JP5411134B2 - ネットワークスイッチにおけるポートリダイレクトのための方法及びメカニズム - Google Patents

ネットワークスイッチにおけるポートリダイレクトのための方法及びメカニズム Download PDF

Info

Publication number
JP5411134B2
JP5411134B2 JP2010514785A JP2010514785A JP5411134B2 JP 5411134 B2 JP5411134 B2 JP 5411134B2 JP 2010514785 A JP2010514785 A JP 2010514785A JP 2010514785 A JP2010514785 A JP 2010514785A JP 5411134 B2 JP5411134 B2 JP 5411134B2
Authority
JP
Japan
Prior art keywords
data packet
switching device
port
received
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010514785A
Other languages
English (en)
Other versions
JP2010532633A (ja
Inventor
カスラリカー,ラフル・エス
クリシュナン,ラム
Original Assignee
イクストリーム・ネットワークス・インコーポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by イクストリーム・ネットワークス・インコーポレーテッド filed Critical イクストリーム・ネットワークス・インコーポレーテッド
Publication of JP2010532633A publication Critical patent/JP2010532633A/ja
Application granted granted Critical
Publication of JP5411134B2 publication Critical patent/JP5411134B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、一般にスイッチドネットワークにおけるデータパケットのポートリダイレクションに関する。より具体的には、本発明の実施形態は、ネットワークサービスに関連するスイッチング装置のリダイレクトポートへデータパケットを選択的にリダイレクトする。
マルウェアの量及び多様性は、スイッチドネットワーキングシステムをかつて無いほどの脅威にさらしている。スイッチドネットワーキングシステムの保護は、スイッチング行為を修正するために、到来するネットワークトラフィック上のデータを収集し評価できるインテリジェントネットワークスイッチにより高められる。ネットワークトラフィックフローに物理的に従わずに、ネットワークスイッチにセキュリティ及び/又はその他のサービスを提供する侵入防止システム(「IPS」)などの外部ネットワークサービスを活用することにより、インテリジェントスイッチングの利点はさらにまた高められる。ネットワーキング技術では、「IPS」とは、アクセス制御を行って装置をセキュリティ脅威から保護することができるメカニズムのことを意味すると理解される。
ネットワークスイッチ及び/又はその他のネットワークスイッチング装置は、1又はそれ以上のネットワーク状態に基づいてネットワークトラフィックを様々にフィルタリングし、リダイレクトし、ブロックし、及び/又は転送することができる。例えば、特定のデータパケットを検査のためにIPSなどの外部ネットワークサービスへリダイレクトするようにスイッチを構成することができ、このリダイレクトは、(データパケットのメールメッセージサービスなどの)データパケットのトラフィックタイプに基づく。十分な検査後、この外部サービスは、リダイレクトされたデータパケットをスイッチへ戻して、この検査済みのデータパケットの元々の宛先への送信を続行することができる。
データパケットを「bump−in−the−wire」ネットワークサービスへリダイレトすることは複雑な場合があり、この場合、1又はそれ以上のデータパケットがスイッチング装置から「フラッディング」されることになる。本明細書で使用する場合、データパケットをスイッチからフラッディングするということは、一般に特定の1又はそれ以上のネットワーク経路でデータパケットを送信すべき旨の指示が無い場合に、代わりに多くのネットワーク経路でデータパケットを送信することを意味する。データリンク層における媒体アクセス制御(MAC)ブロードキャスティング及びネットワーク層におけるインターネットプロトコル(IP)マルチキャスティングは、スイッチング装置からネットワークトラフィックをどのようにフラッディングできるかを示すほんの2つの例である。
2001年8月出版、Albanna,Z.,Almeroth,K.,Meyer,D.,及びM.SchipperによるInternet Assigned Numbers Authority(IANA)の「IPv4マルチキャストアドレス割り当てのためのIANAガイドライン」、Best Current Practice(BCP)51、Request for Comments(RFC)3171
以前にリダイレクトされたデータパケットをフラッディングすることにより、誤ってデータパケットのコピーが送信される可能性がある。例えば、リダイレクトされたデータパケットがIPSからスイッチへ戻された後にスイッチからフラッディングされた場合、戻されたデータパケットが、スイッチング装置が最初にデータパケットを受信したネットワーク経路に沿って誤って返送される可能性がある。これとは別に、或いはこれに加えて、戻されたデータパケットが、このデータパケットを戻した同じネットワークサービスへ誤って返送される可能性があり、これによりネットワークにおけるデータパケットループが生じる。ネットワークループ及びその他の誤ったデータパケットの送信により、結果として送信時間が遅くなるとともにネットワークパフォーマンスが低下する。これまで、フラッディングされるトラフィックの問題が、スイッチング装置が受信したデータパケットを分析するネットワークサービスに関連するスイッチング装置のポートへの、データパケットのデータリンク層におけるリダイレクトの実施を阻んできた。
本発明の様々な実施形態を添付図面の図に限定的な意味ではなく一例として示す。
本発明の1つの実施形態による、スイッチング装置がデータパケットのポートリダイレクトを実行できるシステムを示すブロック図である。 本発明の1つの実施形態による、データパケットのポートリダイレクトを実行できるスイッチのメカニズムを示すブロック図である。 本発明の1つの実施形態による、リダイレクトできるデータパケットのコンテンツを示すパケット図である。 本発明の1つの実施形態によるポートリダイレクションの方法を示すフロー図である。 本発明の別の実施形態によるポートリダイレクションの方法を示すフロー図である。
