。その情報報告装置は、上記の複数の実施形態におけるネットワークノードが実行する情報報告方法を実行するように構成され、例えば、図2及び図3に示されているネットワークノードが実行するステップを実行するように構成される。複数の添付の図面を参照して、以下で、情報報告装置を説明する。

図4は、この出願のある1つの実施形態にしたがった情報報告装置の構成の概略的な図である。図4に示されている情報報告装置400は、例えば、取得ユニット401及び送信ユニット402を含んでもよい。

取得ユニット401は、ネットワークノードにおける境界ゲートウェイプロトコルフロー仕様BGP FSルールの実装の状況を取得するように構成され、その状況は、BGP FSルールがネットワークノードにおいて実装されているということを示すか、又は、その状況は、BGP FSルールがネットワークノードにおいて実装されていないということを示す。

送信ユニット402は、サーバに状況を送信するように構成される。

ある1つの実装において、送信ユニット402は、特に、
ルートモニタリングRMメッセージに状況を追加し、そして、サーバに、状況が追加されているRMメッセージを送信するように構成される。

ある1つの実装において、BGP FSルールがネットワークノードにおいて実装されていることは、BGP FSルールの実装が正常であるか、又は、BGP FSルールの実装が異常であることを含む。

ある1つの実装において、BGP FSルールの実装が異常であることは、以下のことを含む。

BGP FSルールの優先順位が、ネットワークノードにおいて実行されている他のトラフィック制御ポリシーの優先順位よりも低いということ。

ある1つの実装において、BGP FSルールがネットワークノードにおいて実装されていないことは、以下のことを含む。

BGP FSルールがBGP検証に失敗しているということ及び/又はBGP FSルールがBGP FS検証に失敗しているということ。

ある1つの実装において、BGP FSルールがBGP検証に失敗していることは、以下のことを含む。

BGP FSルールが無効なパラメータを搬送しているということ。

ある1つの実装において、BGP FSルールがBGP FS検証に失敗していることは、以下のことのうちのいずれか1つ又は複数を含む。

BGP FSルールがあらかじめ設定されている実装条件を満たしていないということ、
BGP FSルールの中で搬送されている実際に使用されているインターフェイスが、ネットワークノードのインターフェイスに適合していないということ、及び、
BGP FSルールがネットワークノードにおいて実行されているセキュリティ保護ポリシーと矛盾しているということ。

ある1つの実装において、状況が、BGP FSルールがネットワークノードにおいて実装されているということである場合に、取得ユニット401は、さらに、BGP FSルールのトラフィックマッチング情報を取得するように構成され、トラフィックマッチング情報は、BGP FSルールに適合するデータトラフィックの関連する情報である。

送信ユニット402は、さらに、サーバにトラフィックマッチング情報を送信するように構成される。

ある1つの実装において、送信ユニット402は、特に、
状況報告SRメッセージにトラフィックマッチング情報を追加し、そして、サーバに、トラフィックマッチング情報が追加されているSRメッセージを送信するように構成される。

ある1つの実装において、取得ユニット401は、特に、
サーバから状況報告指示を受信した後に、ネットワークノードにおけるBGP FSルールの実装の状況を取得するように構成される。

ある1つの実装において、取得ユニット401は、特に、
サーバからトラフィック情報報告指示を受信した後に、BGP FSルールのトラフィックマッチング情報を取得するように構成される。

装置400は、上記の方法の複数の実施形態においてネットワークノードが実行する情報報告方法に対応する装置であり、装置400の各々のユニットの具体的な実装は、上記の方法の複数の実施形態の概念と同じ概念を有する。したがって、装置400の各々のユニットの具体的な実装については、上記の方法の複数の実施形態におけるネットワークノードが実行する情報報告方法の説明を参照すべきである。本明細書においては、詳細は繰り返しては説明されない。

上記の複数の実施形態によって提供されるデータ処理方法によれば、この出願の複数の実施形態は、さらに、データ処理装置を提供する。そのデータ処理装置は、上記の複数の実施形態における第1のサーバが実行するデータ処理方法を実行するように構成され、例えば、図2及び図3に示されている第1のサーバが実行するステップを実行するように構成される。複数の添付の図面を参照して、以下で、データ処理装置を説明する。

図5は、この出願のある1つの実施形態にしたがったデータ処理装置の構成の概略的な図である。図5に示されている情報報告装置500は、例えば、取得ユニット501及び記憶ユニット502を含んでもよい。

取得ユニット501は、ネットワークノードにおける境界ゲートウェイプロトコルフロー仕様BGP FSルールの実装の状況を取得するように構成され、状況は、BGP FSルールがネットワークノードにおいて実装されているということを示すか、又は、状況は、BGP FSルールがネットワークノードにおいて実装されていないということを示す。

記憶ユニット502は、状況を格納するように構成される。

ある1つの実装において、BGP FSルールがネットワークノードにおいて実装されていることは、BGP FSルールの実装が正常であるか、又は、BGP FSルールの実装が異常であることを含む。

ある1つの実装において、BGP FSルールの実装が異常であることは、以下のことを含む。

BGP FSルールの優先順位が、ネットワークノードにおいて実行されている他のトラフィック制御ポリシーの優先順位よりも低いということ。

ある1つの実装において、BGP FSルールがネットワークノードにおいて実装されていないことは、以下のことを含む。

BGP FSルールがBGP検証に失敗しているということ及び/又はBGP FSルールがBGP FS検証に失敗しているということ。

ある1つの実装において、BGP FSルールがBGP検証に失敗していることは、以下のことを含む。

BGP FSルールが無効なパラメータを搬送しているということ。

ある1つの実装において、BGP FSルールがBGP FS検証に失敗していることは、以下のことのうちのいずれか1つ又は複数を含む。

BGP FSルールがあらかじめ設定されている実装条件を満たしていないということ、
BGP FSルールの中で搬送されている実際に使用されているインターフェイスが、ネットワークノードのインターフェイスに適合していないということ、及び、
BGP FSルールがネットワークノードにおいて実行されているセキュリティ保護ポリシーと矛盾しているということ。

ある1つの実装において、当該装置500は、
状況に基づいて第1の操作を実行するように構成される操作ユニットをさらに含むか、又は、
第2のサーバに状況を送信するように構成される送信ユニットをさらに含み、それによって、第2のサーバは、状況に基づいて第1の操作を実行する。

ある1つの実装において、操作ユニットは、特に、状況を表示するようにディスプレイデバイスを制御するように構成される。

ある1つの実装において、操作ユニットは、特に、
状況に基づいてBGP FSルールを修正し、そして、ネットワークノードに、修正されているBGP FSルールを送信するように構成される。

ある1つの実装において、操作ユニットは、特に、
状況に基づいて、ネットワークノードに、第1の構成指示を送信するように構成され、第1の構成指示は、ネットワークノードを構成するのに使用される。

ある1つの実装において、操作ユニットは、特に、
状況が、BGP FSルールがBGP検証に失敗しているということである場合に、BGP FSルールの中で搬送されている無効なパラメータを決定し、そして、無効なパラメータを有効なパラメータへと修正するように構成される。

ある1つの実装において、操作ユニットは、特に、
状況が、BGP FSルールの中で搬送されている実際に使用されているインターフェイスがネットワークノードのインターフェイスに適合していないということである場合に、ネットワークノードのインターフェイスに適合しているインターフェイスへと、BGP FSルールの中で搬送されている実際に使用されているインターフェイスを修正するように構成される。

ある1つの実装において、操作ユニットは、特に、
状況が、BGP FSルールがセキュリティ保護ポリシーと矛盾しているということである場合に、セキュリティ保護ポリシーと矛盾していないBGP FSルールへとBGP FSルールを修正するように構成される。

ある1つの実装において、操作ユニットは、特に、
状況が、BGP FSルールがあらかじめ設定されている実装条件を満たさないということである場合に、ネットワークノードに第1の構成指示を送信するように構成され、第1の構成指示は、ターゲットパラメータを再構成するようにネットワークノードに指示するのに使用され、それによって、BGP FSルールは、あらかじめ設定されている実装条件を満たし、又は、第1の構成指示は、BGP FSルールがあらかじめ設定されている実装条件を満たすか否かの検証を中止するようにネットワークノードを構成するのに使用される。

ある1つの実装において、取得ユニット501は、さらに、BGP FSルールのトラフィックマッチング情報を取得するように構成され、トラフィックマッチング情報は、BGP FSルールに適合するデータトラフィックの関連する情報である。

記憶ユニット502は、さらに、トラフィックマッチング情報を格納するように構成される。

ある1つの実装において、操作ユニットは、さらに、トラフィックマッチング情報に基づいて、第2の操作を実行するように構成され、又は、
送信ユニットは、さらに、第2のサーバにトラフィックマッチング情報を送信するように構成され、それによって、第2のサーバは、トラフィックマッチング情報に基づいて、第2の操作を実行する。

ある1つの実装において、操作ユニットは、特に、
トラフィックマッチング情報を表示するようにディスプレイデバイスを制御するように構成される。

ある1つの実装において、操作ユニットは、特に、
トラフィックマッチング情報が、あらかじめ設定されている条件を満たしているか否かを決定し、トラフィックマッチング情報が、あらかじめ設定されている条件を満たしていない場合には、トラフィックマッチング情報に基づいて、BGP FSルールを修正し、そして、ネットワークノードに、修正されているBGP FSルールを送信するように構成される。

ある1つの実装において、操作ユニットは、特に、
トラフィックマッチング情報に基づいて、ネットワークノードに第2の構成指示を送信するように構成され、第2の構成指示は、ネットワークノードを構成するのに使用される。

ある1つの実装において、操作ユニットは、特に、
状況が、BGP FSルールの優先順位が他のトラフィック制御ポリシーの優先順位よりも低いということを含む場合に、ネットワークノードに第2の構成指示を送信するように構成され、第2の構成指示は、他のトラフィック制御ポリシーの実装を中止するようにネットワークノードを構成するのに使用されるか、又は、BGP FSルールを優先的に実装するようにネットワークノードを構成するのに使用される。

ある1つの実装において、当該装置500は、
第2の構成指示がネットワークノードに送信される前に、ネットワークノードを通過するデータトラフィックを分析して、分析結果を取得するように構成される分析ユニットをさらに含む。

それに対応して、操作ユニットは、特に、
分析結果が、ネットワークノードを通過するデータトラフィックの中に異常なトラフィックが存在するということを示す場合に、ネットワークノードに第2の構成指示を送信するように構成される。

ある1つの実装において、操作ユニットは、特に、
状況が、BGP FSルールの優先順位が他のトラフィック制御ポリシーの優先順位よりも低いということを含まない場合には、BGP FSルールを修正するように構成される。

ある1つの実装において、操作ユニットは、特に、
BGP FSルールの構成パラメータを分析して、BGP FSルールを有効にさせないパラメータの組み合わせが存在するか否かを決定し、そして、
パラメータの組み合わせが存在する場合には、パラメータの組み合わせを修正し、それによって、修正されているBGP FSルールは有効になる、ように構成される。

ある1つの実装において、操作ユニットは、特に、
ネットワークノードを通過するデータトラフィックを分析し、そして、分析結果に基づいて、BGP FSルールを修正するように構成される。

ある1つの実装において、送信ユニットは、さらに、ネットワークノードに、状況報告指示を送信するように構成され、状況報告指示は、当該データ処理装置に、ネットワークノードにおけるBGP FSルールの実装の前記状況を報告するようにネットワークノードに指示するのに使用される。

ある1つの実装において、送信ユニットは、さらに、ネットワークノードにトラフィック情報報告指示を送信するように構成され、トラフィック情報報告指示は、当該データ処理装置にBGP FSルールのトラフィックマッチング情報を報告するようにネットワークノードに指示するのに使用され、トラフィックマッチング情報は、BGP FSルールに適合するデータトラフィックの関連する情報である。

ある1つの実装において、送信ユニットは、特に、
当該データ処理装置が受信する状況が、BGP FSルールがネットワークノードにおいて実装されているということであるときに、ネットワークノードに、トラフィック情報報告指示を送信するように構成される。

装置500は、上記の方法の複数の実施形態において第1のサーバが実行するデータ処理方法に対応する装置であり、装置500の各々のユニットの具体的な実装は、上記の方法の複数の実施形態の概念と同じ概念を有する。したがって、装置500の各々のユニットの具体的な実装については、上記の方法の複数の実施形態における第1のサーバが実行するデータ分析方法の説明を参照すべきである。本明細書においては、詳細は繰り返しては説明されない。

この出願の複数の実施形態は、さらに、情報報告デバイスを提供する。そのデバイスは、プロセッサ及びメモリを含む。メモリは、複数の命令を格納するように構成され、プロセッサは、メモリの中の命令を実行して、上記の方法の複数の実施形態においてネットワークノードが実行する情報報告方法を実行するように構成される。複数の実施形態のうちのいくつかにおいて、情報報告デバイスは、図1の中のいずれかのネットワークデバイスであってもよい。

この出願の複数の実施形態は、さらに、データ処理デバイスを提供する。そのデバイスは、プロセッサ及びメモリを含む。メモリは、複数の命令を格納するように構成され、プロセッサは、メモリの中の命令を実行して、上記の方法の複数の実施形態において第1のサーバが実行するデータ分析方法を実行するように構成される。複数の実施形態のうちのいくつかにおいて、データ分析デバイスは、図1の中のサーバ200又はサーバ300であってもよい。

情報報告デバイス及びデータ処理デバイスのハードウェア構成は、図6に示されている構成であってもよいということに留意すべきである。図6は、この出願のある1つの実施形態にしたがったデバイスの構成の概略的な図である。

図6を参照すべきである。デバイス600は、プロセッサ610、通信インターフェイス620、及びメモリ630を含む。デバイス600は、1つ又は複数のプロセッサ610を含んでもよい。図6において、ある1つの例として1つのプロセッサを使用する。この出願のこの実施形態において、プロセッサ610、通信インターフェイス620、及びメモリ630は、バスシステムを介して又は他の方式によって接続されてもよい。図6において、例えば、接続のためにバスシステム640を使用する。

プロセッサ610は、中央処理ユニット(central processing unit, CPU)、ネットワークプロセッサ(network processor, NP)、又はCPU及びNPの組み合わせであってもよい。プロセッサ610は、ハードウェアチップをさらに含んでもよい。ハードウェアチップは、特定用途向け集積回路(application-specific integrated circuit, ASIC)、プログラム可能な論理デバイス(programmable logic device, PLD)、又はそれらの組み合わせであってもよい。PLDは、複合的な且つプログラム可能な論理デバイス(complex programmable logic device, CPLD)、フィールドプログラマブルゲートアレイ(field-programmable gate array, FPGA)、汎用アレイ論理(generic array logic, GAL)、又はそれらのいずれかの組み合わせであってもよい。デバイス600が上記の複数の実施形態における情報報告デバイスである場合に、プロセッサ610は、取得ユニット401及び送信ユニット402等のユニットが実行するステップを実行してもよい。ネットワークデバイス600が上記の複数の実施形態におけるデータ処理デバイスである場合に、プロセッサ610は、取得ユニット501及び記憶ユニット502等のユニットが実行するステップを実行してもよい。

メモリ630は、例えば、ランダムアクセスメモリ(random-access memory, RAM)等の揮発性メモリ(英文: volatile memory)を含んでもよい。メモリ630は、また、例えば、フラッシュメモリ(英文: flash memory)、ハードディスクドライブ(hard disk drive, HDD)、又はソリッドステートドライブ(solid-state drive, SSD)等の不揮発性メモリ(英文: non-volatile memory)を含んでもよい。メモリ630は、上記のタイプのメモリの組み合わせをさらに含んでもよい。

デバイス600が上記の複数の実施形態における情報報告デバイスである場合には、メモリ630は、上記の実施形態におけるBGP FSルール等を格納してもよい。ネットワークデバイス600が上記の複数の実施形態におけるデータ処理デバイスである場合に、メモリ630は、上記の実施形態におけるネットワークノード等におけるBGP FSルールの実装の状況を格納してもよい。

選択的に、メモリ630は、オペレーティングシステム及びプログラム、実行可能なモジュール又はデータ構造、或いは、それらのサブセット、又はそれらの拡張セットを格納する。プログラムは、さまざまな操作指示を含んでもよく、さまざまな操作を実行するのに使用される。オペレーティングシステムは、さまざまな基本サービスを実装し及びハードウェアベースのタスクを処理するためのさまざまなシステムプログラムを含んでもよい。プロセッサ610は、メモリ630の中のプログラムを読み出して、この出願の複数の実施形態によって提供されるデータ収集方法を実装してもよい。

バスシステム640は、周辺構成要素相互接続(peripheral component interconnect, PCI)バス又は拡張業界標準アーキテクチャ(extended industry standard architecture, EISA)バス等であってもよい。バスシステム640は、アドレスバス、データバス、又は制御バス等に分類されてもよい。表現を容易にするために、1つの太線が、図6の中のバスを表すのに使用されるが、このことは、1つのバスのみが存在し、又は、1つのタイプのバスのみが存在するということを意味するものではない。

この出願の複数の実施形態は、さらに、複数の命令を含むコンピュータ読み取り可能な記憶媒体を提供する。それらの複数の命令がコンピュータにおいて実行されるときに、コンピュータが、上記の実施形態においてネットワークノードが実行する情報報告方法を実行することを可能とする。

この出願の実施形態は、さらに、複数の命令を含むコンピュータ読み取り可能な記憶媒体を提供する。それらの複数の命令がコンピュータにおいて実行されるときに、コンピュータが、上記の実施形態において第1のサーバが実行するデータ処理方法を実行することを可能とする。

この出願の実施形態は、さらに、プログラムを含むコンピュータプログラム製品を提供する。そのコンピュータプログラム製品がコンピュータにおいて実行されるときに、そのコンピュータが、上記の実施形態においてネットワークノードが実行する情報報告方法を実行することを可能とする。

この出願の実施形態は、さらに、プログラムを含むコンピュータプログラム製品を提供する。そのコンピュータプログラム製品がコンピュータにおいて実行されるときに、そのコンピュータが、上記の実施形態において第1のサーバが実行するデータ処理方法を実行することを可能とする。

この出願のこの明細書、特許請求の範囲、及び添付の図面において、(存在する場合には)"第1の"、"第2の"、"第3の"、"第4の"等の語は、複数の同様の対象を区別することを意図しているが、必ずしも特定の順序又は順番を示すものではない。このような方法で呼ばれるデータは、適切な状況において相互に交換可能であり、それによって、本明細書において説明されている複数の実施形態は、本明細書において図示され又は説明されている順序とは別の順序で実装されてもよいということを理解すべきである。さらに、"含む"及び"有する"の語、及び、それらのいずれかの他の変形は、非排他的包含を対象とするということを意味している。例えば、ステップ又はユニットのリストを含むプロセス、方法、システム、製品、又はデバイスは、必ずしもそれらのステップ又はユニットに限定されるものではなく、明示的に列挙されていない他のステップ又はユニット、或いは、そのようなプロセス、方法、製品、又はデバイスに固有の他のステップ又はユニットを含んでもよい。