図1は、本発明の1つの実施形態による、スイッチング装置110がデータパケットを選択的にリダイレクトできるシステム100を示す図である。システム100は、様々な「bump−in−the−wire」構成のいずれかを表すことができ、受信したネットワークトラフィックから得られるデータパケットを、外部ネットワークサービス120に関連するスイッチング装置110のポートへ少なくとも一時的に選択的にリダイレクトすることができる。ネットワーク130及び140はそれぞれ、スイッチング装置110がデータパケットを受信する先のソースネットワーク、及びスイッチング装置110が受信したデータパケットを選択的に送信する先の宛先ネットワークを表す。本発明の1つの実施形態による、スイッチング装置110が受信したデータパケットをいかにしてリダイレクトできるかの実証に役立つように、ネットワーク130及び140を異なるネットワークとして示している。当業者であれば、スイッチング装置110は、ネットワークトラフィックをネットワーク140からネットワーク130へ送信及び/又は選択的にリダイレクトすることもできると理解するであろう。ネットワーキング技術における当業者であれば、ネットワーク130及び140は、単一のより大きなネットワーク(図示せず)の任意の部分を表すものであってもよく、これにスイッチング装置110も属するということも理解するであろう。例えば、ネットワーク130、140を、1又はそれ以上のその他のネットワーク経路(図示せず)を介して追加の装置、ネットワークに、及び/又は互いにさらに接続することができる。
ネットワークスイッチ110は、ネットワークスイッチング機能を有するあらゆるネットワーク装置を表す。例えば、スイッチング装置110は、開放型システム間相互接続(OSI)レイヤ2(L2)に代表されるようなデータリンク層においてデータパケットをスイッチするためのメカニズムを含むことができる。いくつかの実施形態では、スイッチング装置110が、ネットワークの状態に少なくとも部分的に基づいてデータパケットをスイッチするためのインテリジェントスイッチングメカニズムを含むことができる。スイッチング装置110は、単純なL2ネットワークスイッチ、或いは追加のルーティング機能又はその他のネットワーキング機能を含むことができる様々なその他の装置のいずれであってもよい。例えば、スイッチング装置110は、マルチレイヤスイッチ(MLS)、ハイブリッドOSI L2/L3スイッチルータ、又はスイッチング機能を有するその他のネットワーク装置であってもよい。説明を簡潔にするために、本明細書では本発明の実施形態を「スイッチ」に関して説明する。当業者であれば、本発明の実施形態に関するスイッチの意味を広げて、より一般的に、上述した種類のスイッチング装置に適用できることを理解するであろう。
スイッチング装置110は、ネットワークサービス120にさらに接続される。ネットワークサービス120は、スイッチング装置110が受信した1又はそれ以上のデータパケットの分析に少なくとも部分的に基づく様々なセキュリティ又はその他のサービスのいずれであってもよい。ネットワークサービス120は、スイッチング装置110が受信した1又はそれ以上のデータパケットを分析するためのハードウェア、ソフトウェア、仮想機械(バーチャル・マシン)、及び/又はその他の手段のあらゆる組合せを含むことができる。1又はそれ以上のデータパケットの分析は、例えば、個々のデータパケットのコンテンツの分析及び/又はリダイレクトされたネットワークトラフィックの時間に伴う統計分析を含むことができる。1つの実施形態では、ネットワークサービス120が侵入防止サービス(IPS)を提供して、スイッチング装置110のネットワークトラフィックにおいて発見されるセキュリティ脅威を検出することができる。例えば、ネットワークトラフィックのためのサービス品質(QoS)を実現する際に、ネットワークサービス120が行う分析を参照することができる。例えば、ネットワークサービス120を使用して、スイッチ110におけるメカニズムにより実現されるサービス品質をサポートすることができる。説明を簡潔にするために、本明細書では本発明の実施形態を「IPS」に関して説明する。当業者であれば、本発明の実施形態に関するIPSの意味を広げて、より一般的に、上述した種類のネットワークサービスに適用できることを理解するであろう。
スイッチング装置110及びネットワークサービス120が、システム100における多くの「bump−in−the−wire」構成のうちの1つのみを表すことができる点に留意されたい。例えば、ネットワークサービス120の構成に類似した構成でスイッチング装置110に接続された1又はそれ以上のその他のネットワークサービス(図示せず)により、スイッチング装置110をサポートすることができる。さらに、ネットワークサービス120を、他のネットワーク装置で運ばれたネットワークトラフィックのための「bump−in−the−wire」として構成することもできる。説明を簡潔にするために、本明細書における本発明についての説明は、図1に示す例示的なシステム100の変形例に限定するが、これらの説明を広げて、あるスイッチング装置が受信したデータパケットを分析するあらゆる「bump−in−the−wire」ネットワークサービスに一般的に適用することができる。
本発明の実施形態は、IPSに関連するポートへの、データパケットのデータリンク層におけるリダイレクトを選択的に実行する。説明を明確にするために、本明細書では「データパケットをリダイレクトすること」とは、データパケットを送信するはずだった1又はそれ以上の宛先経路のいずれかでデータパケットを送信するのではなく、少なくとも一時的に異なるネットワーク経路で別様にデータパケットを送信することを意味する。換言すれば、データパケットは、非宛先経路で「リダイレクト」されない場合、異なる宛先経路へ「送信」されると言える。スイッチング装置110が、データパケットを別の経路へリダイレクトすることを最終的に決定できるとしても、このデータパケットは、代わりに宛先経路へ「送信すべき」データパケットであると説明することができる。同様に、例えばスイッチング装置110が、データパケットを宛先経路へ送信することを最終的に決定できるとしても、このデータパケットは、代わりにリダイレクトポートへ「リダイレクトすべき」データパケットであると説明することができる。
スイッチング装置110がデータパケットをスイッチング装置110の特定のポートへ選択的にリダイレクトする限りにおいて、データリンク層におけるリダイレクトを、本明細書では代わりに「ポートリダイレクト」と呼ぶことができる。105において、スイッチ110が、ネットワーク140における1又はそれ以上の宛先へ送信すべきデータパケットをネットワーク130から受信する。スイッチング装置110から、データパケットをネットワーク140へ送信することができ、この場合、スイッチング装置110は、最初にデータパケットをネットワークサービスへリダイレクトせずに、ネットワーク140における1又はそれ以上のデータパケットの宛先に関連するスイッチング装置110のポートに直接データパケットを切り替える。