当業者は、利便性のあるそして簡単な説明のために、上記のシステム、装置、及びユニットの詳細な動作プロセスについては、上記の方法の実施形態における対応するプロセスを参照すべきであるということを明確に理解することが可能であり、本明細書においては、詳細は繰り返しては説明されない。

この出願によって提供される複数の実施形態のうちのいくつかにおいては、他の方式によって、開示されているシステム、装置、及び方法を実装してもよいということを理解すべきである。例えば、説明されている装置の実施形態は、ある1つの例であるにすぎない。例えば、ユニットの分割は、論理的なサービスの分割であるにすぎず、実際の実装においては他の分割であってもよい。例えば、複数のユニット又は構成要素を組み合わせ又は一体化して、他のシステムとしてもよく、或いは、いくつかの特徴を無視し又は実行しなくてもよい。加えて、いくつかのインターフェイスを使用して、それらの示され又は説明されている相互結合、直接結合、又は通信接続を実装してもよい。電子的な形態、機械的な形態、又は他の形態によって、複数の装置又は複数のユニットの間の間接的な結合又は通信接続を実装してもよい。

複数の個別の部分として説明される複数のユニットは、物理的に分離していてもよく又は物理的に分離していなくてもよく、また、複数のユニットとして示される複数の部分は、複数の物理的なユニットとなっていてもよく又は複数の物理的なユニットとなっていなくてもよく、1つの場所に位置していてもよく、又は、複数のネットワークユニットに分散されていてもよい。実際の要件に基づいて、それらの複数のユニットのうちの一部又はすべてを選択して、それらの複数の実施形態の複数の技術的解決方法の目的を達成してもよい。

加えて、この出願の複数の実施形態における複数のサービスユニットを一体化して、1つの処理ユニットとしてもよく、又は、それらの複数のユニットの各々は、物理的に単独で存在していてもよく、或いは、2つ又はそれ以上のユニットを一体化して、1つのユニットとしてもよい。一体化されたユニットは、ハードウェアの形態で実装されてもよく、又は、ソフトウェアサービスユニットの形態で実装されてもよい。

サービスユニットが、ソフトウェア機能ユニットの形態で実装され、且つ、独立している製品として販売され又は使用されるときに、コンピュータ読み取り可能な記憶媒体の中にその一体化されているユニットを格納してもよい。そのような理解に基づいて、この出願の複数の技術的解決方法は、本質的に、或いは、従来技術に寄与する部分又はそれらの複数の技術的解決方法のうちの一部は、ソフトウェア製品の形態で実装されてもよい。コンピュータソフトウェア製品は、記憶媒体の中に格納され、いくつかのプログラムを含み、それらのいくつかのプログラムは、(パーソナルコンピュータ、サーバ、又はネットワークデバイス等であってもよい)コンピュータデバイスが、この出願のそれらの複数の実施形態の中の複数の方法の複数のステップのすべて又は一部を実行することを可能とする。上記の記憶媒体は、プログラムコードを格納することが可能であるUSBフラッシュドライブ、取り外し可能なハードディスク、読み取り専用メモリ(ROM, Read-Only Memory)、ランダムアクセスメモリ(RAM, Random Access Memory)、磁気ディスク、又は光ディスク等のさまざまな媒体を含んでもよい。

当業者は、上記の1つ又は複数の例において、本発明によって説明されているサービスが、ハードウェア、ソフトウェア、ファームウェア、又はそれらのいずれかの組み合わせによって実施されてもよいということを認識するはずである。サービスがソフトウェアによって実装されるときに、それらのサービスは、コンピュータ読み取り可能な媒体の中に格納されてもよく、又は、コンピュータ読み取り可能な媒体の中の1つ又は複数の命令又はコードとして伝送されてもよい。コンピュータ読み取り可能な媒体は、コンピュータ記憶媒体及び通信媒体を含み、通信媒体は、コンピュータプログラムをある場所から他の場所へと伝送することを可能とするいずれかの媒体を含む。記憶媒体は、汎用コンピュータ又は専用コンピュータにアクセスすることが可能であるいずれかの利用可能な媒体であってもよい。

本発明の目的、技術的解決方法、及び有益な効果は、上記の複数の具体的な実装においてさらに詳細に説明されている。上記の説明は、本発明の具体的な実装であるにすぎないということを理解すべきである。

上記の複数の実施形態は、この出願を限定するのではなく、この出願の複数の技術的解決方法を説明することを意図しているにすぎない。この出願は、上記の複数の実施形態を参照して詳細に説明されているが、当業者は、さらに、この出願のそれらの複数の実施形態の技術的解決方法の範囲から離れることなく、上記の実施形態の中で説明されている技術的解決方法に修正を行ってもよく、又は、それらの技術的解決方法の技術的特徴のいくつかに対して等価な置換を行ってもよいということを理解するはずである。

[関連出願への相互参照]
この出願は、2019年10月31日付で中国国家知的所有権管理局に出願された"情報報告方法、データ処理方法、及び装置"と題する中国特許出願番号第201911053999.5号に基づく優先権を主張し、その内容は、その全体が参照により本明細書に組み込まれる。

[技術分野]
この出願は、通信分野に関し、特に、情報報告方法、データ処理方法、及び装置に関する。

現在、通信技術の発達に伴って、通信セキュリティに関するいくつかの問題が生じている。例えば、ネットワーク攻撃は、通信デバイスに対して生起する。それに対応して、また、ネットワーク攻撃を防止するためのいくつかのポリシーが出現している。ネットワーク攻撃を防止するためのそれらのポリシーのうちの1つは、境界ゲートウェイプロトコルフロー仕様(Border Gateway Protocol Flow Specification, BGP FS)である。そのBGP FSにおいては、BGP FSルールを伝送する際に、ネットワークノード等のBGP FSピアにBGP FSルートを伝送することが可能であり、それによって、ネットワークノードにおいてトラフィックを制御して、攻撃トラフィックを防止することが可能となる。

しかしながら、従来の技術の場合には、BGP FSは、攻撃トラフィックを効果的に防止することは不可能である。したがって、上記の問題を解決するための緊急の解決方法が必要とされる。

この出願の複数の実施形態は、情報報告方法を提供して、BGP FSルールにしたがってトラフィック攻撃を効果的に防止することが不可能であるという問題を解決する。

第1の態様によれば、この出願のそれらの複数の実施形態は、情報報告方法を提供する。従来の技術においては、BGP FSルールを生成するサーバが、ネットワークノードにそのBGP FSルールを送信した後に、そのBGP FSルールに関連する制御手順は終了し、さらに、ネットワークノードにおけるBGP FSルールの実装の状況をモニタリングするいかなる手段も行われない。結果として、ネットワークノードにおけるBGP FSルールの実装の状況は知られていない。さらに、BGP FSルールは、ネットワークノードにおいて実装されない場合があるので、そのBGP FSルールは、攻撃トラフィックを効果的に防止することは不可能である。この問題を解決するために、この出願のそれらの複数の実施形態においては、そのBGP FSルールを受信した後に、ネットワークノードは、そのネットワークノードにおけるBGP FSルールの実装の状況を取得することが可能であり、その状況は、そのBGP FSルールがネットワークノードにおいて実装されているということを示してもよく、又は、そのBGP FSルールがネットワークノードにおいて実装されていないということを示してもよい。その次に、ネットワークノードは、サーバにその状況を送信する。このように、サーバは、そのネットワークノードにおけるBGP FSルールの実装の状況を知ることが可能である。それに対応して、例えば、そのBGP FSルールを生成するサーバ等のそのサーバ又は他のサーバは、その状況を格納してもよく、さらに、必要に応じて、その状況に基づいて、対応する操作を実行して、攻撃トラフィックを効果的に防止することが可能である。

ある1つの実装において、実際の適用においては、ネットワークノードに、BMPによってBGP FS Local-RIBをモニタリングする機能を配置する場合には、BGP FSルートを受信した後に、そのネットワークノードは、BMPサーバにそのBGP FSルートを報告する。加えて、ネットワークノードは、RMメッセージを使用することによって、BMPサーバに、受信したBGP FSルートを報告してもよい。この観点から、ネットワークノードは、キャリアとしてRMメッセージを使用し、そして、第1のサーバに、ネットワークノードにおけるBGP FSルールの実装の状況を含むRMメッセージを送信してもよい。具体的には、ネットワークノードは、ネットワークノードにおけるBGP FSルールの実装の状況をRMメッセージに追加し、そして、その次に、第1のサーバに、状況が追加されているRMメッセージを送信してもよい。

ある1つの実装において、BMPによるBGP FS Local-RIBのモニタリングの機能が、ネットワークノードに配置されていないときに、BMPによるBGP FS Local-RIBのモニタリングの機能は、ネットワークノードに配置されていないため、そのネットワークノードは、第1のサーバにBGP FSルートを送信しない。それに対応して、RMメッセージによって、第1のサーバに、ネットワークノードにおけるBGP FSルールの実装の状況を送信することは不可能である。この場合には、第1のサーバは、ネットワークノードに状況報告指示を送信してもよい。状況報告指示は、第1のサーバに、ネットワークノードにおけるBGP FSルールの実装の状況を報告するようにネットワークノードに指示するのに使用される。言い換えると、第1のサーバから状況報告指示を受信した後に、ネットワークノードは、ネットワークノードにおけるBGP FSルールの実装の状況を取得し、そして、第1のサーバに、取得した状況を送信してもよい。

ある1つの実装において、状況が、ネットワークノードにおけるBGP FSルールの実装のより詳細な内容を反映することを可能とするために、ネットワークノードにおいて実装されているBGP FSルールは、正常な実装及び異常な実装の少なくとも2つの場合を含んでもよい。正常な実装は、BGP FSルールがBGP最良経路選択プロセスに正しく参加しているということを意味し、BGP FSルールは、実装されるときに他の要因によって干渉されない。異常な実装は、BGP FSルールがBGP最良経路選択プロセスに正しく参加しているが、BGP FSルールは実装されるときに他の要因によって干渉されるということを意味する。したがって、ネットワークノードにおいて実装されているBGP FSルールは、ネットワークノードにおけるBGP FSルールの実装が正常であること、又は、ネットワークノードにおけるBGP FSルールの実装が異常であることを含んでもよい。

ある1つの実装において、実際の適用においては、さらに、ネットワークノードにおいて他のトラフィック制御ポリシーを実行してもよい。BGP FSルールの優先順位が、他のトラフィック制御ポリシーの優先順位よりも低い場合には、ネットワークノードを通過するトラフィックは、最初に他のトラフィック制御ポリシーによって処理され、その次に、BGP FSルールによって処理されるため、これらの他のトラフィック制御ポリシーは、ネットワークノードにおけるそのBGP FSルールの実装を妨げる。言い換えると、ネットワークノードにおいて異常に実装されているBGP FSルールは、そのBGP FSルールの優先順位が他のトラフィック制御ポリシーの優先順位よりも低いということを意味する場合がある。

ある1つの実装において、状況が、BGP FSルールがネットワークノードにおいて実装されていないということであるときに、その状況が、さらに、ネットワークノードにおいてそのBGP FSルールが実装されていない理由を反映することを可能とするために、その状況は、さらに、ネットワークノードにおいてBGP FSルールが実装されていない具体的な理由を反映してもよい。具体的には、BGP FSルールを取得した後に、ネットワークノードは、最初に、BGP FSルールを検証し、BGP FSルールの検証に成功した後にのみ、ネットワークノードは、そのBGP FSルールを実装することが可能である。BGP FSルールに対して実行される検証は、BGP検証及び/又はBGP FS検証が含んでもよい。BGP FSルールがBGP検証に失敗している場合、又は、BGP FSルールがBGP FS検証に失敗している場合に、ネットワークノードは、もはや、BGP FSルールを実装しない。したがって、ネットワークノードにおいて実装されていないBGP FSルールは、BGP FSルールがBGP検証で失敗しているBGP FSルール、及び/又は、BGP FSルールがBGP FS検証に失敗しているBGP FSルールを含んでもよい。

ある1つの実装において、BGP FSルールがBGP検証に失敗していることは、BGP FSルールが無効なパラメータを搬送しているということであってもよい。無効なパラメータは、少なくとも2つの場合を含んでもよい。1つは、ネットワークノードが処理することが不可能であるパラメータがBGP FSルールの中に存在するということであり、もう1つは、無効な自律システム経路がBGP FSルールの中に存在するということである。

ある1つの実装において、ネットワークノードは、通常、1つ又は複数のインターフェイスを含んでもよく、BGP FSルールは、通常、BGP FSルールの実際に使用されているインターフェイスを搬送する。BGP FSルールの中で搬送されている実際に使用されているインターフェイスが、ネットワークノードのインターフェイスに適合していない場合に、ネットワークノードにおいてそのBGP FSルールを実装することは不可能である。したがって、BGP FSルールがネットワークノードにおいて実装されていないことは、そのBGP FSルールの中で搬送されている実際に使用されているインターフェイスが、ネットワークノードのインターフェイスに適合していないということであってもよい。加えて、実際の適用においては、対応するセキュリティ保護ポリシーは、さらに、ネットワークノードにおいて構成されていてもよい。BGP FSルールがセキュリティ保護ポリシーと矛盾する場合に、ネットワークノードにおいてそのBGP FSルールを実装することは不可能である。したがって、BGP FSルールがネットワークノードにおいて実装されていないことは、そのBGP FSルールがセキュリティ保護ポリシーと矛盾しているということであってもよい。加えて、通常は、さらに、BGP FSルールのために、ネットワークノードにおいてあらかじめ設定されている実装条件を設定してもよく、BGP FSルールがあらかじめ設定されている実装条件を満たすときにのみ、ネットワークノードは、BGP FSルールを実装することが可能である。したがって、BGP FSルールがネットワークノードにおいて実装されていないことは、そのBGP FSルールがあらかじめ設定されている実装条件を満たしていないということであってもよい。

ある1つの実装において、BGP FSルールがネットワークノードにおいて実装されるときに、さらに、そのBGP FSルールのトラフィック制御効果を評価するために、ネットワークノードは、さらにそのBGP FSルールのトラフィックマッチング情報を取得し、そして、第1のサーバにそのトラフィックマッチング情報を送信してもよい。トラフィックマッチング情報は、BGP FSルールに適合するデータトラフィックの関連する情報である。

ある1つの実装において、BMPによってBGP FS Local-RIBをモニタリングする機能が、ネットワークノードに配置されている場合に、BGP FSルートを受信した後に、ネットワークノードは、BMPサーバにBGP FSルートを報告する。ネットワークノードがBMPサーバに送信するメッセージのタイプは、SRメッセージである。SRメッセージは、統計情報を搬送し、トラフィックマッチング情報は、また、統計情報として考えられてもよい。この観点から、トラフィックマッチング情報は、キャリアとして既存のSRメッセージを使用することによって、第1のサーバに送信されてもよい。言い換えると、ネットワークノードは、SRメッセージにBGP FSルールのトラフィックマッチング情報を追加し、そして、その次に、第1のサーバに、トラフィックマッチング情報が追加されているSRメッセージを送信してもよい。具体的には、ネットワークノードは、SRメッセージの拡張フィールドを使用して、トラフィックマッチング情報を搬送してもよい。例えば、トラフィックマッチング情報は、拡張TLVフィールドの中で搬送されてもよい。

ある1つの実装において、BMPによってBGP FS Local-RIBをモニタリングする機能が、ネットワークノードに配置されていないときに、第1のサーバは、ネットワークノードにトラフィック情報報告指示を送信してもよく、トラフィック情報報告指示は、第1のサーバにトラフィックマッチング情報を報告するようにネットワークノードに指示するのに使用される。言い換えると、第1のサーバからトラフィック情報報告指示を受信した後に、ネットワークノードは、BGP FSルールのトラフィックマッチング情報を取得し、そして、第1のサーバにトラフィックマッチング情報を送信してもよい。

ある1つの実装において、BGP FSルールがネットワークノードにおいて実装されていない場合に、必然的に、BGP FSルールに適合するデータトラフィックは存在しない。この観点から、第1のサーバがネットワークノードから状況を受信し、且つ、その状況が、BGP FSルールがネットワークノードにおいて実装されるということを示しているときにのみ、第1のサーバは、ネットワークノードにトラフィック情報報告指示を送信して、第1のサーバとネットワークノードとの間のデータ交換を減少させることが可能である。

第2の態様によれば、この出願のそれらの複数の実施形態は、データ処理方法を提供する。具体的には、第1のサーバは、ネットワークノードにおける境界ゲートウェイプロトコルフロー仕様BGP FSルールの実装の状況を取得してもよく、その状況は、BGP FSルールがネットワークノードにおいて実装されているということを示すか、又は、その状況は、BGP FSルールがネットワークノードにおいて実装されていないということを示し、第1のサーバは、その状況を格納する。このように、第1のサーバは、ネットワークノードにおけるBGP FSルールの実装の状況を知ることが可能である。それに対応して、第1のサーバは、さらに、例えば、対応する調整を実行して、攻撃トラフィックを効果的に防止するといったように、必要に応じて、状況に基づいて、対応する操作を実行してもよい。

ある1つの実装において、ネットワークノードにおけるBGP FSルールの実装の状況を格納した後に、第1のサーバは、ネットワークノードにおけるBGP FSルールの実装の状況を読み取り、そして、例えば、その状況に基づいて第1の操作を実行するといったように、その状況に基づいて、他の操作を実行してもよい。もちろん、第1のサーバは、代替的に、第2のサーバにその状況を送信してもよく、第2のサーバは、その状況に基づいて第1の操作を実行する。実際の適用においては、通常、第1の操作は、BGP FSルールに関連している。したがって、この出願のそれらの複数の実施形態において、第2のサーバは、BGP FSルールを生成するサーバであってもよい。第1のサーバ及び第2のサーバが1つのデバイスにおいて動作するときに、第1のサーバは、その状況に基づいて、第1の操作を実行してもよいということを理解することが可能である。第1のサーバ及び第2のサーバが2つのデバイスにおいて動作するときに、第1のサーバは、第2のサーバに状況を送信してもよく、第2のサーバは、その状況に基づいて第1の操作を実行する。

この出願のそれらの複数の実施形態のある1つの実装において、ネットワーク管理者が、ネットワークノードにおけるBGP FSルールの実装の状況を知ることを可能とするために、第1のサーバ又は第2のサーバは、その状況を表示するようにディスプレイデバイスを制御してもよい。このように、ネットワーク管理者は、ディスプレイデバイスに表示されるコンテンツを使用することによって、ネットワークノードにおけるBGP FSルールの実装の状況を決定することが可能である。さらに、ネットワーク管理者は、その状況に基づいて、対応する調整を実行してもよい。

ある1つの実装において、ネットワークノードにおいてBGP FSルールを実装して、攻撃トラフィックを制御することを可能にするために、状況が、BGP FSルールがネットワークノードにおいて実装されていないということを示している場合に、特定の実装の際に、第1のサーバ又は第2のサーバは、ネットワークノードにおいてBGP FSルールを実装することを可能とする目的で、状況に基づいて第1の操作を実行してもよい。具体的には、第1のサーバ又は第2のサーバが、BGP FSルールの構成パラメータに起因して、そのBGP FSルールがネットワークノードにおいて実装されていないということを決定する場合に、第1の操作を実行するときは、例えば、第1のサーバ又は第2のサーバは、特定の実装の際に、BGP FSルールを修正し、そして、ネットワークノードに、修正されているBGP FSルールを送信してもよく、それによって、ネットワークノードは、その修正されているBGP FSルールを実装することが可能である。第1のサーバ又は第2のサーバが、ネットワークノードの構成に起因して、BGP FSルールがネットワークノードにおいて実装されていないということを決定する場合に、第1の操作を実行するときは、例えば、第1のサーバ又は第2のサーバは、特定の実装の際に、ネットワークノードに第1の構成指示を送信してもよい。第1の構成指示は、ネットワークノードを再構成するのに使用される。このように、ネットワークノードは、そのBGP FSルールを実装することが可能である。

ある1つの実装において、BGP FSルールがBGP検証に失敗していることは、そのBGP FSルールが無効なパラメータを搬送しているということであってもよい。したがって、その状況が、BGP FSルールがBGP検証に失敗しているということを示す場合に、第1のサーバ又は第2のサーバは、そのBGP FSルールを修正してもよく、それによって、修正されたBGP FSルールは、BGP検証に成功する。このように、第1のサーバ又は第2のサーバが、ネットワークノードに修正されたBGP FSルールを送信した後に、ネットワークノードは、そのBGP FSルールを実装することが可能である。具体的には、第1のサーバ又は第2のサーバは、BGP FSルールの中で搬送されている無効なパラメータを決定し、そして、有効なパラメータへとその無効なパラメータを修正してもよい。

ある1つの実装において、状況が、BGP FSルールの中で搬送されている実際に使用されているインターフェイスがネットワークノードのインターフェイスに適合していないということを示す場合に、第1のサーバ又は第2のサーバは、そのBGP FSルールを修正してもよい。具体的には、第1のサーバ又は第2のサーバは、ネットワークノードのインターフェイスに適合するインターフェイスへと、BGP FSルールの中で搬送されている実際に使用されているインターフェイスを修正し、そして、ネットワークノードに、修正されているBGP FSルールを送信してもよい。このように、ネットワークノードは、そのBGP FSルールを実装することが可能である。

ある1つの実装において、状況が、BGP FSルールがセキュリティ保護ポリシーと矛盾するということを示す可能性がある場合に、第1のサーバ又は第2のサーバは、BGP FSルールを修正してもよい。具体的には、第1のサーバ又は第2のサーバは、セキュリティ保護ポリシーと矛盾していないBGP FSルールへと、そのBGP FSルールを修正し、そして、ネットワークノードにその修正されているBGP FSルールを送信してもよい。このように、ネットワークノードは、そのBGP FSルールを実装することが可能である。

ある1つの実装において、状況が、BGP FSルールがBGP FS検証に失敗しているということを示す可能性がある場合に、BGP FSルールは、あらかじめ設定されている実装条件を満たしていないため、そのBGP FSルールは、BGP FS検証に失敗する場合がある。この場合には、第1のサーバ又は第2のサーバは、ネットワークノードに第1の構成指示を送信してもよい。第1の構成指示は、ターゲットパラメータを再構成するようにネットワークノードに指示するのに使用され、そのターゲットパラメータは、そのBGP FSルールがあらかじめ設定されている実装条件を満たすか否かを決定するのに使用されるパラメータである。このように、ネットワークノードがターゲットパラメータを再構成した後は、BGP FSルールは、あらかじめ設定されている実装条件を満たすことが可能である。もちろん、第1の構成指示は、代替的に、BGP FSルールがあらかじめ設定されている実装条件を満たすか否かの検証を中止するように、ネットワークノードを構成するのに使用される構成指示であってもよい。ネットワークノードが、もはや、BGP FSルールがあらかじめ設定されている実装条件を満たすか否かを検証しない場合には、ネットワークノードは、そのBGP FSルールを実装することが可能であるということを理解することが可能である。

ある1つの実装において、第1のサーバは、さらに、BGP FSルールのトラフィックマッチング情報を取得してもよく、そのトラフィックマッチング情報を取得した後に、第1のサーバは、さらに、そのトラフィックマッチング情報を格納してもよい。このように、第1のサーバは、ネットワークノードにおけるBGP FSルールのトラフィックマッチングの状況を知ることが可能である。それに対応して、第1のサーバは、さらに、例えば、対応する調整を実行して、攻撃トラフィックを効果的に防止するといったように、必要に応じて、その状況に基づいて、対応する操作を実行してもよい。

ある1つの実装において、第1のサーバは、トラフィックマッチング情報に基づいて、第2の操作を実行することが可能であり、又は、第1のサーバは、第2のサーバにトラフィックマッチング情報を送信し、第2のサーバは、そのトラフィックマッチング情報に基づいて、第2の操作を実行する。

ある1つの実装において、ネットワーク管理者が、ネットワークノードにおけるBGP FSルールのトラフィックマッチングの状況を知ることを可能とするために、トラフィックマッチング情報に基づいて第2の操作を実行するときに、例えば、第1のサーバ又は第2のサーバは、特定の実装の際にトラフィックマッチング情報を表示するようにディスプレイデバイスを制御してもよい。このように、ネットワーク管理者は、表示デバイスに表示されるコンテンツを使用することによって、ネットワークノードにおけるBGP FSルールのトラフィックマッチングの状況を決定することが可能である。

ある1つの実装において、BGP FSルールが効果的に攻撃トラフィックを制御することを可能とするために、トラフィックマッチング情報を取得した後に、第1のサーバ又は第2のサーバは、さらに、トラフィックマッチング情報があらかじめ設定されている条件を満たすか否かを決定してもよい。本明細書においては、トラフィックマッチング情報があらかじめ設定されている条件を満たすか否かを決定することは、BGF FSルールにしたがって実行されるトラフィック制御の結果が期待値を満たすか否かを決定するということを指す。

ある1つの実装において、実際の適用において、BGP FSルールは、ネットワークノードを通過する履歴データトラフィックを分析することによって決定される異常トラフィックについて定式化される。したがって、あらかじめ設定されている条件は、また、異常トラフィックに基づいて決定されてもよい、すなわち、ネットワークノードを通過する履歴データトラフィックを分析することによって取得されてもよい。

ある1つの実装において、取得されたトラフィックマッチング情報が、あらかじめ設定されている条件を満たすということを決定する場合には、その決定は、BGP FSルールが攻撃トラフィックを効果的に防止することを可能とするということを示す。取得されたトラフィックマッチング情報が、あらかじめ設定されている条件を満たしていないということを決定する場合には、その決定は、BGP FSルールが攻撃トラフィックを効果的に防止することは不可能であるということを示す。BGP FSルールが攻撃トラフィックを効果的に防止することが不可能であるときに、第1のサーバ又は第2のサーバは、さらに、そのBGP FSルールが、攻撃トラフィックを効果的に防止することが不可能である理由を決定し、そして、対応する調整を実行して、攻撃トラフィックを効果的に防止してもよい。通常は、トラフィックマッチング情報があらかじめ設定されている条件を満たさない理由が2つ存在する場合がある。1つは、BGP FSルールの実装が他のトラフィック制御ポリシーによる干渉を受けることである。すなわち、ネットワークノードにおけるそのBGP FSルールの実装は異常である。もう1つは、BGP FSルールの構成である。1番目の理由の場合には、例えば、第1のサーバ又は第2のサーバは、ネットワークノードを再構成することが可能であり、それによって、通常、ネットワークノードにおけるBGP FSルールの実装は正常となる。2番目の理由の場合には、例えば、第1のサーバ又は第2のサーバは、BGP FSルールを修正し、そして、ネットワークノードに、修正されているBGP FSルールを送信してもよい。言い換えると、第1のサーバ又は第2のサーバは、さらに、特定の実装の際に、2つの実装におけるトラフィックマッチング情報に基づいて、第2の操作を実行してもよい。ある1つの実装において、トラフィックマッチング情報があらかじめ設定されている条件を満たしていないということを決定するときに、第2の構成指示は、トラフィックマッチング情報に基づいてネットワークノードに送信され、第2の構成指示は、ネットワークノードを再構成するのに使用される。他の実装において、トラフィックマッチング情報があらかじめ設定されている条件を満たしていないということを決定するときに、トラフィックマッチング情報に基づいて、そのBGP FSルールを修正し、修正されているBGP FSルールは、ネットワークノードに送信される。

ある1つの実装において、第1のサーバ又は第2のサーバは、最初に、ネットワークノードにおけるBGP FSルールの実装の取得された状況に基づいて、トラフィックマッチング情報があらかじめ設定されている条件を満たしていない理由が、ネットワークノードにおけるBGP FSルールの異常な実装であるか否かを決定してもよい。具体的には、第1のサーバ又は第2のサーバが取得するネットワークノードにおけるBGP FSルールの実装の状況が、BGP FSルールの優先順位が他のトラフィック制御ポリシーの優先順位よりも低いということを含む場合には、その状況は、ネットワークノードにおけるBGP FSルールの実装が異常であるということを示す。それに対応して、第1のサーバ又は第2のサーバは、ネットワークノードに第2の構成指示を送信してもよく、第2の構成指示は、他のトラフィック制御ポリシーの実装を中止するようにネットワークノードを構成するのに使用されるか、又は、BGP FSルールを優先的に実装するようにネットワークノードを構成するのに使用される。

ある1つの実装において、実際の適用においては、BGP FSルールがネットワークノードにおいて実装されていなくても、他のトラフィック制御ポリシーが攻撃トラフィックを効果的に防止することが可能である場合には、そのネットワークシステムは、依然として、正常に動作する。この観点から、第1のサーバ又は第2のサーバが取得するネットワークノードにおけるBGP FSルールの実装の状況が、BGP FSルールの優先順位が他のトラフィック制御ポリシーの優先順位よりも低いということを含む場合には、第1のサーバ又は第2のサーバは、さらに、ネットワークノードを通過するデータトラフィックを分析し、そして、異常なトラフィックが存在するか否かを決定してもよい。異常なトラフィックが存在する場合には、その分析結果は、他のトラフィック制御ポリシーが攻撃トラフィックを効果的に防止していないということを示す。この場合には、第1のサーバ又は第2のサーバは、ネットワークノードに第2の構成指示を送信する。異常なトラフィックが存在しない場合には、その分析結果は、他のトラフィック制御ポリシーが攻撃トラフィックを効果的に防止することができているということを示す。この場合には、第1のサーバ又は第2のサーバは、ネットワークノードに第2の構成指示を送信しなくてもよい。

ある1つの実装において、第1のサーバ又は第2のサーバが取得するネットワークノードにおけるBGP FSルールの実装の状況が、BGP FSルールの優先順位が、他のトラフィック制御ポリシーの優先順位よりも低いということを含まない場合には、その状況は、BGP FSルールの実装が正常であるということを示す。それに対応して、第1のサーバ又は第2のサーバは、トラフィックマッチング情報が、そのBGP FSルールの構成に起因して、あらかじめ設定されている条件を満たしていないということを決定してもよい。この場合には、第1のサーバ又は第2のサーバは、ネットワークノードに第2の構成指示を送信して、ネットワークノードを再構成してもよく、それによって、そのBGP FSルールを実装した後に、攻撃トラフィックを効果的に防止することが可能となる。

ある1つの実装において、実際の適用においては、BGP FSルールのパラメータのうちのいくつかの組み合わせが、BGP FSルールを有効にさせない場合には、さらに、ネットワークノードにおいてBGP FSルールを実装した後にも、攻撃トラフィックを効果的に防止することは不可能である。したがって、第1のサーバ又は第2のサーバは、BGP FSルールの構成パラメータを分析して、BGP FSルールを有効にさせないいくつかのパラメータの組み合わせが、BGP FSルールの中に存在するか否かを決定してもよい。パラメータのうちのいくつかの組み合わせが存在する場合には、第1のサーバ又は第2のサーバは、パラメータを修正してもよく、それによって、修正されたBGP FSルールは、有効になることが可能となる。

ある1つの実装において、実際の適用においては、BGP FSルールが示すトラフィック制御ポリシーが対象とするトラフィックが、実際には、防止することを必要とする攻撃トラフィックではない場合には、BGP FSルールを実装した後も、攻撃トラフィックを効果的に防止することは不可能である。この場合には、第1のサーバ又は第2のサーバは、ネットワークノードを通過するデータトラフィックを分析し、そして、分析結果に基づいて、BGP FSルールを修正してもよい。具体的には、第1のサーバ又は第2のサーバは、あらかじめ設定されている時間期間の中でネットワークノードを通過するデータトラフィックを分析することによって、攻撃トラフィックの特徴を決定し、そして、攻撃トラフィックのその特徴に基づいて、BGP FSルールを修正してもよい。

第3の態様によれば、この出願の複数の実施形態は、情報報告装置を提供する。その装置は、ネットワークノードにおける境界ゲートウェイプロトコルフロー仕様BGP FSルールの実装の状況を取得するように構成される取得ユニットであって、前記状況は、前記BGP FSルールが前記ネットワークノードにおいて実装されているということを示すか、又は、前記状況は、前記BGP FSルールが前記ネットワークノードにおいて実装されていないということを示す、取得ユニットと、サーバに前記状況を送信するように構成される送信ユニットと、を含む。

ある1つの実装において、前記送信ユニットは、特に、ルートモニタリングRMメッセージに前記状況を追加し、そして、前記サーバに、前記状況が追加されているRMメッセージを送信するように構成される。

ある1つの実装において、前記状況が、前記BGP FSルールが前記ネットワークノードにおいて実装されているということである場合に、前記取得ユニットは、さらに、前記BGP FSルールのトラフィックマッチング情報を取得するように構成され、前記トラフィックマッチング情報は、前記BGP FSルールに適合するデータトラフィックの関連する情報であり、前記送信ユニットは、さらに、前記サーバに前記トラフィックマッチング情報を送信するように構成される。

ある1つの実装において、前記送信ユニットは、特に、状況報告SRメッセージに前記トラフィックマッチング情報を追加し、そして、前記サーバに、前記トラフィックマッチング情報が追加されているSRメッセージを送信するように構成される。

ある1つの実装において、前記取得ユニットは、特に、前記サーバから状況報告指示を受信した後に、前記ネットワークノードにおける前記BGP FSルールの実装の前記状況を取得するように構成される。

ある1つの実装において、前記取得ユニットは、特に、前記サーバからトラフィック情報報告指示を受信した後に、前記BGP FSルールの前記トラフィックマッチング情報を取得するように構成される。

第4の態様によれば、この出願の複数の実施形態は、データ処理装置を提供する。その装置は、ネットワークノードにおける境界ゲートウェイプロトコルフロー仕様BGP FSルールの実装の状況を取得するように構成される取得ユニットであって、前記状況は、前記BGP FSルールが前記ネットワークノードにおいて実装されているということを示すか、又は、前記状況は、前記BGP FSルールが前記ネットワークノードにおいて実装されていないということを示す、取得ユニットと、前記状況を格納するように構成される記憶ユニットと、を含む。

ある1つの実装において、当該装置は、前記状況に基づいて第1の操作を実行するように構成される操作ユニットをさらに含むか、又は、第2のサーバに前記状況を送信するように構成される送信ユニットをさらに含み、それによって、前記第2のサーバは、前記状況に基づいて第1の操作を実行する。

ある1つの実装において、前記操作ユニットは、特に、前記状況が、前記BGP FSルールの中で搬送されている実際に使用されているインターフェイスが前記ネットワークノードのインターフェイスに適合していないということである場合に、前記ネットワークノードの前記インターフェイスに適合しているインターフェイスへと、前記BGP FSルールの中で搬送されている前記実際に使用されているインターフェイスを修正するように構成される。

ある1つの実装において、前記操作ユニットは、特に、前記状況が、前記BGP FSルールがセキュリティ保護ポリシーと矛盾しているということである場合に、前記セキュリティ保護ポリシーと矛盾していないBGP FSルールへと前記BGP FSルールを修正するように構成される。

ある1つの実装において、前記操作ユニットは、特に、前記状況が、前記BGP FSルールがあらかじめ設定されている実装条件を満たさないということである場合に、前記ネットワークノードに前記第1の構成指示を送信するように構成され、前記第1の構成指示は、ターゲットパラメータを再構成するように前記ネットワークノードに指示するのに使用され、それによって、前記BGP FSルールは、前記あらかじめ設定されている実装条件を満たし、又は、前記第1の構成指示は、前記BGP FSルールが前記あらかじめ設定されている実装条件を満たすか否かの検証を中止するように前記ネットワークノードを構成するのに使用される。

ある1つの実装において、前記取得ユニットは、さらに、前記BGP FSルールのトラフィックマッチング情報を取得するように構成され、前記トラフィックマッチング情報は、前記BGP FSルールに適合するデータトラフィックの関連する情報であり、記憶ユニットは、さらに、前記トラフィックマッチング情報を格納するように構成される。

ある1つの実装において、前記操作ユニットは、さらに、前記トラフィックマッチング情報に基づいて、第2の操作を実行するように構成されるか、又は、前記送信ユニットは、さらに、前記第2のサーバに前記トラフィックマッチング情報を送信するように構成され、それによって、前記第2のサーバは、前記トラフィックマッチング情報に基づいて、第2の操作を実行する。

ある1つの実装において、前記操作ユニットは、特に、前記トラフィックマッチング情報を表示するようにディスプレイデバイスを制御するように構成される。

ある1つの実装において、前記操作ユニットは、特に、前記トラフィックマッチング情報が、あらかじめ設定されている条件を満たしているか否かを決定し、前記トラフィックマッチング情報が、前記あらかじめ設定されている条件を満たしていない場合には、前記トラフィックマッチング情報に基づいて、前記BGP FSルールを修正し、そして、前記ネットワークノードに、修正されているBGP FSルールを送信するように構成される。

ある1つの実装において、前記操作ユニットは、特に、前記トラフィックマッチング情報に基づいて、前記ネットワークノードに第2の構成指示を送信するように構成され、前記第2の構成指示は、前記ネットワークノードを構成するのに使用される。