或いは、スイッチング装置110から、データパケットを115においてネットワークサービス120へリダイレクトすることができ、この場合、スイッチング装置110のスイッチングメカニズムは、データパケットをネットワーク140へ送信するのではなく、ネットワークサービス120に関連するスイッチング装置110のリダイレクトポートにデータパケットを切り替える。本明細書で説明するように、このデータパケットのリダイレクティング115は、ネットワーク状態に少なくとも部分的に基づくことができる。データパケットが、スイッチング装置110からネットワークサービス120に関連するリダイレクトポートへリダイレクトされた場合、ネットワークサービス120が、リダイレクトされたデータパケットの分析を行うことができる。行われた分析の結果に少なくとも部分的に基づいて、リダイレクトされたデータパケットを125においてネットワークサービス120からスイッチング装置110へ戻すことができる。本発明の1つの実施形態では、いずれの戻されたデータパケットも、スイッチング装置110からネットワーク140における1又はそれ以上の宛先の少なくとも1つへ送信することができる。図1では、通信135は、一般にネットワーク140へのデータパケットの転送を表す。例えば、通信135は、(1)受信したデータパケットのスイッチング装置110からネットワーク140への送信、或いは(2)戻されたデータパケットのスイッチング装置110からネットワーク140への送信を表すことができる。
ネットワークトラフィックをネットワークサービス120へリダイレクトするために、スイッチング装置110は、本明細書ではリダイレクトポートと呼ぶ、ネットワークサービス120に関連する少なくとも1つのポートを含むことができる。それぞれネットワークサービス120に関連するスイッチング装置の単一のリダイレクトポート、或いは別個の出口及び入口リダイレクトポートのいずれかにおいて通信115及び125を行うことができる。本発明の1つの実施形態では、スイッチング装置110が受信したデータパケットをリダイレクトポートへリダイレクトするか否かは、ネットワーク状態に少なくとも部分的に基づく。換言すれば、ネットワーク状態の存在により、受信したデータパケットがスイッチング装置110のリダイレクトポートに関連しており、このポートがさらにネットワークサービス120に関連していることをスイッチング装置110に示すことができる。
1つの実施形態では、ネットワーク状態はデータパケット自体の状態であってもよい。例えば、ネットワーク状態は、データパケットが表すトラフィックの種類であってもよい。データパケット自体に含まれる情報により、このデータパケットのトラフィックタイプを示すことができる。例えば、データパケットのトラフィックタイプは、以下に限定されるわけではないが、データパケットのネットワークソース識別子、データパケットのネットワーク宛先識別子、データパケットのプロトコルタイプ、データパケットのサービスタイプ、及び/又はデータパケットに関連するアプリケーションを含む情報に基づくことができる。データリンク層情報、ネットワーク層情報及び/又はデータパケット内のその他のOSIレイヤ情報により、トラフィックタイプを示すことができる。これとは別に、或いはこれに加えて、データパケットのトラフィックタイプは、ネットワークにおけるデータパケットの通信に関する情報を含むことができる。例えば、データパケットのトラフィックタイプは、以下に限定されるわけではないが、データパケットを受信したポート、データパケットを受信した時間、及び/又はデータパケットの受信が結果として何らかのしきい値を超えたという指標を含む情報に様々に基づくことができる。例示を目的とするために、本明細書における本発明についての説明は、データパケット自体のトラフィックタイプであるデータパケットのリダイレクションに関するネットワーク状態の典型的な例で行う。これらの説明を広げて、他の種類のネットワーク状態について言及できることを理解されたい。
ネットワーク状態により、データパケットがネットワークサービス120へリダイレクト115される場合、ネットワークサービス120が提供するサービスの一部としてデータパケットの分析を行うことができる。分析の結果に少なくとも部分的に基づいて、リダイレクトされたデータパケットをネットワークサービス120により遮断する(図示せず)ことができる。或いは、125において、分析の結果に少なくとも部分的に基づいてデータパケットをスイッチング装置110へ戻すことができる。データパケットが戻される場合、スイッチング装置110は、戻されたデータパケットにいずれかの追加の分析又は他の操作を行うことができる。その後、スイッチング装置110は、戻されたデータパケットを遮断する(図示せず)か、或いは135においてネットワーク140における1又はそれ以上の宛先へ転送するかのいずれかを行うことができる。
図2は、本発明の1つの実施形態を実施するための構成200を示す図である。例示を目的として、構成200は、図1の特徴を上回る追加の特徴を示している。本発明の他の実施形態は、図2に示す構成に代わる構成、或いはこれに追加を加えた構成を含むことができる点に留意されたい。1又はそれ以上のセキュリティサービスによる検査のためにネットワークトラフィックを選択的にリダイレクトできるスイッチング装置によって本発明の1つの実施形態を実施することができ、この場合、リダイレクトは何らかのネットワーク特性識別子のリストに基づく。1つの実施形態では、ネットワーク識別子のリストは、1又はそれ以上のポリシの組による修正を受けることができる。図1のシステム100のスイッチング装置110のように、構成200におけるスイッチ201は、データパケットを、受信したネットワークトラフィックからIPS211に関連するポートへ選択的にリダイレクトすることができる。本発明の1つの実施形態では、スイッチ201は、データパケットの選択的ポートリダイレクションのための論理の少なくとも一部を実行するためのプロセッサ230を含むことができる。例えば、プロセッサ230は、プロセッサ230により実行された場合にIPS211に関連するスイッチ201上のポートへのデータパケットの選択的ポートリダイレクションの少なくとも一部をプロセッサ230に実行させる1又はそれ以上の命令を記憶できたマシン可読メモリ231を含むことができる。これとは別に、或いはこれに加えて、スイッチ201は、ハードウェアを使用してデータパケットの選択的ポートリダイレクションの少なくとも一部を実行することができる。
構成200によれば、スイッチ201は、IPS211が以前にネットワークにとって安全であると分析及び判定したことのあるフローを識別するフローハンドラ202において(例えば、ポート、バス接続又はその他のインターフェイスを介して)トラフィック220を受信することができる。フローハンドラ202は、例えば、データパケットをスイッチ201からフラッディングすべきかどうかを判定するためのメカニズムをさらに含むことができる。或いは、フローハンドラ202とは別のスイッチ201の専用コンポーネント(図示せず)がこの判定を行ってもよい。このようなフローから得られるデータパケットは、さらなる中断を伴わずにスイッチ201を介して直接転送される。そうでなければ、他のあらゆるデータパケット222をトラフィックセレクタ208へ送信してもよい。トラフィックセレクタ208は、ネットワーク状態が、受信したデータパケットがスイッチング装置のリダイレクトポートに(トラフィックを運ぶなど)関連していることを示すかどうかを判定することができる。本発明の特定の実施形態に応じて、トラフィックセレクタ208は、データパケットがスイッチング装置からフラッディングすべきデータパケットであるかどうかをさらに判定することができる。1つの実施形態では、トラフィックセレクタ208は、IPS211に関連するスイッチ201上のポートへリダイレクトするために、データパケット222のトラフィックタイプを識別することができる。1つの例では、フロー毎、又は(電子メール、ウェブ、SQL、FTPなどの)サービス毎にリダイレクトすべきトラフィックタイプの識別を行うことができる。