ある1つの実装において、前記操作ユニットは、特に、前記状況が、前記BGP FSルールの優先順位が他のトラフィック制御ポリシーの優先順位よりも低いということを含む場合に、前記ネットワークノードに前記第2の構成指示を送信するように構成され、前記第2の構成指示は、前記他のトラフィック制御ポリシーの実装を中止するように前記ネットワークノードを構成するのに使用されるか、又は、前記BGP FSルールを優先的に実装するように前記ネットワークノードを構成するのに使用される。

ある1つの実装において、当該装置は、前記第2の構成指示が前記ネットワークノードに送信される前に、前記ネットワークノードを通過するデータトラフィックを分析して、分析結果を取得するように構成される分析ユニットをさらに含む。前記操作ユニットは、特に、前記分析結果が、前記ネットワークノードを通過する前記データトラフィックの中に異常なトラフィックが存在するということを示す場合に、前記ネットワークノードに前記第2の構成指示を送信するように構成される。

ある1つの実装において、前記操作ユニットは、特に、前記状況が、前記BGP FSルールの前記優先順位が他のトラフィック制御ポリシーの優先順位よりも低いということを含まない場合には、前記BGP FSルールを修正するように構成される。

ある1つの実装において、前記操作ユニットは、特に、前記BGP FSルールの構成パラメータを分析し、前記BGP FSルールを有効にさせないパラメータの組み合わせが存在するか否かを決定し、そして、前記パラメータの組み合わせが存在する場合には、前記パラメータの組み合わせを修正し、それによって、修正されているBGP FSルールは有効になる。

ある1つの実装において、前記操作ユニットは、特に、前記ネットワークノードを通過する前記データトラフィックを分析し、そして、分析結果に基づいて、前記BGP FSルールを修正するように構成される。

ある1つの実装において、前記送信ユニットは、さらに、前記ネットワークノードに、状況報告指示を送信するように構成され、前記状況報告指示は、当該データ処理装置に、前記ネットワークノードにおける前記BGP FSルールの実装の前記状況を報告するように前記ネットワークノードに指示するのに使用される。

ある1つの実装において、前記送信ユニットは、さらに、前記ネットワークノードにトラフィック情報報告指示を送信するように構成され、前記トラフィック情報報告指示は、当該データ処理装置に前記BGP FSルールの前記トラフィックマッチング情報を報告するように前記ネットワークノードに指示するのに使用され、前記トラフィックマッチング情報は、前記BGP FSルールに適合するデータトラフィックの関連する情報である。

ある1つの実装において、前記送信ユニットは、特に、当該データ処理装置が受信する前記状況が、前記BGP FSルールが前記ネットワークノードにおいて実装されているということであるときに、前記ネットワークノードに、前記トラフィック情報報告指示を送信するように構成される。

ある1つの実装において、前記BGP FSルールが前記ネットワークノードにおいて実装されていることは、前記BGP FSルールの実装が正常であること又は前記BGP FSルールの実装が異常であることを含む。

ある1つの実装において、前記BGP FSルールの実装が異常であることは、前記BGP FSルールの優先順位が、前記ネットワークノードにおいて実行されている他のトラフィック制御ポリシーの優先順位よりも低いということを含む。

ある1つの実装において、前記BGP FSルールが前記ネットワークノードにおいて実装されていないことは、前記BGP FSルールがBGP検証に失敗しているということ及び/又は前記BGP FSルールがBGP FS検証に失敗しているということを含む。

ある1つの実装において、前記BGP FSルールが前記BGP検証に失敗していることは、前記BGP FSルールが無効なパラメータを搬送しているということを含む。

ある1つの実装において、前記BGP FSルールが前記BGP FS検証に失敗していることは、前記BGP FSルールがあらかじめ設定されている実装条件を満たしていないということ、前記BGP FSルールの中で搬送されている実際に使用されているインターフェイスが、前記ネットワークノードのインターフェイスに適合していないということ、及び、前記BGP FSルールが前記ネットワークノードにおいて実行されているセキュリティ保護ポリシーと矛盾しているということ、のうちの1つ又は複数を含む。

第5の態様によれば、この出願の複数の実施形態は、プロセッサ及びメモリを含むデバイスを提供する。メモリは、命令を格納するように構成され、プロセッサは、メモリの中の命令を実行して、第1の態様のいずれかの実装にしたがった方法又は第2の態様のいずれかの実装にしたがった方法を実行するように構成される。

第6の態様によれば、この出願の複数の実施形態は、さらに、複数の命令を含むコンピュータ読み取り可能な記憶媒体を提供する。それらの複数の命令がコンピュータによって実行されるときに、コンピュータが、第1の態様のいずれかの実装にしたがった方法又は第2の態様のいずれかの実装にしたがった方法を実行することを可能とする。

第7の態様によれば、この出願の複数の実施形態は、複数の命令を含むコンピュータプログラム製品を提供する。それらの複数の命令がコンピュータによって実行されるときに、そのコンピュータが、第1の態様のいずれかの実装にしたがった方法又は第2の態様のいずれかの実装にしたがった方法を実行することを可能とする。

この出願の複数の実施形態における複数の技術的解決方法をより明確に説明するために、以下の記載は、それらの複数の実施形態又は従来技術を説明する際に使用される複数の添付の図面を簡単に説明している。以下の説明の中の添付の図面は、この出願の複数の実施形態のうちのいくつかを示しているということが明確であり、当業者は、創造的な努力を行うことなく、さらに、これらの複数の添付の図面から他の図面を導き出すことが可能である。

この出願のある1つの実施形態にしたがった例示的な適用シナリオの概略的な図である。 この出願のある1つの実施形態にしたがった情報報告方法のシグナリング対話図である。 この出願のある1つの実施形態にしたがった情報報告方法のシグナリング対話図である。 この出願のある1つの実施形態にしたがった情報報告装置の構成の概略的な図である。 この出願のある1つの実施形態にしたがったデータ処理装置の構成の概略的な図である。 この出願のある1つの実施形態にしたがったデバイスの構成の概略的な図である。

この出願の複数の実施形態は情報報告方法を提供して、従来の技術のBGP FSルールにしたがってトラフィック攻撃を効果的に防止することは不可能であるという問題を解決する。

この出願のそれらの複数の実施形態によって提供される解決方法の理解を容易にするために、最初に簡単にBGP FSルートを説明する。

BGP FSルートは、新たなBGPネットワーク層到達可能性情報及び新たな拡張コミュニティ属性を含む。その新たなネットワーク層到達可能性情報及びその新たな拡張コミュニティ属性を使用することによって、BGP FSルートは、対応するBGP FSルールを搬送してもよく、BGP FSルールは、また、トラフィック制御ポリシーであると考えられてもよい。具体的には、BGP FSルールは、トラフィックマッチング条件及びトラフィックマッチングの後の対応するトラフィック処理動作を含んでもよい。現在、トラフィックマッチング条件は、ネットワーク層到達可能性情報としてBGP FSルートの中で搬送され、トラフィック処理動作は、拡張コミュニティ属性としてBGP FSルートの中で搬送される。

トラフィックマッチング条件は、宛先アドレスに基づくマッチング、送信元アドレスに基づくマッチング、インターネットプロトコル(Internet Protocol, IP)プロトコル番号に基づくマッチング、ポート番号に基づくマッチング、宛先ポート番号に基づくマッチング、送信元ポート番号に基づくマッチング、インターネット制御メッセージプロトコル(Internet Control Message Protocol, ICMP)タイプに基づくマッチング、ICMPコーディングに基づくマッチング、伝送制御プロトコル(Transmission Control Protocol, TCP)のフラグビットに基づくマッチング、差分化サービスコードポイント(differentiated services code point, DSCP)に基づくマッチング、及びスライスタイプに基づくマッチングの12個のマッチング方式を含んでもよい。トラフィック処理動作は、トラフィック廃棄、トラフィック制限、パケットのDSCP値の修正、及び仮想プライベートネットワーク(virtual private network, VPN)へのリダイレクトの4つのタイプを含んでもよい。

以下の記載は、複数の添付の図面を参照して、この出願の複数の実施形態の適用シナリオを簡潔に説明する。図1は、この出願のある1つの実施形態にしたがった例示的な適用シナリオの概略的な図である。

自律システム(autonomous system, AS)100は、ネットワークデバイス101、ネットワークデバイス102、及びネットワークデバイス103を含む。ネットワークデバイス101、ネットワークデバイス102、及びネットワークデバイス103は、ルータであってもよく又はスイッチであってもよい。このことは、この出願のそれらの複数の実施形態においては特に限定されない。ネットワークデバイス101は、プロバイダエッジ(provider edge, PE)デバイスであってもよく、ネットワークデバイス101は、例えば、AS100のネットワークエッジノードであってもよい。

攻撃トラフィックを防止するために、サーバ200、ネットワークデバイス101、及びネットワークデバイス102のBGP FSピア関係をセットアップしてもよく、ネットワークデバイス101、ネットワークデバイス102、及びネットワークデバイス103のBGP FSピア関係をセットアップしてもよい。このように、例えば、サーバ200は、ネットワークデバイス102及びネットワークデバイス103にトラフィックサンプリング機能を配置してもよい。例えば、サーバ200は、ネットストリーム(netstream)を使用することによって、ネットワークデバイス102及びネットワークデバイス103を通過するトラフィックをサンプリングしてもよい。サーバ200は、そのサンプリングされたトラフィックを分析して、異常なトラフィックが存在するか否かを決定する。異常なトラフィックが存在する場合に、サーバ200は、その異常なトラフィックに対応するBGP FSルートを生成する。例えば、サーバ200がサンプリングされたトラフィックを分析した後に、サーバ200が、IPプロトコル番号が193である大きな量の攻撃トラフィックがネットワークデバイス102において発生しているということを決定する場合に、サーバ200は、IPプロトコル番号が193であるデータパケットを傍受するように指示するBGP FSルートを生成する。そのBGP FSルートを生成した後に、サーバ200は、ネットワークデバイス101又はネットワークデバイス102にそのBGP FSルートを送信する。そのBGP FSルートを受信した後に、ネットワークデバイス101又はネットワークデバイス102は、そのBGP FSルートを構文解析して、対応するBGP FSルールを決定してもよい。理想的な場合には、ネットワークデバイス101は、そのBGP FSルールを実装して、異常なトラフィックを制御してもよい。サーバ200がネットワークデバイス101にそのBGP FSルートを送信する場合に、ネットワークデバイス101は、そのASのネットワークエッジノードであるため、そのAS100のネットワーク入口又はネットワーク出口においてその異常なトラフィックを制御することが可能であるということを理解することが可能である。

実際の適用においては、サーバ200からBGP FSルートを受信した後に、ネットワークデバイス101又はネットワークデバイス102は、理想的なケースの中で説明されているように、BGP FSルールを実装しなくてもよいということを理解することが可能である。しかしながら、現時点では、いずれのデバイスも、ネットワークデバイス101等のネットワークノードにおけるBGP FSルールの実装の状況をモニタリングしていない。それに対応して、サーバ200は、ネットワークノードにおけるBGP FSルールの実装の状況に基づいて、BGP FSルールによって攻撃トラフィックを防止する効果を評価することが不可能であり、必要なときに対応する調整を実行することが不可能であり、攻撃トラフィックを効果的に防止することが不可能である。

図1に示されているように、図1は、サーバ200のほかにサーバ300をさらに含む。サーバ300は、BGPモニタリングプロトコル(BGP Monitoring Protocol, BMP)サーバであってもよい。BMPサーバは、リアルタイムでネットワークデバイスのBGP実行状況をモニタリングしてもよい。BGP実行状況は、ピア関係の確立及び終了、及び、ルーティング情報の更新等を含む。ネットワークデバイスは、BMPプロトコルにしたがってBMPサーバにメッセージを送信して、BMPサーバにネットワークデバイスのBGP実行状況を送信してもよい。図1に示されているシナリオにおいて、ネットワークデバイス101、ネットワークデバイス102、及びネットワークデバイス103は、サーバ300に、ネットワークデバイス101、ネットワークデバイス102、及びネットワークデバイス103のBGP実行状況を報告してもよい。表1を参照して、ネットワークデバイスがBMPプロトコルにしたがってBMPサーバに送信するメッセージを理解することが可能である。

加えて、BMPによってBGP FSローカルルーティング情報ベース(local routing information base, Local-RIB)をモニタリングする機能が配置されているネットワークデバイスの場合には、そのネットワークデバイスは、BMPサーバに、受信したBGP FSルートを報告してもよい。例えば、BMPによってBGP FS Local-RIBをモニタリングする機能がネットワークデバイス101に配置されている場合に、BGP FSルートを受信した後に、ネットワークデバイス101は、BMPサーバにBGP FSルートを報告する。ところが、ネットワークデバイス101は、BMPサーバにBGP FSルートを報告するにすぎない。したがって、たとえ、サーバ200がネットワークデバイス101からBGP FSルートを受信する場合であっても、サーバ200は、ネットワークデバイス101におけるBGP FSルールの実装の状況を知ることは不可能である。結果として、BGP FSが攻撃トラフィックを効果的に防止することが不可能であるという問題は、依然として存在する。

その問題を解決するために、この出願のそれらの複数の実施形態は、情報報告方法を提供する。以下の記載は、図1に示されているシナリオを参照して、その情報報告方法を説明する。

この出願のそれらの複数の実施形態によって提供される情報報告方法を説明する前に、さらに、図1は、理解を容易にするために示されているにすぎず、この出願のそれらの複数の実施形態に対するいかなる限定も構成しないということに留意すべきである。実際の適用においては、ASに含まれているネットワークデバイスの数は、図1に示されている3つには限定されない。加えて、この出願のそれらの複数の実施形態におけるサーバは、デバイスであってもよく又は機能モジュールであってもよい。このことは、この出願のそれらの複数の実施形態においては特に限定されない。この出願のそれらの複数の実施形態におけるサーバが、機能モジュールであるときに、その機能モジュールは、さまざまなデバイスにおいて実行されてもよい。機能モジュールが実行されているデバイスは、この出願のそれらの複数の実施形態においては特に限定されない。そのデバイスは、ネットワークノード又は端末デバイス等であってもよい。本明細書においては、詳細は説明されない。言い換えると、サーバ200及びサーバ300は、2つの独立したデバイスであってもよく、又は、一体化されて1つのデバイスとなっていてもよい。代替的に、サーバ200及びサーバ300は、同じデバイスにおいて実行されている2つの機能モジュールであってもよく、又は、2つの異なるデバイスにおいて実行されている2つの機能モジュールであってもよい。

図2は、この出願のある1つの実施形態にしたがった情報報告方法のシグナリング対話図である。この出願のこの実施形態によって提供される情報報告方法は、S101、S102、及びS103によって実装されてもよい。

S101: ネットワークノードは、ネットワークノードにおけるBGP FSルールの実装の状況を取得する。

本明細書におけるネットワークノードは、例えば、図1に示されているネットワークデバイス101であってもよいということに留意すべきである。ネットワークノードは、例えば、図1に示されているサーバ200等のサーバからBGP FSルートを受信してもよく、そのBGP FSルートは、BGP FSルールを搬送している。BGP FSルートを受信した後に、ネットワークノードは、そのBGP FSルートを構文解析して、そのBGP FSルートの中で搬送されているBGP FSルールを決定してもよい。さらに、ネットワークノードは、そのBGP FSルールを実装してもよい。

この出願のこの実施形態において、ネットワークノードにおけるBGP FSルールの実装の状況は、そのBGP FSルールがネットワークノードにおいて実装されているということを示すのに使用されるか、又は、そのBGP FSルールがネットワークノードにおいて実装されていないということを示すのに使用される。実際の適用においては、ネットワークノードは、ネットワークノードにおけるBGP FSルールの実装の状況を記録する。したがって、ネットワークノードは、対応する記憶ファイルを読み取って、ネットワークノードにおけるBGP FSルールの実装の状況を取得してもよい。

この出願のこの実施形態においては、その状況が、より詳細にネットワークノードにおけるBGP FSルールの実装の状況を反映することを可能とするために、この出願のこの実施形態のある1つの実装において、実際の適用の場合に、ネットワークノードにおいて実装されているBGP FSルールは、正常な実装及び異常な実装の少なくとも2つの場合を含んでもよい。正常な実装は、BGP FSルールが、BGP最良経路選択プロセスに正しく参加し、且つ、BGP FSルールが、実装されているときに、他の要因によって干渉されないということを意味する。異常な実装は、BGP FSルールがBGP最良経路選択プロセスに正しく参加しているが、BGP FSルールが、実装されているときに、他の要因によって干渉されるということを意味する。この観点から、BGP FSルールがネットワークノードにおいて実装されていることは、ネットワークノードにおけるBGP FSルールの実装が正常であるということ、又は、ネットワークノードにおけるBGP FSルールの実装が異常であるということ、を含んでもよい。

実際の適用においては、さらに、ネットワークノードにおいて、例えば、アクセス制御リスト(access control list, ACL)が示すトラフィック制御ポリシー又はポリシールール(policy based routing, PBR)が示すトラフィック制御ポリシー等の他のトラフィック制御ポリシーを実行してもよい。BGP FSルールの優先順位が、他のトラフィック制御ポリシーの優先順位よりも低い場合には、ネットワークノードを通過するトラフィックは、最初に、他のトラフィック制御ポリシーによって処理され、その次に、そのBGP FSルールによって処理されるため、これらの他のトラフィック制御ポリシーは、ネットワークノードにおけるそのBGP FSルールの実装と干渉する。言い換えると、この出願のこの実施形態のある1つの実装において、ネットワークノードにおけるBGP FSルールの実装が異常であることは、BGP FSルールの優先順位が、他のトラフィック制御ポリシーの優先順位よりも低いということを意味してもよい。

それに対応して、状況が、BGP FSルールがネットワークノードにおいて実装されていないということである場合には、さらに、BGP FSルールがネットワークノードにおいて実装されていない理由を反映させるように、この出願のこの実施形態のある1つの実装において、状況は、さらに、BGP FSルールがネットワークノードにおいて実装されていない具体的な理由を示してもよい。

具体的には、ある1つの実装において、BGP FSルールを取得した後に、ネットワークノードは、最初に、BGP FSルールを検証し、そして、BGP FSルールが検証に成功した後にのみ、ネットワークノードは、そのBGP FSルールを実装してもよい。BGP FSルールに対して実行される検証は、BGP検証及び/又はBGP FS検証を含んでもよい。BGP FSルールがBGP検証に失敗している場合、又は、BGP FSルールがBGP FS検証に失敗している場合には、ネットワークノードは、もはや、そのBGP FSルールを実装しない。したがって、この出願のこの実施形態において、BGP FSルールがネットワークノードにおいて実装されていないことは、BGP FSルールがBGP検証に失敗しているということ及び/又はBGP FSルールがBGP FS検証に失敗しているということ以下を含んでもよい。

実際の適用においては、BGP FSルールがBGP検証に失敗している理由は、通常は、BGP FSルールが無効なパラメータを搬送しているということであってもよいということに留意すべきである。無効なパラメータは、少なくとも2つの場合に該当してもよい。1つは、ネットワークノードが処理することが不可能であるパラメータが、そのBGP FSルールの中に存在するということである。例えば、BGP FSルールは、インターネットプロトコルバージョン6(Internet Protocol Version 6, IPv6)の次のホップにリダイレクトするということを示している。一方で、ネットワークノードは、IPv6の次のホップへのリダイレクトをサポートしていない。もう1つは、無効な自律システム(autonomous system, AS)経路が、そのBGP FSルールの中に存在するということである。例えば、BGP FSルールの中で搬送されているAS識別子は、ネットワークノードに対応するAS識別子に等しい。他の例では、BGP FSルールの中で搬送されているAS識別子は、第2のサーバに対応するAS識別子と等しくはない。

BGP FSルールがBGP FS検証に失敗している場合には、ある1つの実装において、通常は、ネットワークノードは、1つ又は複数のインターフェイスを含んでもよく、BGP FSルールは、通常、BGP FSルールの実際に使用されているインターフェイスを搬送するということに留意すべきである。BGP FSルールの中で搬送されている実際に使用されているインターフェイスが、ネットワークノードのインターフェイスに適合していない場合には、ネットワークノードにおいてそのBGP FSルールを実装することは不可能である。この場合には、BGP FSルールがネットワークノードにおいて実装されていないことは、BGP FSルールの中で搬送されている実際に使用されているインターフェイスが、ネットワークノードのインターフェイスに適合していないということであってもよい。

本明細書における実際に使用されているインターフェイスは、1つのインターフェイスであってもよく、複数のインターフェイスであってもよいということに留意すべきである。このことは、この出願のこの実施形態においては特に限定されない。複数の実際に使用されているインターフェイスが存在するときに、例えば、BGP FSルールは、複数のインターフェイスの識別子を搬送していてもよい。

ある1つの実装において、実際の適用においては、さらに、ネットワークノードにおいて、対応するセキュリティ保護ポリシーを構成してもよい。BGP FSルールが、そのセキュリティ保護ポリシーと矛盾している場合には、ネットワークノードにおいてそのBGP FSルールを実装することは不可能である。例えば、ネットワークノードにおけるセキュリティ保護ポリシーは、指定されたIPプレフィックス又は指定されたプロトコルを使用するパケットに対するトラフィック制限を禁止することを示し、BGP FSルールは、指定されたIPアドレスを有するパケットに対するトラフィック制限を実行することである。結果として、ネットワークノードにおいてそのBGP FSルールを実装することは不可能である。この場合には、BGP FSルールがネットワークノードにおいて実装されていないことは、BGP FSルールがセキュリティ保護ポリシーと矛盾しているということであってもよい。

加えて、通常、さらに、BGP FSルールのために、ネットワークノードにおいてあらかじめ設定されている実装条件を設定してもよく、BGP FSルールがあらかじめ設定されている実装条件を満たすときにのみ、ネットワークノードは、BGP FSルールを実装することが可能である。あらかじめ設定されている実装条件に関して、ある1つの実装において、デバイスのすべてが、実際の適用において、BGP FSルールを実装するための要件を満たしているわけではないということに留意すべきである。例えば、ルートリフレクタは、ルートを転送するように構成されているにすぎず、BGP FSルールを実装しない。したがって、通常は、あらかじめ設定されている実装条件は、そのネットワークノードがそのBGP FSルールを実装することは許可されないということを含んでもよい。ネットワークノードがそのBGP FSルールを実装することを許可しないように構成されている場合には、ネットワークノードにおけるそのBGP FSルールの実装の状況は、明らかに、BGP FSルールが実装されていないということであるということを理解することが可能である。他の実装において、実際の適用においては、ネットワークノードがBGP FSルールを実装するために占有するリソースを制御するために、ネットワークノードは、実装されるBGP FSルールの数の上限を設定してもよい。受信したBGP FSルールの数が、数の上限を超えるときに、BGP FSルールは、あらかじめ設定されている実装条件を満たしていないということを決定する。代替的に、ネットワークデバイスは、トラフィックマッチング条件の数の上限を設定してもよい。BGP FSルールが示すトラフィックマッチング条件が、トラフィックマッチング条件の数の上限を超えるということを決定するときに、ネットワークノードは、BGP FSルールがあらかじめ設定されている実装条件を満たしていないということを決定する。代替的に、ネットワークデバイスは、トラフィック処理動作の数の上限を設定してもよく、BGP FSルールが示すトラフィック処理動作が、トラフィック処理動作の数の上限を超えるということを決定するときに、ネットワークノードは、BGP FSルールがあらかじめ設定されている実装条件を満たしていないということを決定する。代替的に、ネットワークノードは、BGP FSルールに特定の量のメモリを割り当て、BGP FSルールに対応する利用可能なメモリが十分ではないということを決定するときに、ネットワークノードは、BGP FSルールがあらかじめ設定されている実装条件を満たしていないということを決定する。

S102: ネットワークノードは、第1のサーバに状況を送信する。

状況を取得した後に、ネットワークノードは、第1のサーバに状況を送信してもよい。ネットワークノードが第1のサーバに状況を送信した後に、第1のサーバは、その状況に基づいて、ネットワークノードにおけるBGP FSルールの実装の状況を決定してもよい。本明細書における第1のサーバは、図1に示されているサーバ200であってもよく、又は、図1に示されているサーバ300であってもよいということに留意すべきである。このことは、この出願のこの実施形態においては特に限定されない。一方で、実際の適用においては、BMPサーバは、通常、リアルタイムでネットワークデバイスのBGP実行状況をモニタリングする。したがって、選択的な解決方法においては、第1のサーバは、BMPサーバ、すなわち、図1に示されているサーバ300であってもよい。この出願のこの実施形態の以下の説明においては、別段の定めがある場合を除き、第1のサーバは、図1に示されるサーバ300に対応する。

上記のように、BMPによってBGP FS Local-RIBをモニタリングする機能がネットワークノード上に配置されている場合に、BGP FSルートを受信した後に、ネットワークノードは、BMPサーバにBGP FSルートを報告する。加えて、ネットワークノードは、表1に示されているRMメッセージを使用することによって、BMPサーバに、受信したBGP FSルートを報告してもよい。この観点から、この出願のこの実施形態のある1つの実装において、ネットワークノードは、キャリアとしてRMメッセージを使用し、そして、第1のサーバに、ネットワークノードにおけるBGP FSルールの実装の状況を含むRMメッセージを送信してもよい。具体的には、ネットワークノードは、RMメッセージに、ネットワークノードにおけるBGP FSルールの実装の状況を追加し、そして、その次に、第1のサーバに、その状況が追加されているRMメッセージを送信してもよい。この出願のこの実施形態においては、RMメッセージは、RMメッセージの拡張フィールドの中で状況を搬送するように拡張されてもよい。例えば、状況は、拡張されたtype-length-value(type length value, TLV)フィールドの中で搬送されてもよい。

加えて、BMPによってBGP FS Local-RIBをモニタリングする機能がネットワークノードに配置されていないときに、BMPによってBGP FS Local-RIBをモニタリングする機能がネットワークノードに配置されていないため、ネットワークノードは、第1のサーバにBGP FSルートを送信しない。それに対応して、RMメッセージによって第1のサーバに、ネットワークノードにおけるBGP FSルールの実装の状況を送信することは不可能である。この場合には、第1のサーバは、ネットワークノードに状況報告指示を送信してもよい。状況報告指示は、第1のサーバに、ネットワークノードにおけるBGP FSルールの実装の状況を報告するようにネットワークノードに指示するのに使用される。言い換えると、第1のサーバから状況報告指示を受信した後に、ネットワークノードは、S101及びS102を実行してもよい。

状況報告指示のフレーム構造は、この出願のこの実施形態においては特に限定されないということに留意すべきである。ある1つの例では、状況報告指示は、アドレスファミリー識別子(address family identifier, AFI)及び後続のアドレスファミリー識別子(subsequent AFI, SAFI)を搬送してもよい。AFI及びSAFIに適合している各々のBGP FSルールについて、ネットワークノードは、第1のサーバに、ネットワークノードにおける各々のBGP FSルールの実装の状況を報告してもよい。他の例では、状況報告指示は、BGP FSルールの識別子を搬送し、ネットワークノードは、第1のサーバに、ネットワークノードにおける識別子に対応するBGP FSルールの実装の状況を報告してもよい。もちろん、状況報告指示は、本明細書においては1つずつ説明することはない他のフィールドをさらに含んでもよい。

この出願のこの実施形態において、状況報告指示を受信した後に、ネットワークノードは、周期的に、S101及びS102を実行してもよく、又は、確実に、S101及びS102を1回のみ実行してもよい。このことは、この出願のこの実施形態においては特に限定されない。ネットワークノードが周期的にS101及びS102を実行する解決方法においては、この出願のこの実施形態のある1つの実装において、第1のサーバは、さらに、ネットワークノードに状況報告停止指示を送信して、ネットワークノードにおけるBGP FSルールの実装の状況をもはや報告しないようにネットワークノードに指示してもよい。例えば、第1のサーバは、ネットワークノードが報告するネットワークノードにおけるBGP FSルールの実装の状況に基づいて、ある時間期間においてBGP FSルールの実装が正常であるということを決定し、したがって、ネットワークノードにおけるBGP FSルールの実装の状況をモニタリングしない。この場合には、第1のサーバは、ネットワークノードに状況報告停止指示を送信してもよい。

この出願のこの実施形態において、状況報告指示及び状況報告停止指示は、同じフレーム構造を使用してもよく、フィールドの値は、状況報告指示と状況報告停止指示とを区別するのに使用される。例えば、第1のサーバが配送する第1の指示の中の最初のフィールドの値が1であるときに、第1の指示は、状況報告指示であり、第1の指示の中の最初のフィールドの値が0であるときに、第1の指示は、状況報告停止指示である。

S103: 第1のサーバは、受信した状況を格納する。

この出願のこの実施形態において、第1のサーバが、ネットワークノードにおけるBGP FSルールの実装の状況を受信した後に、第1のサーバは、その状況を格納してもよい。具体的には、第1のサーバは、メモリの中にその状況を格納してもよい。必要に応じて、第1のサーバは、メモリから、ネットワークノードにおけるBGP FSルールの実装の状況を読み取り、そして、例えば、その状況に基づいて第1の操作を実行するといったように、その状況に基づいて、他の操作を実行してもよい。もちろん、第1のサーバは、代替的に、第2のサーバにその状況を送信してもよく、第2のサーバは、その状況に基づいて第1の操作を実行する。実際の適用においては、通常は、第1の操作は、BGP FSルールに関連しているということに留意すべきである。したがって、この出願のこの実施形態において、第2のサーバは、例えば、図1に示されているサーバ200等のBGP FSルールを生成するサーバであってもよい。上記のように、第1のサーバ及び第2のサーバは、同じデバイスにおいて実行されてもよく、複数の異なるデバイスにおいて実行されてもよい。第1のサーバ及び第2のサーバが1つのデバイスにおいて実行されるときに、第1のサーバは、その状況に基づいて、第1の操作を実行してもよいということを理解することが可能である。第1のサーバ及び第2のサーバが2つのデバイスにおいて実行されるときに、第1のサーバは、第2のサーバに状況を送信してもよく、第2のサーバは、その状況に基づいて、第1の操作を実行する。第1のサーバがその状況に基づいて第1の操作を実行する特定の実装は、第2のサーバがその状況に基づいて第1の操作を実行する特定の実装と同じである。以下の記載は、説明のために、第1のサーバがその状況に基づいて第1の操作を実行するある1つの例を使用する。

この出願のこの実施形態のある1つの実装において、ネットワーク管理者が、ネットワークノードにおけるBGP FSルールの実装の状況を知ることを可能とするために、第1のサーバは、状況を表示するようにディスプレイデバイスを制御してもよい。このように、ネットワーク管理者は、ディスプレイデバイスに表示されているコンテンツを使用することによって、ネットワークノードにおけるBGP FSルールの実装の状況を決定することが可能である。さらに、ネットワーク管理者は、状況に基づいて、対応する調整を実行してもよい。本明細書におけるディスプレイデバイスは、ディスプレイであってもよい。ディスプレイは、第1のサーバのディスプレイであってもよく、又は、他のデバイスのディスプレイであってもよい。このことは、この出願のこの実施形態においては特に限定されない。

この出願のこの実施形態の他の実装において、BGP FSルールが、ネットワークノードにおいて実装されて、攻撃トラフィックを制御することを可能とするために、状況が、BGP FSルールがネットワークノードにおいて実装されていないということを示している場合に、特定の実装の際に、第1のサーバは、BGP FSルールがネットワークノードにおいて実装されることを可能とする目的で、その状況に基づいて、第1の操作を実行してもよい。具体的には、S101でのネットワークノードにおけるBGP FSルールの実装の状況の説明から、BGP FSルールは、BGP FSルールの構成パラメータ又はネットワークノードの構成に起因して、ネットワークノードにおいて実装されないということを理解することが可能である。したがって、この出願のこの実施形態において、第1のサーバは、ネットワークノードにおけるBGP FSルールの実装の状況に基づいて、BGP FSルールがネットワークノードにおいて実装されない理由を決定し、さらに、その決定された理由に基づいて、第1の操作を実行してもよい。

具体的には、BGP FSルールが、そのBGP FSルールの構成パラメータに起因して、ネットワークノードにおいて実装されていないということを、第1のサーバが決定する場合に、第1の操作を実行するときは、例えば、第1のサーバは、BGP FSルールを修正し、そして、特定の実装の際に、ネットワークノードに、その修正されているBGP FSルールを送信し、それによって、ネットワークノードは、修正されているBGP FSルールを実装する。BGP FSルールが、ネットワークノードの構成に起因して、ネットワークノードにおいて実装されていないということを、第1のサーバが決定する場合に、第1の操作を実行するときは、例えば、第1のサーバは、特定の実装の際に、ネットワークノードに第1の構成指示を送信してもよい。その第1の構成指示は、ネットワークノードを再構成するのに使用される。このように、ネットワークノードは、BGP FSルールを実装することが可能である。

以下の記載は、第1のサーバが状況に基づいてBGP FSルールを修正し、第1のサーバがネットワークノードに第1の構成指示を送信する複数の特定の実装を個別に説明する。

"第1のサーバが状況に基づいてBGP FSルールを修正する"特定の実装を最初に説明する。

S101でのネットワークノードにおけるBGP FSルールの実装の状況の説明から、状況は、BGP FSルールがBGP検証に失敗しているということを示していてもよいということを理解することが可能である。一方で、BGP FSルールがBGP検証に失敗していることは、BGP FSルールが無効なパラメータを搬送しているということを含んでもよい。この場合には、第1のサーバは、BGP FSルールを修正してもよく、それによって、修正されているBGP FSルールは、BGP検証に成功する。このように、第1のサーバがネットワークノードに修正されているBGP FSルールを送信した後に、ネットワークノードは、BGP FSルールを実装してもよい。具体的には、第1のサーバは、BGP FSルールの中で搬送されている無効なパラメータを決定し、そして、有効なパラメータへとその無効なパラメータを修正してもよい。例えば、第1のサーバは、BGP FSルールの中に存在し、且つ、ネットワークノードが処理することが不可能であるパラメータをネットワークノードが処理することが可能であるパラメータへと修正し、そして、ネットワークノードにその修正されているBGP FSルールを送信してもよい。他の例では、第1のサーバは、有効なAS経路へとBGP FSルールの中の無効なAS経路を修正し、そして、ネットワークノードにその修正されているBGP FSルールを送信してもよい。

S101でのネットワークノードにおけるBGP FSルールの実装の状況の説明から、状況は、BGP FSルールの中で搬送されている実際に使用されているインターフェイスが、ネットワークノードのインターフェイスに適合していないということを示してもよいということを理解することが可能である。この場合には、BGP FSルールの中で搬送されている実際に使用されているインターフェイスは、ネットワークノードのインターフェイスに適合していないため、ネットワークノードにおいてBGP FSルールを実装することは不可能である。したがって、第1のサーバは、BGP FSルールを修正してもよい。具体的には、第1のサーバは、ネットワークノードのインターフェイスに適合するインターフェイスへと、BGP FSルールの中で搬送されている実際に使用されているインターフェイスを修正し、そして、ネットワークノードにその修正されているBGP FSルールを送信してもよい。このように、ネットワークノードは、BGP FSルールを実装することが可能である。

S101でのネットワークノードにおけるBGP FSルールの実装の状況の説明から、状況は、BGP FSルールがセキュリティ保護ポリシーと矛盾しているということを示してもよいということを理解することが可能である。この場合には、第1のサーバは、BGP FSルールを修正してもよい。具体的には、第1のサーバは、セキュリティ保護ポリシーと矛盾していないBGP FSルールへとそのBGP FSルールを修正し、そして、ネットワークノードにその修正されているBGP FSルールを送信してもよい。このように、ネットワークノードは、BGP FSルールを実装することが可能である。例えば、ネットワークノードにおけるセキュリティ保護ポリシーは、第1のIPプレフィックスを有するパケットに対するトラフィック制限を禁止することを示し、BGP FSルールは、第1のIPプレフィックス及び第2のIPプレフィックスを有するパケットに対するトラフィック制限を実行することを示す。この場合には、第1のサーバは、BGP FSルールから、第1のIPプレフィックスを有するパケットに対するトラフィック制限を実行するためのトラフィック制御ポリシーを削除してもよい。