データパケット222が、IPS211に関連するポートと関連性があると示されたトラフィックタイプであることに少なくとも部分的に基づいて、このデータパケットを前記「リダイレクトポート」へリダイレクトすることができる。トラフィックセレクタ208は、スイッチ201においてデータパケットをリダイレクト223する形で示している。或いは、トラフィックセレクタ208におけるメカニズムとは別のスイッチ201の専用スイッチングメカニズム(図示せず)がこのリダイレクティング223を行って、受信したデータパケットがリダイレクトポートに関連することをネットワーク状態が示すかどうかを判定することができる。
IPSは、例えば、同軸ケーブル、ツイストペアケーブル、パラレルバス、シリアルバスなどのいずれかを介して、リダイレクトされたデータ223を受信することができる。トラフィックセレクタ208は、さらにパケット検査を行うためにフラグを立てられたフロー及び/又はサービスを識別するエントリを有するテーブル209を含むことができる。この場合、テーブル209内のエントリに適合するサービスに関連するデータパケットを、IPS211に関連するスイッチ201のポートへリダイレクトすることができる。テーブル209は、キャッシュ又はメモリ内に実装することができる。1つの実施形態では、テーブル209が連想メモリ(CAM)内に実装される。別の実施形態では、ターナリCAM、すなわちTCAMを使用してテーブルを実装する。
IPS211は、リダイレクトされたトラフィック223を分析して、特定のフローが(安全な、脅威ではないものなどの)良いものであるか、或いは(ウィルス、ワーム、サービス妨害(DoS)攻撃などの)悪いものであるかを判定することができる。例えば、IPS装置が、(フローAなどの)特定のフローが良いフローであると判定することがある。良いフロー224から得られるデータパケットをパケットフォワーダ232へ戻し、戻されたデータパケットに対してここでさらなる分析及び/又はその他の操作を実行することができる。何らかの追加の分析又はその他の操作の後、パケットフォワーダ232は、戻されたデータパケットを遮断するか、或いはスイッチ201のアウトバウンドネットワークトラフィック225として送信するかのいずれかを行うことができる。IPS211は、フローAを良いフローと見なす通知をフローハンドラ202へ送信することができる。スイッチ201は、フローAのフロー識別子をメモリ231に記憶することができる。従って、フローAのフロー識別子がメモリに記憶されると、フローAに関連するその後受信されるいずれのパケットも、フローハンドラ202においてメモリ231内のフローA識別子との適合を生じることができ、これによりスイッチ201が、フローAパケットをトラフィックセレクタ208を通過させることなく、或いはフローAパケットをIPS211へリダイレクトすることなく、221においてフローAパケットを転送し、225においてスイッチ201を通り抜けさせることができるようになる。
フローハンドラ202からトラフィックセレクタ208へ渡されるデータに関しては、テーブル209を使用してサービス及び/又はデータのフローを識別し、脆弱性検査を行うためのフラグを立てられたサービス及び/又はフローとこれらを比較する。現在の全体的なスイッチトラフィック状態に基づいて、テーブル209内のエントリを動的/自動的に更新することができる。センサ210により、全体的なスイッチトラフィック状態を検出することができる。1つの実施形態では、スイッチ201が、フローハンドラ202からトラフィックセレクタ208に渡されたトラフィックをモニタするための第1のセンサ210と、トラフィックセレクタ208とIPS211との間のトラフィックをモニタするための第2のセンサ210とを含むことができる。他の実施形態では、スイッチ201が、トラフィックをモニタし状態を検出するために、スイッチ201内の様々なロケーションにおける1又はそれ以上のセンサのあらゆる組み合わせを含むことができる。
センサ210は、1又はそれ以上のフローに関する累積パケットカウント、ある時間間隔にわたるパケットカウントの変化又は差分、2つの累積パケットカウントの比率、及び/又はある時間間隔に渡る2つの異なるパケットカウントの変化又は差分の比率などの様々なパケット統計値を収集することができる。通常、(電子メール、SQL、FTPなどの)サービスが標準ポート番号を使用して通信を行うことを考えれば、センサは、サービスタイプに基づいて、パケットカウント、変化したトラフィックレート、及び比率を追跡することもできる。センサ210はまた、フローに関連するリバース/アウトバウンドトラフィックに関する統計値を収集することもできる。例えば、1つの実施形態では、センサが、特定のフローに関して受信される到来する送信制御プロトコル(TCP)同期(SYN)パケットの数を追跡する。この一方で、センサはまた、フローに関連するアウトバウンドTCP SYN−確認応答(SYN−ACK)パケットの数を追跡することもできる。
センサ210は、検出した状態を選択マネージャ206に報告することができる。選択マネージャ206は1又はそれ以上のポリシの組207を含む。このポリシの組207をポリシデータベースとして実装することができる。ポリシの組207の規則及び/又はしきい値を使用して、(トラフィックにおけるスパイク、トラフィック輻輳などの)検出した状態を分析し、検出した状態に関連するサービス又はフローがIPS211によるさらなる検査を必要とするかどうかを決定する。1つの実施形態では、センサ210が、スイッチ201に入る電子メールトラフィックの異常な増加を検出することができる。この異常が、規則を呼び起こすか、或いはポリシの組207の1つのしきい値を超えた場合、選択マネージャ206は、電子メールトラフィックを含むようにテーブル209を自動的に更新することができる。従って、トラフィックセレクタ208が受信するその後のあらゆる電子メールトラフィックを、脆弱性検出を行うためにIPS211へリダイレクトできるようになる。別の実施形態では、センサ210が、リダイレクトされたトラフィック223におけるIPS211の限られた帯域幅に起因する輻輳を検出することができる。この場合、選択マネージャ206が、IPS211へ流れるリダイレクトされたトラフィック223を低減させる必要に応じて、1又はそれ以上のサービスを取り除くことによりテーブル209を自動的に修正することができる。
スイッチ201の動作をマニュアル設定したり、及び/又は中断したりする必要なくトラフィック選択ポリシ207を動的に更新できるようにするために、本発明の実施形態は、スイッチ201が使用する異常検出情報を受信し処理するための異常受信器205を含むことができる。本明細書で使用する「異常検出」とは、ネットワークに対するセキュリティリスクの可能性を判定するために行われる、ネットワーキング技術で周知の様々な分析方法のいずれかを意味するものと理解される。単一のデータパケットのコンテンツの分析から、及び/又は数多くのデータパケット、フロー、サービスなどにわたる時間に伴うパターンの分析などから異常検出情報を生成することができる。例えば、異常受信器205において受信される種類の異常検出情報として、以下に限定されるわけではないが、マルウェア記述、署名ベースの侵入検出データ、プロファイルベースの侵入検出データ、トラフィックパターン照合データ、ステートフルトラフィックパターン照合データ、プロトコルデコードベースの分析データ、ヒューリスティックベースの分析データなどを挙げることができる。
異常受信器205で受信されるような異常検出情報を様々な実施形態において使用して、トラフィックセレクタ208、セキュリティ規則エンジン203及び/又はIPS211などの、ネットワークトラフィックにおけるデータを処理するメカニズムへ伝達される行為を生み出すことができる。図2の例では、選択マネージャ206が、受信した異常検出情報に基づいて、いかなる様々なこのような行為及び/又は前記行為を行うことができる様々な対応する状態をも生み出すことができる。データ処理行為を行うことができるかどうか、及び/又はどのように行うことができるかを判定するために使用できる状態の1つの例に、ある警戒レベルの状態がある。例えば、トラフィックセレクタ208などの、スイッチ201におけるメカニズムの1つが、構成200の少なくとも一部に対する存在するセキュリティ脅威を示す警戒レベル(図示せず)へのアクセス権を記憶し、或いは別様に有することができる。受信したトラフィック222の処理において取る行為を決定する際に、トラフィックセレクタ208は、この警戒レベルを、選択マネージャ206が提供する状態と比較することができる。例えば接続231及び/又は接続230を介して、ネットワークトラフィックにおけるデータを処理するメカニズムへこのような行為及び/又は状態を選択的に伝達することができる。接続231は、例えば、同軸ケーブル、ツイストペアケーブル、パラレルバス、シリアルバスなどのいずれであってもよい。
異常受信器205において受信される異常検出情報は、様々なソースのいずれからも生じる可能性があり、これらの選択を例示として図2に示す。まず、図2は、IPS211が、異常受信器205に異常検出情報を、この場合は選択マネージャ206への接続231を介して提供することを示している。次に、異常受信器205に異常検出情報を提供できるフローハンドラ202に、この場合は選択マネージャ205への接続230を介して接続されたセキュリティ規則エンジン203を含むようにスイッチ201を示している。セキュリティ規則エンジン203は、例えば、トラフィック220を分析し、該トラフィック分析に基づいてセキュリティ規則の組204を引き出し、及び/又は実行することにより、フローハンドラ202における1次脅威検出及び軽減を行うためのモジュールであってもよい。このようなセキュリティ規則エンジン203の例に、ネットワークトラフィック分析及び規則204などのセキュリティ規則に基づいて、サービス及び/又はフローをフィルタリング、リダイレクト、遮断、及び/又は転送するかどうかを決定することができるExtreme Networks(商標)CLEAR−Flowセキュリティ規則エンジンがある。さらに、CLEAR−Flowセキュリティ規則エンジンなどのセキュリティ規則エンジン203はまた、このネットワークトラフィック分析がもたらすあらゆる異常検出情報を異常受信器205へリレーすることもできる。3番目に、異常受信器205が、スイッチ201内部の様々なセンサ210が提供する情報を受信することができる。図2には示していないが、さらに他の異常検出情報のソースとして、スイッチ201外部のネットワークトラフィックに作用するセキュリティ検出及び/又は軽減エージェントを挙げることができる。
異常検出情報のソースは、以下に限定されるわけではないが、異常受信器205によるポーリング、異常検出情報のソースによる認められている中断の送信、及び/又は同意済みのデータ通信プロトコルを含む様々な手段により、異常受信器205と通信することができる。異常受信器205が受信を行うと、異常検出情報を処理し、ポリシ207及び/又はテーブル209の更新に使用する選択マネージャ206へ伝送することができる。本発明の1つの実施形態では、スイッチ201におけるデータ処理システムのある部分を再起動する必要なく、ポリシ207を動的に更新することができる。例えば、選択マネージャ206の機能の少なくともいくつかをモジュラーオペレーティングシステムの1又はそれ以上の独立コンポーネントとして実装することによりこれを行うことができる。モジュラーオペレーティングシステム又は同様の技術を使用して、構成200のあるコンポーネントのランタイム動作を切り離すことにより、スイッチ201による受信したネットワークトラフィック220の処理を中断することなく、これらのコンポーネントをリアルタイムで更新することができる。このようなモジュラー方法の1つの例として、選択マネージャの少なくとも一部をExtreme Networks(登録商標)ExtremeXOS(商標)モジュラーオペレーティングシステムのモジュールとして実装する方法がある。
構成200における特徴の全てが本発明のいくつかの実施形態の実現に必要なわけではないが、上述の特徴は、スイッチ201によるデータパケットのポートリダイレクションの決定において使用できる様々なネットワーク状態を示すものである。例えば、OSIレイヤ2においてポートリダイレクトが実行されている間に、リダイレクトされたデータパケットに含まれるいずれのOSIレイヤ2データにも関係しないネットワーク情報により、ポートリダイレクトの基礎を成すネットワーク状態を示すことができる。
データパケットの処理中、スイッチ201は、データパケットを送信すべき場所についての現在の指示、スイッチ201がこれまで行ってきたデータパケットの処理に少なくとも部分的に基づく指示を記憶及び/又は更新することができる。最も簡単なケースでは、メモリ231が、データパケットがスイッチ201に届いた際のデータパケットに関連するデータのブロックを含む。データパケットを送信すべき場所についての最初の指示が、例えば、フローハンドラ202によるデータパケットの処理後にメモリ231に書き込まれる。このメモリ231内の現在の指示は、例えば単一のポート識別子、或いはビットマップなどのポートタグインデックス(PTI)を含むことができ、この場合、個々の組「ビット」が、データパケットを送信すべきポートであると現在考えられているスイッチ201上のポートを指示する。1つの実施形態では、データパケットを送信すべき場所についての記憶された指示は、例えば、データパケットのMAC DA或いはIP DAに基づくものであってもよい。
データパケットが、トラフィックセレクタ208へ、IPS211へ、及び/又はパケットフォワーダ232へと様々に送信される場合、例えば、メモリ231内のデータ上にデータパケットを送信すべき場所についてのより新しい「現在」の指示が書き込まれるか、或いは追加されたときに、データパケットを送信すべき場所についての「現在」の指示は「以前」の指示となる。1つの実施形態では、スイッチ201が、データパケットを送信すべき場所についての新しい現在の指示、及び1又はそれ以上の古い指示の両方を記憶することができる。最終的には、データパケットをスイッチ201から送信する前に、データパケットを送信すべき場所についての現在の指示をメモリ231から読み出して、データパケットの最終的な1又はそれ以上の宛先ポートを決定することができる。