以下の記載は、"第1のサーバが、状況に基づいて、ネットワークノードに第1の構成指示を送信する"特定の実装を説明する。

S101でのネットワークノードにおけるBGP FSルールの実装の状況の説明から、状況は、BGP FSルールがBGP FS検証に失敗しているということを示してもよいということを理解することが可能である。BGP FSルールがBGP FS検証に失敗している理由は、そのBGP FSルールが、ネットワークノードがBGP FSルールを検証するのに使用する検証ルールにしたがっていない、すなわち、そのBGP FSルールが、あらかじめ設定されている実装条件を満たしていないということであってもよい。この場合には、第1のサーバは、ネットワークノードに第1の構成指示を送信してもよい。第1の構成指示は、ターゲットパラメータを再構成するようにネットワークノードに指示するのに使用され、ターゲットパラメータは、BGP FSルールがあらかじめ設定されている実装条件を満たすか否かを決定するのに使用されるパラメータである。このように、ネットワークノードがターゲットパラメータを再構成した後に、BGP FSルールは、あらかじめ設定されている実装条件を満たすことが可能となる。例えば、ターゲットパラメータは、BGP FSルールを実装するようにネットワークノードを構成することを可能とするパラメータ、上記で説明されているBGP FSルールの数の上限、上記で説明されているトラフィックマッチング条件の数の上限、上記で説明されているトラフィック処理動作の数の上限、又は、ネットワークノードがBGP FSルールに割り当てるメモリサイズであってもよい。もちろん、第1の構成指示は、代替的に、ある構成指示であってもよく、その構成指示は、BGP FSルールがあらかじめ設定されている実装条件を満たすか否かの検証を中止するようにネットワークノードを構成するのに使用される。ネットワークノードが、もはや、BGP FSルールがあらかじめ設定されている実装条件を満たすか否か検証しない場合には、ネットワークノードは、BGP FSルールを実装することが可能であるということを理解することが可能である。

上記の説明から、この出願のこの実施形態によって提供される解決方法によれば、第1のサーバは、ネットワークノードにおけるBGP FSルールの実装の状況を知ることが可能であるということを理解することが可能である。それに対応して、第1のサーバは、状況を格納し、そして、例えば、BGP FSルールを修正し、又は、ネットワークノードを再構成するといったように、必要がある場合に、状況に基づいて第1の操作を実行し、それによって、ネットワークノードにおいてそのBGP FSルールを実装することが可能として、攻撃トラフィックを効果的に防止する。

この出願のこの実施形態のある1つの実装において、BGF FSルールがネットワークノードにおいて実装されるときに、さらに、BGP FSルールのトラフィック制御効果を評価するために、ネットワークノードは、さらに、BGP FSルールのトラフィックマッチング情報を取得し、そして、第1のサーバにトラフィックマッチング情報を送信してもよい。トラフィックマッチング情報は、BGP FSルールに適合するデータトラフィックの関連する情報である。トラフィックマッチング情報は、この出願のこの実施形態においては特に限定されない。例えば、トラフィックマッチング情報は、BGP FSルールに適合するパケットの数であってもよく、又は、BGP FSルールに適合するパケットが占有するバイトの数であってもよい。

上記のように、BMPによってBGP FS Local-RIBをモニタリングする機能が、ネットワークノードに配置されている場合に、BGP FSルートを受信した後に、ネットワークノードは、BMPサーバにBGP FSルートを報告する。表1から、ネットワークノードがBMPサーバに送信するメッセージのタイプは、SRメッセージであるということを理解することが可能である。SRメッセージは、統計情報を搬送し、トラフィックマッチング情報は、また、統計情報であると考えられてもよい。この観点から、この出願のこの実施形態において、キャリアとして既存のSRメッセージを使用することによって、第1のサーバにトラフィックマッチング情報を送信してもよい。言い換えると、この出願のこの実施形態のある1つの実装において、ネットワークノードは、SRメッセージにBGP FSルールのトラフィックマッチング情報を追加し、そして、その次に、第1のサーバに、トラフィックマッチング情報が追加されているSRメッセージを送信してもよい。具体的には、ネットワークノードは、SRメッセージの拡張フィールドを使用して、トラフィックマッチング情報を搬送してもよい。例えば、トラフィックマッチング情報は、拡張TLVフィールドの中で搬送されてもよい。

加えて、BMPによってBGP FS Local-RIBをモニタリングする機能が、ネットワークノードに配置されていないときに、第1のサーバは、ネットワークノードにトラフィック情報報告指示を送信してもよく、トラフィック情報報告指示は、第1のサーバにトラフィックマッチング情報を報告するようにネットワークノードに指示するのに使用される。言い換えると、第1のサーバからトラフィック情報報告指示を受信した後に、ネットワークノードは、BGP FSルールのトラフィックマッチング情報を取得し、そして、第1のサーバにそのトラフィックマッチング情報を送信してもよい。トラフィック情報報告指示のフレーム構造は、この出願のこの実施形態においては特に限定されないということに留意すべきである。状況報告指示のフレーム構造と同様に、ある1つの例では、トラフィック情報報告指示は、AFI及びSAFIを搬送してもよい。他の例では、トラフィック情報報告指示は、BGP FSルールの識別子を搬送する。もちろん、トラフィック情報報告指示は、本明細書においては、1つずつ説明されない他のフィールドをさらに含んでもよい。

実際の適用においては、BGP FSルールがネットワークノードにおいて実装されていない場合に、必ずしも、BGP FSルールに適合するデータトラフィックは存在するわけではない。この観点から、この出願のこの実施形態のある1つの実装において、第1のサーバがネットワークノードから状況を受信し、その状況が、BGP FSルールがネットワークノードにおいて実装されているということを示すときにのみ、第1のサーバは、ネットワークノードにトラフィック情報報告指示を送信してもよく、第1のサーバとネットワークノードとの間のデータ交換を減少させる。

この出願のこの実施形態においては、トラフィック情報報告指示を受信した後に、ネットワークノードは、周期的にBGP FSルールのトラフィックマッチング情報を取得し、そして、第1のサーバにそのトラフィックマッチング情報を送信してもよい。もちろん、ネットワークノードは、代替的に、BGP FSルールのトラフィックマッチング情報を取得し、そして、第1のサーバに1回だけトラフィックマッチング情報を送信してもよい。このことは、この出願のこの実施形態においては特に限定されない。ネットワークノードによって、周期的に、BGP FSルールのトラフィックマッチング情報を取得し、そして、第1のサーバにそのトラフィックマッチング情報を送信するステップのために、この出願のこの実施形態のある1つの実装において、第1のサーバは、さらに、ネットワークノードにトラフィック情報報告停止指示を送信してもよい。その指示は、BGP FSルールのトラフィックマッチング情報をもはや報告しないようにネットワークノードに指示するのに使用される。例えば、第1のサーバが、ネットワークノードが報告するトラフィックマッチング情報に基づいて、BGP FSルールがある時間期間の中で攻撃トラフィックの傍受に成功しているということを決定し、したがって、第1のサーバがもはやBGP FSルールのトラフィックマッチング状況をモニタリングしない場合に、第1のサーバは、ネットワークノードにトラフィック情報報告停止指示を送信してもよい。

この出願のこの実施形態において、トラフィック情報報告指示及びトラフィック情報報告停止指示は、同じフレーム構造を使用してもよく、フィールドの値は、トラフィック情報報告指示とトラフィック情報報告停止指示とを区別するのに使用される。例えば、第1のサーバが配送する第2の指示の中の第2のフィールドの値が1であるときに、第2の指示は、トラフィック情報報告指示であり、第2の指示の中の第2のフィールドの値が0であるときに、第2の指示は、トラフィック情報報告停止指示である。

ネットワークノードからトラフィックマッチング情報を受信した後に、第1のサーバは、トラフィックマッチング情報を格納してもよく、さらに、そのトラフィックマッチング情報に基づいて、第2の操作を実行してもよい。代替的に、第1のサーバは、第2のサーバにトラフィックマッチング情報を送信し、第2のサーバは、そのトラフィックマッチング情報に基づいて、第2の操作を実行する。

第1のサーバがトラフィックマッチング情報に基づいて第2の操作を実行する特定の実装は、第2のサーバがトラフィックマッチング情報に基づいて第2の操作を実行する特定の実装と同じである。以下の記載は、説明のために、第1のサーバがトラフィックマッチング情報に基づいて第2の操作を実行するある1つの例を使用する。

この出願のこの実施形態のある1つの実装において、ネットワーク管理者が、ネットワークノードにおけるBGP FSルールのトラフィックマッチングの状況を知ることを可能とするために、第1のサーバは、トラフィックマッチング情報を表示するようにディスプレイデバイスを制御してもよい。このように、ネットワーク管理者は、ディスプレイデバイスに表示されているコンテンツを使用することによって、ネットワークノードにおけるBGP FSルールのトラフィックマッチングの状況を決定することが可能である。さらに、ネットワーク管理者は、トラフィックマッチング情報に基づいて、対応する調整を実行してもよい。本明細書におけるディスプレイデバイスは、ディスプレイであってもよい。ディスプレイは、第1のサーバのディスプレイであってもよく、又は、他のデバイスのディスプレイであってもよい。このことは、この出願のこの実施形態においては特に限定されない。

この出願のこの実施形態の他の実装において、BGP FSルールが攻撃トラフィックを効果的に制御することを可能とするために、トラフィックマッチング情報を取得した後に、第1のサーバは、さらに、トラフィックマッチング情報があらかじめ設定されている条件を満たすか否かを決定してもよい。本明細書において、トラフィックマッチング情報があらかじめ設定されている条件を満たすか否かを決定することは、BGF FSルールにしたがって実行されるトラフィック制御の効果が、期待値を満たすか否かを決定することを指す。あらかじめ設定されている条件は、この出願のこの実施形態においては特に限定されない。実際の適用においては、BGP FSルールは、そのネットワークノードを通過する履歴データトラフィックを分析することによって決定される異常なトラフィックについて定式化される。したがって、この出願のこの実施形態の実施において、あらかじめ設定されている条件は、また、異常なトラフィックに基づいて決定されてもよい、すなわち、そのネットワークノードを通過する履歴データトラフィックを分析することによって取得されてもよい。例えば、そのネットワークノードを通過する履歴データトラフィックを分析することによって、単位時間の中でネットワークノードを通過する攻撃トラフィックが、Mであるということを発見する場合に、トラフィックマッチング情報は、あらかじめ設定されている条件を満たす。例えば、あらかじめ設定されている条件は、単位時間の中でBGP FSルールが示すトラフィック制御ポリシーに適合するデータトラフィックが、M×k以上であってもよいということであり、kは比例係数である。もちろん、上記の説明は、理解を容易にするのみのために本明細書の中で提供され、この出願のこの実施形態に対する限定を構成しない。

第1のサーバが、取得したトラフィックマッチング情報があらかじめ設定されている条件を満たすということを決定する場合に、その決定は、BGP FSルールが攻撃トラフィックを効果的に防止することが可能であるということを示すということを理解することが可能である。第1のサーバが、取得したトラフィックマッチング情報があらかじめ設定されている条件を満たしていないということを決定する場合に、その決定は、BGP FSルールが効果的に攻撃トラフィックを防止することは不可能であるということを示す。BGP FSルールが攻撃トラフィックを効果的に防止することが不可能であるときに、第1のサーバは、さらに、BGP FSルールが効果的に攻撃トラフィックを防止することができない理由を決定し、そして、対応する調整を実行して、攻撃トラフィックを効果的に防止してもよい。

実際の適用においては、トラフィックマッチング情報があらかじめ設定されている条件を満たしていない理由が2つ存在してもよい。1つは、BGP FSルールの実装が、他のトラフィック制御ポリシーによって干渉を受けるということである。すなわち、上記のように、ネットワークノードにおけるBGP FSルールの実装は、異常である。もう1つは、BGP FSルールの構成である。第1の理由の場合には、この出願のこの実施形態においては、例えば、第1のサーバは、ネットワークノードを再構成してもよく、それによって、ネットワークノードにおけるBGP FSルールの実装は正常となる。第2の理由の場合には、この出願のこの実施形態においては、例えば、第1のサーバは、BGP FSルールを修正し、そして、ネットワークノードに、その修正されているBGP FSルールを送信してもよい。言い換えると、この出願のこの実施形態においては、第1のサーバは、さらに、特定の実装の際に、2つの実装におけるトラフィックマッチング情報に基づいて、第2の操作を実行してもよい。ある1つの実装において、トラフィックマッチング情報が、あらかじめ設定されている条件を満たしていないということを決定するときに、トラフィックマッチング情報に基づいて、ネットワークノードに第2の構成指示を送信し、第2の構成指示は、ネットワークノードを再構成するのに使用される。他の実装において、トラフィックマッチング情報が、あらかじめ設定されている条件を満たしていないということを決定するときに、トラフィックマッチング情報に基づいて、BGP FSルールを修正し、そして、ネットワークノードに、修正されているBGP FSルールを送信する。以下の記載は、それらの2つの実装を個別に説明する。

具体的には、第1のサーバは、最初に、ネットワークノードにおけるBGP FSルールの実装の取得した状況に基づいて、トラフィックマッチング情報があらかじめ設定されている条件を満たしていない理由が、ネットワークノードにおけるBGP FSルールの異常な実装であるか否かを決定してもよい。具体的には、第1のサーバが取得するネットワークノードにおけるBGP FSルールの実装の状況が、BGP FSルールの優先順位が他のトラフィック制御ポリシーの優先順位よりも低いということを含む場合に、その状況は、ネットワークノードにおけるBGP FSルールの実装が異常であるということを示す。それに対応して、第1のサーバは、ネットワークノードに第2の構成指示を送信してもよく、第2の構成指示は、他のトラフィック制御ポリシーの実装を中止するようにネットワークノードを構成するのに使用されるか、又は、BGP FSルールを優先的に実装するようにネットワークノードを構成するのに使用される。他のトラフィック制御ポリシーについては、実装状況情報の上記の説明を参照すべきである。本明細書においては、詳細は繰り返しては説明されない。

実際の適用においては、たとえ、BGP FSルールがネットワークノードにおいて実装されていなくても、他のトラフィック制御ポリシーが、攻撃トラフィックを効果的に防止することができる場合には、そのネットワークシステムは、依然として、正常に動作する。この観点から、この出願のこの実施形態のある1つの実装において、第1のサーバが取得するネットワークノードにおけるBGP FSルールの実装の状況が、BGP FSルールの優先順位が、他のトラフィック制御ポリシーの優先順位よりも低いということを含む場合には、第1のサーバは、さらに、そのネットワークノードを通過するデータトラフィックを分析し、そして、異常なトラフィックが存在するか否かを決定してもよい。異常なトラフィックが存在する場合には、その決定は、他のトラフィック制御ポリシーが攻撃トラフィックを効果的に防止していないということを示す。この場合には、第1のサーバは、ネットワークノードに第2の構成指示を送信する。異常なトラフィックが存在しない場合には、その決定は、他のトラフィック制御ポリシーが攻撃トラフィックを効果的に防止することが可能であるということを示す。この場合には、第1のサーバは、ネットワークノードに第2の構成指示を送信しなくてもよい。

第1のサーバが取得するネットワークノードにおけるBGP FSルールの実装の状況が、BGP FSルールの優先順位が他のトラフィック制御ポリシーの優先順位よりも低いということを含まない場合には、その状況は、BGP FSルールの実装が正常であるということを示す。それに対応して、第1のサーバは、トラフィックマッチング情報が、BGP FSルールの構成に起因して、あらかじめ設定されている条件を満たしていないということを決定してもよい。実際の適用においては、BGP FSルールの中のパラメータのうちのいくつかの組み合わせが、そのBGP FSルールを有効にさせない場合には、さらに、ネットワークノードにおいてBGP FSルールを実装した後も、攻撃トラフィックを効果的に防止することは不可能である。例えば、パラメータ1は、1000よりも小さいバイトを有するパケットに適合する必要があり、パラメータ2は、2000よりも大きいバイトを有するパケットに適合する必要がある。それらの2つのパラメータを組み合わせた後も、BGP FSルールを有効にすることは不可能である。他の例では、パラメータ3に対応するトラフィック処理動作は、VPNインスタンスにリダイレクトされ、パラメータ4に対応するトラフィック処理動作は、特定のIPアドレスにリダイレクトされる。2つのパラメータを組み合わせた後も、BGP FSルールを有効にすることは不可能である。この観点から、この出願のこの実施形態のある1つの実装において、第1のサーバは、BGP FSルールの構成パラメータを分析して、BGP FSルールを有効にさせないパラメータのうちのいくつかの組み合わせが、BGP FSルールの中に存在するか否かを決定してもよい。いくつかのパラメータの組み合わせが存在する場合には、第1のサーバは、パラメータを修正してもよく、それによって、修正されているBGP FSルールを有効にすることが可能である。加えて、BGP FSルールが示すトラフィック制御ポリシーが対象とするトラフィックが、実際には防止する必要がある攻撃トラフィックではない場合には、BGP FSルールを実装した後も、攻撃トラフィックを効果的に防止することは不可能である。例えば、攻撃トラフィックの宛先アドレスネットワークセグメントは、10.1.1.0/24であり、一方で、BGP FSルールのマッチング条件の中の宛先アドレスネットワークセグメントは、20.1.1.0/24である。この場合には、この出願のこの実施形態のある1つの実装において、第1のサーバは、そのネットワークノードを通過するデータトラフィックを分析し、そして、分析結果に基づいて、BGP FSルールを修正してもよい。具体的には、第1のサーバは、あらかじめ設定されている時間期間の中でそのネットワークノードを通過するデータトラフィックを分析することによって、攻撃トラフィックの特徴を決定し、そして、攻撃トラフィックのその特徴に基づいて、BGP FSルールを修正してもよい。例えば、第1の時間期間の中でネットワークノードを通過するデータトラフィックを分析した後に、第1のサーバは、宛先アドレスがネットワークセグメント10.1.1.0/24の中にある大きな量の攻撃トラフィックが存在し、且つ、BGP FSルールのマッチング条件の中の宛先アドレスが、ネットワークセグメント20.1.1.0/24の中にあるということを決定する。この場合には、第1のサーバは、BGP FSルールのマッチング条件の中の宛先アドレスが10.1.1.0/24に位置しているネットワークセグメントを修正する。あらかじめ設定されている時間期間は、この出願のこの実施形態においては特に限定されない。

上記の記載は、この出願の複数の実施形態によって提供される情報報告方法を説明し、以下の記載は、複数の添付の図面を参照して、この出願のそれらの複数の実施形態によって提供される情報報告方法を説明する。図3は、この出願のある1つの実施形態にしたがった情報報告方法のシグナリング対話図である。図3は、ネットワークノードと第1のサーバとの間のシグナリングの対話を示す。図3に示されているシナリオにおいて、上記で説明されている第2のサーバ及び第1のサーバは、一体化されて、1つのデバイスとなっているということに留意すべきである。図3は、理解を容易にするために、複数のステップのうちのいくつかを示しているが、このことは、この出願のこの実施形態に対する限定を構成しない。図3に示されている情報報告方法は、S201乃至S209によって実装されてもよい。

S201: 第1のサーバは、ネットワークノードにBGP FSルートを送信する。

S202: 第1のサーバは、ネットワークノードに状況報告指示を送信する。

S203: ネットワークノードは、ネットワークノードにおけるBGP FSルールの実装の状況を取得し、その状況は、BGP FSルールがネットワークノードにおいて実装されているということである。