本発明の様々な他の実施形態では、スイッチ201における個々のコンポーネントが、データパケットを送信すべき場所についての1又はそれ以上の指示の記憶を様々にサポートすることができる。例えば、フローハンドラ202、トラフィックセレクタ208、及び/又はパケットフォワーダ232の1又はそれ以上が、これらの固有のデータ構造を各々保持して、データパケットを送信すべき(又は送信すべきだった)場所についての1又はそれ以上の指示を様々に記憶、追跡及び又は提供することができる。本発明の1つの実施形態を実施するために、データパケットを送信すべき場所についての記憶された指示を容易に取り出せることにより、スイッチ201が、本明細書で説明するようなポートリダイレクション方法をさらに迅速に実行できるようになる。
図3は、本発明の1つの実施形態による、ネットワークサービスに関連するポートへリダイレクトできるデータパケット300の例示的な構造を示す図である。データパケット300の正確なコンテンツ及び/又は構造は、データの送信及び/又はデータのカプセル化に使用する特定のプロトコルに基づいて変化することができる。データパケットは、ネットワークソースから1又はそれ以上のネットワーク宛先へ通信すべきデータのペイロード340を含むことができる。ネットワークを介して送信する間に、ペイロード340を1又はそれ以上のヘッダによりカプセル化することができる。例えば、データパケット300は、電気電子技術者協会(IEEE)802.3に準拠するような媒体アクセス制御(MAC)ヘッダ310を含むことができ、このMACヘッダ310は、データパケットの到来元であるソースのMACアドレスを示すMACソースアドレス311と、データパケットの少なくとも1つの送信する宛先を示すMAC宛先アドレス312と、データパケットが属する仮想ローカルエリアネットワーク(VLAN)を示すVLANタグ313と、ペイロード340の長さ又はプロトコルタイプの少なくとも一方を示す長さ/タイプフィールド314とを含むことができる。データパケット300はまた、インターネットプロトコル(IP)ヘッダを含むこともでき、このインターネットプロトコル(IP)ヘッダは、データパケットの到来元であるソースのIPアドレスを示すIPソースアドレス311と、データパケットの少なくとも1つの送信する宛先を示すIP宛先アドレス312と、特定のデータグラムのフラグメントとしてデータパケットを示す識別フィールド323と、データパケットの処理に必要なパラメータを示すtype of service(TOS)フィールドと、データグラムの寿命を示すtime to live(TTL)フィールドと、IPパケットヘッダ320の特定のフォーマットを示すバージョンフィールド326とを含むことができる。
MACヘッダ310及びIPヘッダ320における様々なフィールドは、各々が、ネットワークサービスに関連するスイッチのリダイレクトポートへデータパケット300をリダイレクトすべきかどうかを決定することができるデータパケット300のトラフィックタイプの例である。これとは別に、或いはこれに加えて、本発明の様々な実施形態では、データパケット300のその他のヘッダ330における1又はそれ以上のフィールド、ペイロード340内の情報及び/又はセンサ210が検出した状態などの全体的なスイッチトラフィックの状態に少なくとも部分的に基づいて、データパケット300をリダイレクトポートへリダイレクトすることができる。
例示を目的として、本明細書では構成200を参照しながらデータパケット300のリダイレクティングについて説明する。しかしながら、本発明の様々な実施形態では、構成200が他の種類のデータパケットをリダイレクトすることができ、或いは構成200以外の構成によって実現される本発明の様々な実施形態により、データパケット300をリダイレクトできることを理解されたい。この例示的なケースでは、スイッチ201においてデータパケット300を受信し、これをトラフィックセレクタ208へ送信して、ネットワーク状態が、IPS211に関連するスイッチ201のリダイレクトポートにデータパケット300が関連していることを示すかどうかを判定する。本発明の1つの実施形態によれば、スイッチ201からIPS211に関連するポートへのデータパケット300のリダイレクトはさらに、このデータパケットがスイッチ201からフラッディングすべきデータパケットであるかどうかに少なくとも部分的に基づく。
本明細書で使用する場合、データパケットをスイッチからフラッディングするということは、一般に特定の1又はそれ以上のネットワーク経路へデータパケットを送信すべき旨の指示が無い場合に、代わりに多くのネットワーク経路へデータパケットを送信することを意味する。データリンク層におけるスイッチングでは、データパケットをスイッチング装置からフラッディングするということは、より具体的には、スイッチング装置の特定のポート又は複数のポートへデータパケットを送信すべき旨の指示が無い場合に、代わりにスイッチング装置のいくつかの使用できるポートへデータパケットを送信することを意味する。説明を簡潔かつ明確にするために、データリンク層におけるフラッディングに関連してデータパケットのフラッディングについて説明する。ネットワーキング技術における当業者であれば、本明細書では、本発明の実施形態の説明におけるフラッディングの意味を広げて、ネットワーク層におけるIPマルチキャスティングなどの他の種類のデータフラッディングを含めることができることを理解するであろう。
MAC宛先アドレス(DA)312が、一般にスイッチ201の全てのポートからデータパケットをブロードキャストすべき旨を示すブロードキャストMAC DAである場合、データパケット300をスイッチ201からフラッディングすることができる。或いは、MAC DA312がスイッチ201にとって未知のMACアドレスである場合、データパケット300をスイッチ201からフラッディングすることができる。例えば、スイッチ201が、転送用データベース(FDB)内でMAC DA312の検索を行って、MAC DA312に関連するポートを判定しようと試みる場合にこのケースが生じることがある。FDB検索がうまくいかなかった場合、データパケット300を特定のポートへ送信すべき旨の指示が無ければ、スイッチ201は、いくつかの状況においてデータパケット300を代わりにスイッチ201の1又はそれ以上のポートへフラッディングすることができる。
IPS211が、リダイレクトされたデータパケットをスイッチ201へ戻す可能性があると、データパケットが誤ったポートで送信されたり、及び/又はデータパケットループなどの問題が生じる可能性がある。スイッチ201からフラッディングすべきデータパケットの場合、特にそう言える。従って、本発明の実施形態は、データパケット300の選択的リダイレクティングに、データパケット300が、スイッチ201からフラッディングされるこれらの潜在的に問題のあるデータパケットの1つであるかどうかについての評価を含める。この評価をポートリダイレクトの一部としてどのように含めることができるかの例について以下で説明する。
本発明の様々な実施形態では、ネットワークにおいてデータパケットをスイッチ201を介して確実に送信するようにするために追加の手段が講じられる。例えば、IPS211にトラフィックを運ぶリダイレクトポートを、スイッチング装置201からのいずれのデータパケットのフラッディングからも切り離すことができる。これにより、データパケット300がスイッチ201のリダイレクトポートに関連していないと判定されたものの、これにも関らずデータパケット300がスイッチ201からフラッディングすべきデータパケットであるというような場合、あらゆる不注意によるデータパケット300のIPS211へのリダイレクトが阻止される。リダイレクトポートが、フラッディングされたトラフィックを運ぶことができる場合、IPS211には、分析が必要であるとされていないトラフィック、又は分析が必要ないとされているトラフィックのいずれかが不必要に送信される。リダイレクトポートの切り離しは、例えば、特定の仮想ローカルエリアネットワーク(VLAN)のトラフィックを運ぶ(又は別様にサポートする)ポートの組からリダイレクトポートを除外するステップを含むことができる。
これに加えて、或いはこれとは別に、スイッチ201を、IPS211から戻されたトラフィックをスイッチ201へ運ぶリダイレクトポートでMACラーニングが行われないように構成することができる。MACラーニングは、スイッチ201に、データパケットの特定のソースMACアドレスを、データパケットを受信したスイッチのポートに関連付けさせる。MACソースアドレス311をデータパケット300が最初に到来した元の場所(すなわちトラフィック220を運ぶポートであり、IPS211からデータパケットを戻すリダイレクトポートではない)に関連付けるべきである場合、MACの動き、すなわちあるMACソースアドレスに関連するポートの望ましくない再学習を防ぐために、リターンリダイレクトポートに対してMACラーニングを停止すべきである。ネットワークポートにおいてMACラーニングを停止させるための様々な周知のスイッチ構成方法は商業的にサポートされており、本発明の実施形態の動作の説明に必要な場合を除き、本明細書では詳述しない。
図4Aは、本発明の1つの実施形態による、データパケットのネットワークサービスへのポートリダイレクトを選択的に行う方法400を示す図である。例えば、図2に示すスイッチ201のトラフィックセレクタ208により、この方法を行うことができる。方法400は、ネットワークサービスに関連するポートへのデータパケットのリダイレクトを行う準備のできたスイッチング装置により405から開始する。410において、スイッチング装置がデータパケットを受信し、このデータパケットがネットワーク内の1又はそれ以上の宛先へ送信される。データパケットの受信時に、415において、受信したデータパケットをスイッチング装置からフラッディングすべきかどうかに関する判定が行われる。前述したように、例えば、データパケットのブロードキャストMAC DAにより、或いはデータパケットのMAC DAのFDB検索がうまくいかなかったことにより、このフラッディングを指示することができる。
IPマルチキャストデータパケットの場合、データパケットが、2001年8月出版、Albanna,Z.,Almeroth,K.,Meyer,D.,及びM.SchipperによるInternet Assigned Numbers Authority(IANA)の「IPv4マルチキャストアドレス割り当てのためのIANAガイドライン」、Best Current Practice(BCP)51、Request for Comments(RFC)3171に記載されるようなマルチキャストIP DAを含むと判定することにより、データパケットをスイッチング装置からフラッディングすべきであるという判定を示すことができる。例えば、トラフィックセレクタACLの形のエントリを加えて、リダイレクトポートにおけるあらゆるマルチキャストトラフィックを捕らえることにより、これを行うことができる。例えば、ACLエントリを、IPマルチキャストトラフィックを捕らえるために、IP DA224.0.0.0でトラフィックに応答するように設定することができる。
データパケットをフラッディングすべき場合、データパケットは、ネットワークサービスに関連するリダイレクトポートへ前もってリダイレクトされることなく、420においてスイッチング装置からフラッディングされる。1つの実施形態では、420におけるスイッチング装置からのデータパケットのフラッディングは、リダイレクトポートでのデータパケットの送信を除外する。データパケットをスイッチング装置からフラッディングすべきでない場合、425において、データパケットのトラフィックタイプ(又は同様のネットワーク状態)が、データパケットの、スイッチング装置のリダイレクトポートとの関連性を示すかどうかのような、トラフィックセレクタの一致が生じたかどうかに関して判定が行われる。トラフィックセレクタの一致が存在する場合、435において、データパケットが、ネットワークサービスに関連するリダイレクトポートへリダイレクトされる。トラフィックセレクタの一致が存在しない場合、430において、データパケットが転送され、この場合、さらなる分析を行うためにデータパケットが最初にネットワークサービスへリダイレクトされることなく、スイッチング装置からデータパケットの1又はそれ以上の宛先へ送信される。トラフィックセレクタ208は、例えば方法400を全て実行するための論理を含むことができるが、代替の実施形態では、データパケットをスイッチング装置からフラッディングすべきかどうかを判定するためのメカニズムを、トラフィックセレクタの一致が存在するかどうかを判定するためのメカニズムとは別個に実装することができる。
図4Bは、本発明の別の実施形態による、ネットワークサービスへのデータパケットのポートリダイレクトを選択的に行う方法450を示す図である。例えば、図2に示す構成200におけるスイッチ201により、この方法を実行することができる。方法450は、ネットワークサービスに関連するポートへのデータパケットのリダイレクトを行う準備のできたスイッチング装置により455から開始する。460において、スイッチング装置がデータパケットを受信し、このデータパケットがネットワーク内の1又はそれ以上の宛先へ送信される。データパケットの受信時に、465において、データパケットのトラフィックタイプ(又は同様のネットワーク状態)が、データパケットの、スイッチング装置のリダイレクトポートとの関連性を示すかどうかのような、トラフィックセレクタの一致が生じたかどうかに関して判定が行われる。トラフィックセレクタの一致が存在しない場合、470において、さらなる分析を行うためにデータパケットが最初にネットワークサービスへリダイレクトされることなく、データパケットがスイッチング装置からデータパケットの1又はそれ以上の宛先へ送信される。