ネットワークノードが受信するBGP FSルートは、BGP FSルールを搬送しているということを理解することが可能である。

S204: ネットワークノードは、第1のサーバに、取得した状況を送信する。

S205: 第1のサーバは、ネットワークノードにトラフィック情報報告指示を送信する。

S206: ネットワークノードは、BGP FSルールのトラフィックマッチング情報を取得する。

S207: ネットワークノードは、第1のサーバに、取得したトラフィックマッチング情報を送信する。

S208: 第1のサーバは、トラフィックマッチング情報があらかじめ設定されている条件を満たしていないということを決定し、受信した状況が示すBGP FSルールの優先順位が他のトラフィック制御ポリシーの優先順位よりも低いということを決定する。

S209: 第1のサーバは、ネットワークノードに第2の構成指示を送信し、第2の構成指示は、BGP FSルールを優先的に実装するようにネットワークノードを構成するのに使用される。

上記の複数の実施形態によって提供される情報報告方法によれば、この出願の複数の実施形態は、さらに、情報報告装置を提供する。その情報報告装置は、上記の複数の実施形態におけるネットワークノードが実行する情報報告方法を実行するように構成され、例えば、図2及び図3に示されているネットワークノードが実行するステップを実行するように構成される。複数の添付の図面を参照して、以下で、情報報告装置を説明する。

図4は、この出願のある1つの実施形態にしたがった情報報告装置の構成の概略的な図である。図4に示されている情報報告装置400は、例えば、取得ユニット401及び送信ユニット402を含んでもよい。

取得ユニット401は、ネットワークノードにおける境界ゲートウェイプロトコルフロー仕様BGP FSルールの実装の状況を取得するように構成され、その状況は、BGP FSルールがネットワークノードにおいて実装されているということを示すか、又は、その状況は、BGP FSルールがネットワークノードにおいて実装されていないということを示す。

送信ユニット402は、サーバに状況を送信するように構成される。

ある1つの実装において、送信ユニット402は、特に、
ルートモニタリングRMメッセージに状況を追加し、そして、サーバに、状況が追加されているRMメッセージを送信するように構成される。

ある1つの実装において、BGP FSルールがネットワークノードにおいて実装されていることは、BGP FSルールの実装が正常であるか、又は、BGP FSルールの実装が異常であることを含む。

ある1つの実装において、BGP FSルールの実装が異常であることは、以下のことを含む。

BGP FSルールの優先順位が、ネットワークノードにおいて実行されている他のトラフィック制御ポリシーの優先順位よりも低いということ。

ある1つの実装において、BGP FSルールがネットワークノードにおいて実装されていないことは、以下のことを含む。

BGP FSルールがBGP検証に失敗しているということ及び/又はBGP FSルールがBGP FS検証に失敗しているということ。

ある1つの実装において、BGP FSルールがBGP検証に失敗していることは、以下のことを含む。

BGP FSルールが無効なパラメータを搬送しているということ。

ある1つの実装において、BGP FSルールがBGP FS検証に失敗していることは、以下のことのうちのいずれか1つ又は複数を含む。

BGP FSルールがあらかじめ設定されている実装条件を満たしていないということ、
BGP FSルールの中で搬送されている実際に使用されているインターフェイスが、ネットワークノードのインターフェイスに適合していないということ、及び、
BGP FSルールがネットワークノードにおいて実行されているセキュリティ保護ポリシーと矛盾しているということ。

ある1つの実装において、状況が、BGP FSルールがネットワークノードにおいて実装されているということである場合に、取得ユニット401は、さらに、BGP FSルールのトラフィックマッチング情報を取得するように構成され、トラフィックマッチング情報は、BGP FSルールに適合するデータトラフィックの関連する情報である。

送信ユニット402は、さらに、サーバにトラフィックマッチング情報を送信するように構成される。

ある1つの実装において、送信ユニット402は、特に、
状況報告SRメッセージにトラフィックマッチング情報を追加し、そして、サーバに、トラフィックマッチング情報が追加されているSRメッセージを送信するように構成される。

ある1つの実装において、取得ユニット401は、特に、
サーバから状況報告指示を受信した後に、ネットワークノードにおけるBGP FSルールの実装の状況を取得するように構成される。

ある1つの実装において、取得ユニット401は、特に、
サーバからトラフィック情報報告指示を受信した後に、BGP FSルールのトラフィックマッチング情報を取得するように構成される。

装置400は、上記の方法の複数の実施形態においてネットワークノードが実行する情報報告方法に対応する装置であり、装置400の各々のユニットの具体的な実装は、上記の方法の複数の実施形態の概念と同じ概念を有する。したがって、装置400の各々のユニットの具体的な実装については、上記の方法の複数の実施形態におけるネットワークノードが実行する情報報告方法の説明を参照すべきである。本明細書においては、詳細は繰り返しては説明されない。

上記の複数の実施形態によって提供されるデータ処理方法によれば、この出願の複数の実施形態は、さらに、データ処理装置を提供する。そのデータ処理装置は、上記の複数の実施形態における第1のサーバが実行するデータ処理方法を実行するように構成され、例えば、図2及び図3に示されている第1のサーバが実行するステップを実行するように構成される。複数の添付の図面を参照して、以下で、データ処理装置を説明する。

図5は、この出願のある1つの実施形態にしたがったデータ処理装置の構成の概略的な図である。図5に示されているデータ処理装置500は、例えば、取得ユニット501及び記憶ユニット502を含んでもよい。

取得ユニット501は、ネットワークノードにおける境界ゲートウェイプロトコルフロー仕様BGP FSルールの実装の状況を取得するように構成され、状況は、BGP FSルールがネットワークノードにおいて実装されているということを示すか、又は、状況は、BGP FSルールがネットワークノードにおいて実装されていないということを示す。

記憶ユニット502は、状況を格納するように構成される。

ある1つの実装において、BGP FSルールがネットワークノードにおいて実装されていることは、BGP FSルールの実装が正常であるか、又は、BGP FSルールの実装が異常であることを含む。

ある1つの実装において、BGP FSルールの実装が異常であることは、以下のことを含む。

BGP FSルールの優先順位が、ネットワークノードにおいて実行されている他のトラフィック制御ポリシーの優先順位よりも低いということ。

ある1つの実装において、BGP FSルールがネットワークノードにおいて実装されていないことは、以下のことを含む。

BGP FSルールがBGP検証に失敗しているということ及び/又はBGP FSルールがBGP FS検証に失敗しているということ。

ある1つの実装において、BGP FSルールがBGP検証に失敗していることは、以下のことを含む。

BGP FSルールが無効なパラメータを搬送しているということ。

ある1つの実装において、BGP FSルールがBGP FS検証に失敗していることは、以下のことのうちのいずれか1つ又は複数を含む。

BGP FSルールがあらかじめ設定されている実装条件を満たしていないということ、
BGP FSルールの中で搬送されている実際に使用されているインターフェイスが、ネットワークノードのインターフェイスに適合していないということ、及び、
BGP FSルールがネットワークノードにおいて実行されているセキュリティ保護ポリシーと矛盾しているということ。

ある1つの実装において、当該装置500は、
状況に基づいて第1の操作を実行するように構成される操作ユニットをさらに含むか、又は、
第2のサーバに状況を送信するように構成される送信ユニットをさらに含み、それによって、第2のサーバは、状況に基づいて第1の操作を実行する。

ある1つの実装において、操作ユニットは、特に、状況を表示するようにディスプレイデバイスを制御するように構成される。

ある1つの実装において、操作ユニットは、特に、
状況に基づいてBGP FSルールを修正し、そして、ネットワークノードに、修正されているBGP FSルールを送信するように構成される。

ある1つの実装において、操作ユニットは、特に、
状況に基づいて、ネットワークノードに、第1の構成指示を送信するように構成され、第1の構成指示は、ネットワークノードを構成するのに使用される。

ある1つの実装において、操作ユニットは、特に、
状況が、BGP FSルールがBGP検証に失敗しているということである場合に、BGP FSルールの中で搬送されている無効なパラメータを決定し、そして、無効なパラメータを有効なパラメータへと修正するように構成される。

ある1つの実装において、操作ユニットは、特に、
状況が、BGP FSルールの中で搬送されている実際に使用されているインターフェイスがネットワークノードのインターフェイスに適合していないということである場合に、ネットワークノードのインターフェイスに適合しているインターフェイスへと、BGP FSルールの中で搬送されている実際に使用されているインターフェイスを修正するように構成される。

ある1つの実装において、操作ユニットは、特に、
状況が、BGP FSルールがセキュリティ保護ポリシーと矛盾しているということである場合に、セキュリティ保護ポリシーと矛盾していないBGP FSルールへとBGP FSルールを修正するように構成される。

ある1つの実装において、操作ユニットは、特に、
状況が、BGP FSルールがあらかじめ設定されている実装条件を満たさないということである場合に、ネットワークノードに第1の構成指示を送信するように構成され、第1の構成指示は、ターゲットパラメータを再構成するようにネットワークノードに指示するのに使用され、それによって、BGP FSルールは、あらかじめ設定されている実装条件を満たし、又は、第1の構成指示は、BGP FSルールがあらかじめ設定されている実装条件を満たすか否かの検証を中止するようにネットワークノードを構成するのに使用される。

ある1つの実装において、取得ユニット501は、さらに、BGP FSルールのトラフィックマッチング情報を取得するように構成され、トラフィックマッチング情報は、BGP FSルールに適合するデータトラフィックの関連する情報である。

記憶ユニット502は、さらに、トラフィックマッチング情報を格納するように構成される。

ある1つの実装において、操作ユニットは、さらに、トラフィックマッチング情報に基づいて、第2の操作を実行するように構成され、又は、
送信ユニットは、さらに、第2のサーバにトラフィックマッチング情報を送信するように構成され、それによって、第2のサーバは、トラフィックマッチング情報に基づいて、第2の操作を実行する。

ある1つの実装において、操作ユニットは、特に、
トラフィックマッチング情報を表示するようにディスプレイデバイスを制御するように構成される。

ある1つの実装において、操作ユニットは、特に、
トラフィックマッチング情報が、あらかじめ設定されている条件を満たしているか否かを決定し、トラフィックマッチング情報が、あらかじめ設定されている条件を満たしていない場合には、トラフィックマッチング情報に基づいて、BGP FSルールを修正し、そして、ネットワークノードに、修正されているBGP FSルールを送信するように構成される。

ある1つの実装において、操作ユニットは、特に、
トラフィックマッチング情報に基づいて、ネットワークノードに第2の構成指示を送信するように構成され、第2の構成指示は、ネットワークノードを構成するのに使用される。

ある1つの実装において、操作ユニットは、特に、
状況が、BGP FSルールの優先順位が他のトラフィック制御ポリシーの優先順位よりも低いということを含む場合に、ネットワークノードに第2の構成指示を送信するように構成され、第2の構成指示は、他のトラフィック制御ポリシーの実装を中止するようにネットワークノードを構成するのに使用されるか、又は、BGP FSルールを優先的に実装するようにネットワークノードを構成するのに使用される。

ある1つの実装において、当該装置500は、
第2の構成指示がネットワークノードに送信される前に、ネットワークノードを通過するデータトラフィックを分析して、分析結果を取得するように構成される分析ユニットをさらに含む。

それに対応して、操作ユニットは、特に、
分析結果が、ネットワークノードを通過するデータトラフィックの中に異常なトラフィックが存在するということを示す場合に、ネットワークノードに第2の構成指示を送信するように構成される。

ある1つの実装において、操作ユニットは、特に、
状況が、BGP FSルールの優先順位が他のトラフィック制御ポリシーの優先順位よりも低いということを含まない場合には、BGP FSルールを修正するように構成される。

ある1つの実装において、操作ユニットは、特に、
BGP FSルールの構成パラメータを分析して、BGP FSルールを有効にさせないパラメータの組み合わせが存在するか否かを決定し、そして、
パラメータの組み合わせが存在する場合には、パラメータの組み合わせを修正し、それによって、修正されているBGP FSルールは有効になる、ように構成される。

ある1つの実装において、操作ユニットは、特に、
ネットワークノードを通過するデータトラフィックを分析し、そして、分析結果に基づいて、BGP FSルールを修正するように構成される。

ある1つの実装において、送信ユニットは、さらに、ネットワークノードに、状況報告指示を送信するように構成され、状況報告指示は、当該データ処理装置に、ネットワークノードにおけるBGP FSルールの実装の前記状況を報告するようにネットワークノードに指示するのに使用される。

ある1つの実装において、送信ユニットは、さらに、ネットワークノードにトラフィック情報報告指示を送信するように構成され、トラフィック情報報告指示は、当該データ処理装置にBGP FSルールのトラフィックマッチング情報を報告するようにネットワークノードに指示するのに使用され、トラフィックマッチング情報は、BGP FSルールに適合するデータトラフィックの関連する情報である。

ある1つの実装において、送信ユニットは、特に、
当該データ処理装置が受信する状況が、BGP FSルールがネットワークノードにおいて実装されているということであるときに、ネットワークノードに、トラフィック情報報告指示を送信するように構成される。

装置500は、上記の方法の複数の実施形態において第1のサーバが実行するデータ処理方法に対応する装置であり、装置500の各々のユニットの具体的な実装は、上記の方法の複数の実施形態の概念と同じ概念を有する。したがって、装置500の各々のユニットの具体的な実装については、上記の方法の複数の実施形態における第1のサーバが実行するデータ処理方法の説明を参照すべきである。本明細書においては、詳細は繰り返しては説明されない。

この出願の複数の実施形態は、さらに、情報報告デバイスを提供する。そのデバイスは、プロセッサ及びメモリを含む。メモリは、複数の命令を格納するように構成され、プロセッサは、メモリの中の命令を実行して、上記の方法の複数の実施形態においてネットワークノードが実行する情報報告方法を実行するように構成される。複数の実施形態のうちのいくつかにおいて、情報報告デバイスは、図1の中のいずれかのネットワークデバイスであってもよい。

この出願の複数の実施形態は、さらに、データ処理デバイスを提供する。そのデバイスは、プロセッサ及びメモリを含む。メモリは、複数の命令を格納するように構成され、プロセッサは、メモリの中の命令を実行して、上記の方法の複数の実施形態において第1のサーバが実行するデータ処理方法を実行するように構成される。複数の実施形態のうちのいくつかにおいて、データ処理デバイスは、図1の中のサーバ200又はサーバ300であってもよい。

情報報告デバイス及びデータ処理デバイスのハードウェア構成は、図6に示されている構成であってもよいということに留意すべきである。図6は、この出願のある1つの実施形態にしたがったデバイスの構成の概略的な図である。

図6を参照すべきである。デバイス600は、プロセッサ610、通信インターフェイス620、及びメモリ630を含む。デバイス600は、1つ又は複数のプロセッサ610を含んでもよい。図6において、ある1つの例として1つのプロセッサを使用する。この出願のこの実施形態において、プロセッサ610、通信インターフェイス620、及びメモリ630は、バスシステムを介して又は他の方式によって接続されてもよい。図6において、例えば、接続のためにバスシステム640を使用する。

プロセッサ610は、中央処理ユニット(central processing unit, CPU)、ネットワークプロセッサ(network processor, NP)、又はCPU及びNPの組み合わせであってもよい。プロセッサ610は、ハードウェアチップをさらに含んでもよい。ハードウェアチップは、特定用途向け集積回路(application-specific integrated circuit, ASIC)、プログラム可能な論理デバイス(programmable logic device, PLD)、又はそれらの組み合わせであってもよい。PLDは、複合的な且つプログラム可能な論理デバイス(complex programmable logic device, CPLD)、フィールドプログラマブルゲートアレイ(field-programmable gate array, FPGA)、汎用アレイ論理(generic array logic, GAL)、又はそれらのいずれかの組み合わせであってもよい。デバイス600が上記の複数の実施形態における情報報告デバイスである場合に、プロセッサ610は、取得ユニット401及び送信ユニット402等のユニットが実行するステップを実行してもよい。ネットワークデバイス600が上記の複数の実施形態におけるデータ処理デバイスである場合に、プロセッサ610は、取得ユニット501及び記憶ユニット502等のユニットが実行するステップを実行してもよい。

メモリ630は、例えば、ランダムアクセスメモリ(random-access memory, RAM)等の揮発性メモリ(英文: volatile memory)を含んでもよい。メモリ630は、また、例えば、フラッシュメモリ(英文: flash memory)、ハードディスクドライブ(hard disk drive, HDD)、又はソリッドステートドライブ(solid-state drive, SSD)等の不揮発性メモリ(英文: non-volatile memory)を含んでもよい。メモリ630は、上記のタイプのメモリの組み合わせをさらに含んでもよい。

デバイス600が上記の複数の実施形態における情報報告デバイスである場合には、メモリ630は、上記の実施形態におけるBGP FSルール等を格納してもよい。ネットワークデバイス600が上記の複数の実施形態におけるデータ処理デバイスである場合に、メモリ630は、上記の実施形態におけるネットワークノード等におけるBGP FSルールの実装の状況を格納してもよい。

選択的に、メモリ630は、オペレーティングシステム及びプログラム、実行可能なモジュール又はデータ構造、或いは、それらのサブセット、又はそれらの拡張セットを格納する。プログラムは、さまざまな操作指示を含んでもよく、さまざまな操作を実行するのに使用される。オペレーティングシステムは、さまざまな基本サービスを実装し及びハードウェアベースのタスクを処理するためのさまざまなシステムプログラムを含んでもよい。プロセッサ610は、メモリ630の中のプログラムを読み出して、この出願の複数の実施形態によって提供される情報報告方法を実装してもよい。

バスシステム640は、周辺構成要素相互接続(peripheral component interconnect, PCI)バス又は拡張業界標準アーキテクチャ(extended industry standard architecture, EISA)バス等であってもよい。バスシステム640は、アドレスバス、データバス、又は制御バス等に分類されてもよい。表現を容易にするために、1つの太線が、図6の中のバスを表すのに使用されるが、このことは、1つのバスのみが存在し、又は、1つのタイプのバスのみが存在するということを意味するものではない。

この出願の複数の実施形態は、さらに、複数の命令を含むコンピュータ読み取り可能な記憶媒体を提供する。それらの複数の命令がコンピュータにおいて実行されるときに、コンピュータが、上記の実施形態においてネットワークノードが実行する情報報告方法を実行することを可能とする。

この出願の実施形態は、さらに、複数の命令を含むコンピュータ読み取り可能な記憶媒体を提供する。それらの複数の命令がコンピュータにおいて実行されるときに、コンピュータが、上記の実施形態において第1のサーバが実行するデータ処理方法を実行することを可能とする。

この出願の実施形態は、さらに、プログラムを含むコンピュータプログラム製品を提供する。そのコンピュータプログラム製品がコンピュータにおいて実行されるときに、そのコンピュータが、上記の実施形態においてネットワークノードが実行する情報報告方法を実行することを可能とする。

この出願の実施形態は、さらに、プログラムを含むコンピュータプログラム製品を提供する。そのコンピュータプログラム製品がコンピュータにおいて実行されるときに、そのコンピュータが、上記の実施形態において第1のサーバが実行するデータ処理方法を実行することを可能とする。

この出願のこの明細書、特許請求の範囲、及び添付の図面において、(存在する場合には)"第1の"、"第2の"、"第3の"、"第4の"等の語は、複数の同様の対象を区別することを意図しているが、必ずしも特定の順序又は順番を示すものではない。このような方法で呼ばれるデータは、適切な状況において相互に交換可能であり、それによって、本明細書において説明されている複数の実施形態は、本明細書において図示され又は説明されている順序とは別の順序で実装されてもよいということを理解すべきである。さらに、"含む"及び"有する"の語、及び、それらのいずれかの他の変形は、非排他的包含を対象とするということを意味している。例えば、ステップ又はユニットのリストを含むプロセス、方法、システム、製品、又はデバイスは、必ずしもそれらのステップ又はユニットに限定されるものではなく、明示的に列挙されていない他のステップ又はユニット、或いは、そのようなプロセス、方法、製品、又はデバイスに固有の他のステップ又はユニットを含んでもよい。

当業者は、利便性のあるそして簡単な説明のために、上記のシステム、装置、及びユニットの詳細な動作プロセスについては、上記の方法の実施形態における対応するプロセスを参照すべきであるということを明確に理解することが可能であり、本明細書においては、詳細は繰り返しては説明されない。

この出願によって提供される複数の実施形態のうちのいくつかにおいては、他の方式によって、開示されているシステム、装置、及び方法を実装してもよいということを理解すべきである。例えば、説明されている装置の実施形態は、ある1つの例であるにすぎない。例えば、ユニットの分割は、論理的なサービスの分割であるにすぎず、実際の実装においては他の分割であってもよい。例えば、複数のユニット又は構成要素を組み合わせ又は一体化して、他のシステムとしてもよく、或いは、いくつかの特徴を無視し又は実行しなくてもよい。加えて、いくつかのインターフェイスを使用して、それらの示され又は説明されている相互結合、直接結合、又は通信接続を実装してもよい。電子的な形態、機械的な形態、又は他の形態によって、複数の装置又は複数のユニットの間の間接的な結合又は通信接続を実装してもよい。

複数の個別の部分として説明される複数のユニットは、物理的に分離していてもよく又は物理的に分離していなくてもよく、また、複数のユニットとして示される複数の部分は、複数の物理的なユニットとなっていてもよく又は複数の物理的なユニットとなっていなくてもよく、1つの場所に位置していてもよく、又は、複数のネットワークユニットに分散されていてもよい。実際の要件に基づいて、それらの複数のユニットのうちの一部又はすべてを選択して、それらの複数の実施形態の複数の技術的解決方法の目的を達成してもよい。

加えて、この出願の複数の実施形態における複数のサービスユニットを一体化して、1つの処理ユニットとしてもよく、又は、それらの複数のユニットの各々は、物理的に単独で存在していてもよく、或いは、2つ又はそれ以上のユニットを一体化して、1つのユニットとしてもよい。一体化されたユニットは、ハードウェアの形態で実装されてもよく、又は、ソフトウェアサービスユニットの形態で実装されてもよい。

サービスユニットが、ソフトウェア機能ユニットの形態で実装され、且つ、独立している製品として販売され又は使用されるときに、コンピュータ読み取り可能な記憶媒体の中にその一体化されているユニットを格納してもよい。そのような理解に基づいて、この出願の複数の技術的解決方法は、本質的に、或いは、従来技術に寄与する部分又はそれらの複数の技術的解決方法のうちの一部は、ソフトウェア製品の形態で実装されてもよい。コンピュータソフトウェア製品は、記憶媒体の中に格納され、いくつかのプログラムを含み、それらのいくつかのプログラムは、(パーソナルコンピュータ、サーバ、又はネットワークデバイス等であってもよい)コンピュータデバイスが、この出願のそれらの複数の実施形態の中の複数の方法の複数のステップのすべて又は一部を実行することを可能とする。上記の記憶媒体は、プログラムコードを格納することが可能であるUSBフラッシュドライブ、取り外し可能なハードディスク、読み取り専用メモリ(ROM, Read-Only Memory)、ランダムアクセスメモリ(RAM, Random Access Memory)、磁気ディスク、又は光ディスク等のさまざまな媒体を含んでもよい。

当業者は、上記の1つ又は複数の例において、本発明によって説明されているサービスが、ハードウェア、ソフトウェア、ファームウェア、又はそれらのいずれかの組み合わせによって実施されてもよいということを認識するはずである。サービスがソフトウェアによって実装されるときに、それらのサービスは、コンピュータ読み取り可能な媒体の中に格納されてもよく、又は、コンピュータ読み取り可能な媒体の中の1つ又は複数の命令又はコードとして伝送されてもよい。コンピュータ読み取り可能な媒体は、コンピュータ記憶媒体及び通信媒体を含み、通信媒体は、コンピュータプログラムをある場所から他の場所へと伝送することを可能とするいずれかの媒体を含む。記憶媒体は、汎用コンピュータ又は専用コンピュータにアクセスすることが可能であるいずれかの利用可能な媒体であってもよい。

本発明の目的、技術的解決方法、及び有益な効果は、上記の複数の具体的な実装においてさらに詳細に説明されている。上記の説明は、本発明の具体的な実装であるにすぎないということを理解すべきである。

上記の複数の実施形態は、この出願を限定するのではなく、この出願の複数の技術的解決方法を説明することを意図しているにすぎない。この出願は、上記の複数の実施形態を参照して詳細に説明されているが、当業者は、さらに、この出願のそれらの複数の実施形態の技術的解決方法の範囲から離れることなく、上記の実施形態の中で説明されている技術的解決方法に修正を行ってもよく、又は、それらの技術的解決方法の技術的特徴のいくつかに対して等価な置換を行ってもよいということを理解するはずである。

Claims (30)

1. 情報報告方法であって、当該方法は、
   ネットワークノードによって、前記ネットワークノードにおける境界ゲートウェイプロトコルフロー仕様BGP FSルールの実装の状況を取得するステップであって、前記状況は、前記BGP FSルールが前記ネットワークノードにおいて実装されているということを示すか、又は、前記状況は、前記BGP FSルールが前記ネットワークノードにおいて実装されていないということを示す、ステップと、
   前記ネットワークノードによってサーバに、前記状況を送信するステップと、を含む、
   方法。
2. 前記ネットワークノードによってサーバに、前記状況を送信する前記ステップは、
   前記ネットワークノードによって、ルートモニタリングRMメッセージに前記状況を追加し、そして、前記サーバに、前記状況が追加されているRMメッセージを送信するステップを含む、請求項1に記載の方法。
3. 前記BGP FSルールが前記ネットワークノードにおいて実装されていることは、BGP FSルールの実装が正常であるか、又は、前記BGP FSルールの実装が異常であることを含む、請求項1又は2に記載の方法。
4. 前記BGP FSルールが前記ネットワークノードにおいて実装されていないことは、
   前記BGP FSルールが境界ゲートウェイプロトコルBGP検証に失敗していること、及び/又は、前記BGP FSルールがBGP FS検証に失敗していることを含む、請求項1に記載の方法。
5. 前記状況が、前記BGP FSルールが前記ネットワークノードにおいて実装されているということであるときに、当該方法は、
   前記ネットワークノードによって、前記BGP FSルールのトラフィックマッチング情報を取得するステップであって、前記トラフィックマッチング情報は、前記BGP FSルールに適合するデータトラフィックの関連する情報である、ステップと、
   前記ネットワークノードによって、前記サーバに前記トラフィックマッチング情報を送信するステップと、をさらに含む、請求項1に記載の方法。
6. 前記ネットワークノードによって、前記サーバに前記トラフィックマッチング情報を送信する前記ステップは、
   前記ネットワークノードによって、状況報告SRメッセージに前記トラフィックマッチング情報を追加し、そして、前記サーバに、前記トラフィックマッチング情報が追加されているSRメッセージを送信するステップを含む、請求項5に記載の方法。
7. ネットワークノードによって、前記ネットワークノードにおけるBGP FSルールの実装の状況を取得する前記ステップは、
   前記サーバから状況報告指示を受信した後に、前記ネットワークノードによって、前記ネットワークノードにおける前記BGP FSルールの実装の前記状況を取得するステップを含む、請求項1乃至6のうちのいずれか1項に記載の方法。
8. 前記ネットワークノードによって、前記BGP FSルールのトラフィックマッチング情報を取得する前記ステップは、
   前記サーバからトラフィック情報報告指示を受信した後に、前記ネットワークノードによって、前記BGP FSルールの前記トラフィックマッチング情報を取得するステップを含む、請求項6又は7に記載の方法。
9. データ処理方法であって、当該方法は、
   第1のサーバによって、ネットワークノードにおける境界ゲートウェイプロトコルフロー仕様BGP FSルールの実装の状況を取得するステップであって、前記状況は、前記BGP FSルールが前記ネットワークノードにおいて実装されているということを示すか、又は、前記状況は、前記BGP FSルールが前記ネットワークノードにおいて実装されていないということを示す、ステップと、
   前記第1のサーバによって前記状況を格納するステップと、を含む、
   方法。
10. 当該方法は、
    前記第1のサーバによって、前記状況に基づいて第1の操作を実行するステップ、又は、
    前記第1のサーバによって第2のサーバに、前記状況を送信し、それによって、前記第2のサーバは、前記状況に基づいて第1の操作を実行する、ステップ、をさらに含む、請求項9に記載の方法。
11. 前記状況に基づいて第1の操作を実行する前記ステップは、
    前記状況を表示するようにディスプレイデバイスを制御するステップ、又は、
    前記状況に基づいて前記BGP FSルールを修正し、そして、前記ネットワークノードに、修正されているBGP FSルールを送信するステップ、又は、
    前記状況に基づいて、前記ネットワークノードに、第1の構成指示を送信するステップであって、前記第1の構成指示は、前記ネットワークノードを構成するのに使用される、ステップ、を含む、請求項9に記載の方法。
12. 前記状況に基づいて前記BGP FSルールを修正する前記ステップは、
    前記状況が、前記BGP FSルールが境界ゲートウェイプロトコルBGP検証に失敗しているということである場合に、前記BGP FSルールの中で搬送されている無効なパラメータを決定し、そして、前記無効なパラメータを有効なパラメータへと修正するステップ、又は、
    前記状況が、前記BGP FSルールの中で搬送されている実際に使用されているインターフェイスが前記ネットワークノードのインターフェイスに適合していないということである場合に、前記ネットワークノードの前記インターフェイスに適合しているインターフェイスへと、前記BGP FSルールの中で搬送されている前記実際に使用されているインターフェイスを修正するステップ、又は、
    前記状況が、前記BGP FSルールがセキュリティ保護ポリシーと矛盾しているということである場合に、前記セキュリティ保護ポリシーと矛盾していないBGP FSルールへと前記BGP FSルールを修正するステップ、を含む、請求項11に記載の方法。
13. 前記状況に基づいて、前記ネットワークノードに、第1の構成指示を送信する前記ステップは、
    前記状況が、前記BGP FSルールがあらかじめ設定されている実装条件を満たさないということである場合に、前記ネットワークノードに前記第1の構成指示を送信するステップであって、前記第1の構成指示は、ターゲットパラメータを再構成するように前記ネットワークノードに指示するのに使用され、それによって、前記BGP FSルールは、前記あらかじめ設定されている実装条件を満たし、又は、前記第1の構成指示は、前記BGP FSルールが前記あらかじめ設定されている実装条件を満たすか否かの検証を中止するように前記ネットワークノードを構成するのに使用される、ステップ、を含む、請求項11に記載の方法。
14. 当該方法は、
    前記第1のサーバによって、前記BGP FSルールのトラフィックマッチング情報を取得するステップであって、前記トラフィックマッチング情報は、前記BGP FSルールに適合するデータトラフィックの関連する情報である、ステップと、
    前記第1のサーバによって、前記トラフィックマッチング情報を格納するステップと、をさらに含む、請求項9乃至13のうちのいずれか1項に記載の方法。
15. 当該方法は、
    前記第1のサーバによって、前記トラフィックマッチング情報に基づいて、第2の操作を実行するステップ、又は、
    前記第1のサーバによって、第2のサーバに前記トラフィックマッチング情報を送信し、それによって、前記第2のサーバは、前記トラフィックマッチング情報に基づいて、第2の操作を実行する、ステップ、をさらに含む、請求項14に記載の方法。
16. 前記トラフィックマッチング情報に基づいて、第2の操作を実行する前記ステップは、
    前記トラフィックマッチング情報を表示するようにディスプレイデバイスを制御するステップ、又は、
    前記トラフィックマッチング情報が、あらかじめ設定されている条件を満たしているか否かを決定し、前記トラフィックマッチング情報が、前記あらかじめ設定されている条件を満たしていない場合には、前記トラフィックマッチング情報に基づいて、前記BGP FSルールを修正し、そして、前記ネットワークノードに、修正されているBGP FSルールを送信するステップ、又は、
    前記トラフィックマッチング情報に基づいて、前記ネットワークノードに第2の構成指示を送信するステップであって、前記第2の構成指示は、前記ネットワークノードを構成するのに使用される、ステップ、を含む、請求項15に記載の方法。
17. 前記ネットワークノードに第2の構成指示を送信する前記ステップは、
    前記状況が、前記BGP FSルールの優先順位が他のトラフィック制御ポリシーの優先順位よりも低いということを含む場合に、前記ネットワークノードに前記第2の構成指示を送信するステップであって、前記第2の構成指示は、前記他のトラフィック制御ポリシーの実装を中止するように前記ネットワークノードを構成するのに使用されるか、又は、前記BGP FSルールを優先的に実装するように前記ネットワークノードを構成するのに使用される、ステップを含む、請求項16に記載の方法。
18. 前記第2のサーバによって、前記BGP FSルールを修正する前記ステップは、
    前記状況が、前記BGP FSルールの前記優先順位が他のトラフィック制御ポリシーの優先順位よりも低いということを含まない場合には、前記BGP FSルールを修正するステップ、を含む、請求項16に記載の方法。
19. 当該方法は、
    前記第1のサーバによって前記ネットワークノードに、状況報告指示を送信するステップであって、前記状況報告指示は、前記ネットワークノードにおける前記BGP FSルールの実装の前記状況を前記第1のサーバに報告するように前記ネットワークノードに指示するのに使用される、ステップをさらに含む、請求項9乃至18のうちのいずれか1項に記載の方法。
20. 当該方法は、
    前記第1のサーバによって前記ネットワークノードに、トラフィック情報報告指示を送信するステップであって、前記トラフィック情報報告指示は、前記第1のサーバに前記BGP FSルールの前記トラフィックマッチング情報を報告するように前記ネットワークノードに指示するのに使用され、前記トラフィックマッチング情報は、前記BGP FSルールに適合するデータトラフィックの関連する情報である、ステップをさらに含む、請求項9乃至19のうちのいずれか1項に記載の方法。
21. 前記第1のサーバによって前記ネットワークノードに、トラフィック情報報告指示を送信する前記ステップは、
    前記第1のサーバが受信する前記状況が、前記BGP FSルールが前記ネットワークノードにおいて実装されているということであるときに、前記第1のサーバによって前記ネットワークノードに、前記トラフィック情報報告指示を送信するステップを含む、請求項20に記載の方法。
22. 情報報告装置であって、当該装置は、
    ネットワークノードにおける境界ゲートウェイプロトコルフロー仕様BGP FSルールの実装の状況を取得するように構成される取得ユニットであって、前記状況は、前記BGP FSルールが前記ネットワークノードにおいて実装されているということを示すか、又は、前記状況は、前記BGP FSルールが前記ネットワークノードにおいて実装されていないということを示す、取得ユニットと、
    サーバに前記状況を送信するように構成される送信ユニットと、を含む、
    装置。
23. 前記送信ユニットは、特に、
    ルートモニタリングRMメッセージに前記状況を追加し、そして、前記サーバに、前記状況が追加されているRMメッセージを送信するように構成される、請求項22に記載の装置。
24. 前記状況が、前記BGP FSルールが前記ネットワークノードにおいて実装されているということである場合に、
    前記取得ユニットは、さらに、前記BGP FSルールのトラフィックマッチング情報を取得するように構成され、前記トラフィックマッチング情報は、前記BGP FSルールに適合するデータトラフィックの関連する情報であり、
    前記送信ユニットは、さらに、前記サーバに前記トラフィックマッチング情報を送信するように構成される、請求項22に記載の装置。
25. 前記送信ユニットは、特に、
    状況報告SRメッセージに前記トラフィックマッチング情報を追加し、そして、前記サーバに、前記トラフィックマッチング情報が追加されているSRメッセージを送信するように構成される、請求項24に記載の装置。
26. データ処理装置であって、当該装置は、
    ネットワークノードにおける境界ゲートウェイプロトコルフロー仕様BGP FSルールの実装の状況を取得するように構成される取得ユニットであって、前記状況は、前記BGP FSルールが前記ネットワークノードにおいて実装されているということを示すか、又は、前記状況は、前記BGP FSルールが前記ネットワークノードにおいて実装されていないということを示す、取得ユニットと、
    前記状況を格納するように構成される記憶ユニットと、を含む、
    装置。
27. 当該装置は、
    前記状況に基づいて第1の操作を実行するように構成される操作ユニットをさらに含むか、又は、
    第2のサーバに前記状況を送信するように構成される送信ユニットをさらに含み、それによって、前記第2のサーバは、前記状況に基づいて第1の操作を実行する、請求項26に記載の装置。
28. 前記取得ユニットは、さらに、前記BGP FSルールのトラフィックマッチング情報を取得するように構成され、前記トラフィックマッチング情報は、前記BGP FSルールに適合するデータトラフィックの関連する情報であり、
    前記記憶ユニットは、さらに、前記トラフィックマッチング情報を格納するように構成される、請求項26又は27に記載の装置。
29. 前記操作ユニットは、さらに、前記トラフィックマッチング情報に基づいて、第2の操作を実行するように構成されるか、又は、
    前記送信ユニットは、さらに、第2のサーバに前記トラフィックマッチング情報を送信するように構成され、それによって、前記第2のサーバは、前記トラフィックマッチング情報に基づいて、第2の操作を実行する、請求項28に記載の装置。
30. 命令を含むコンピュータ読み取り可能な記憶媒体であって、前記命令がコンピュータによって実行されるときに、前記コンピュータが、請求項1乃至21のうちのいずれか1項に記載の方法を実行することを可能とする、コンピュータ読み取り可能な記憶媒体。
    
    

Images