トラフィックセレクタの一致が存在する場合、受信したデータパケットをスイッチング装置からフラッディングすべきかどうかに関する判定が475において行われる。前述したように、例えば、データパケットのブロードキャストMAC DAにより、或いはデータパケットのMAC DAのFDB検索がうまくいかなかったことにより、このフラッディングを指示することができる。データパケットをフラッディングすべき場合、データパケットは、ネットワークサービスに関連するリダイレクトポートへ前もってリダイレクトされることなく、485においてスイッチング装置からフラッディングされる。1つの実施形態では、420におけるスイッチング装置からのデータパケットのフラッディングは、リダイレクトポートでのデータパケットの送信を除外する。データパケットをフラッディングすべきでない場合、480において、さらなる分析を行うためにデータパケットがネットワークサービスへリダイレクトされる。方法400と同様に、データパケットをスイッチング装置からフラッディングすべきかどうかを判定するためのメカニズムを、トラフィックセレクタの一致が存在するかどうかを判定するためのメカニズムと共に実装してもよいし、或いは別個に実装してもよい。
本発明の実施形態の特定の実施構成、及び特定のデータパケットが選択的にリダイレクトされることにもよるが、本発明の特定の実施形態は、スイッチング装置がデータパケットを処理する際に、データパケットを送信すべき場所についてのあらゆる数の異なる指示を記憶することができる。例えば、460においてデータパケットを受信した後に、データパケットを、データパケットのMAC DAに関連する1又はそれ以上のポートへ送信すべき旨を指示するPTIを記憶することができる。しかしながら、トラフィックセレクタの一致が存在するという465における判定の後に、データパケットをリダイレクトポートへ送信すべき旨を指示する別のPTIを記憶することもできる。最終的に、データパケットをスイッチング装置からフラッディングすべきであるという475における判定の結果、今回はデータパケットをスイッチング装置からフラッディングすべき旨を指示するPTIを再び記憶する必要が生じることがある。
最も簡単なケースでは、本発明の実施形態は、再度データパケットのMAC DAを単純に見ることができる。しかしながら、これにより、データパケットの無駄なリダイレクティング、及び、例えば反復的かつリソースを消費するFDB検索が行われる可能性がある。本発明の別の実施形態では、データパケットの1又はそれ以上の宛先ポートの正しい指示を、以前に記憶した指示の1つから取り出すことができる。
例えば、データパケットをスイッチング装置からフラッディングすべきであるという475における判定の結果、シーケンス制御テーブル(SCT)に記憶された特別な命令を引き起こすことができる。プロセッサ230による実行のために、これらのSCT命令を、例えばメモリ231に記憶することができる。本発明の1つの実施形態では、SCT命令が、データパケットをフラッディングすべきスイッチング装置のポートについてのいくつかの以前に記憶した指示を取り出す。1つの実施形態では、SCT命令を実行した結果、データパケットのMAC DA又はIP DAのいずれかに基づく、データパケットを送信すべき場所についての指示が取り出される。次にこの取り出された指示が、データパケットを送信すべき場所についての現在の指示に取って代わり、データパケットをスイッチング装置から実際に送信すると決定することができる。
本明細書では、スイッチング装置においてデータパケットをリダイレクトするための技術及びアーキテクチャについて説明している。説明では、本発明を完全に理解するために、数多くの特定の詳細を説明目的で示している。しかしながら、当業者には、これらの特定の詳細を伴わずに本発明を実施できることが明らかであろう。他の例では、説明を曖昧にしないために、構造及び装置をブロック図の形式で示している。
本明細書における「1つの実施形態」又は「ある実施形態」への言及は、本発明の少なくとも1つの実施形態に、実施形態に関連して説明する特定の特徴、構造、又は特性が含まれることを意味する。本明細書において至るところに出現する「1つの実施形態では」という表現は、必ずしも全てが同じ実施形態について言及するものではない。
コンピュータメモリ内のデータビット上のアルゴリズム及び記号による動作表現の観点から以下の詳細な説明のいくつかの部分を提示している。これらのアルゴリズム記述及び表現は、ネットワーキング技術における当業者が自らの研究内容を他の当業者に最も効果的に伝えるために使用する手段である。本明細書において及び一般的に、アルゴリズムとは、望ましい結果をもたらす首尾一貫した一連のステップであると考えられる。これらのステップは、物理量の物理的操作を必要とするものである。必ずしもそうではないが、通常これらの量は、記憶、転送、合成、比較、及び別様に操作できる電気又は磁気信号の形をとる。主に共通使用という理由で、時にはこれらの信号をビット、値、要素、記号、文字、用語、番号などと呼ぶことが便利であることが分かっている。
しかしながら、これらの及び同様の用語の全ては、適当な物理量に関連付けられるべきものであり、またこれらの量に与えられた便利な表記に過ぎないことに留意されたい。以下の説明から明らかなように、別途特別に述べない限り、本発明全体を通じて「processing(処理する)」又は「computing(計算する)」又は「calculating(計算する)」又は「determining(決定する)」又は「displaying(表示する)」などの用語を利用した説明は、コンピュータシステムのレジスタ及びメモリ内の物理(電子)量として表されるデータを操作し、コンピュータシステムのメモリ、レジスタ、又はその他のこのような情報記憶装置、送信又は表示装置内の物理量として同様に表される他のデータに変換するコンピュータシステム又は同様の電子コンピュータ装置の動作及び処理を意味するものである。
本発明の実施形態はまた、本明細書における動作を行うための装置にも関する。この装置は、必要な目的のために特別に構成したり、或いはコンピュータに記憶されたコンピュータプログラムにより選択的に作動又は再構成された汎用コンピュータを含むことができる。このようなコンピュータプログラムを、以下に限定されるわけではないが、フロッピー(登録商標)ディスク、光ディスク、CD−ROM、及び磁気光ディスクを含むあらゆる種類のディスク、読出し専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、EPROM、EEPROM、磁気又は光カード、或いは電子命令の記憶に適したあらゆる種類の媒体などのコンピュータ可読記憶媒体に記憶することができ、これらの各々をコンピュータシステムバスに結合することができる。
本明細書で示すアルゴリズム及び表示は、本質的にいずれかの特定のコンピュータ又はその他の装置に関連するものではない。様々な汎用システムを、本明細書の教示に従うプログラムと共に使用し、或いは必要な方法ステップを実行するために、より特殊化した装置を構成することが便利であると証明することができる。以下の説明から様々なこれらのシステムに必要な構造が明らかとなるであろう。また、本発明は、いずれかの特定のプログラミング言語に関連して説明するものではない。様々なプログラミング言語を使用して、本明細書で説明するような本発明の教示を実現できることが理解できよう。
100 システム
105 受信
110 スイッチング装置
115 通信(リダイレクト)
120 ネットワークサービス
125 通信(戻す)
130 ネットワーク
135 通信
140 ネットワーク

Claims (28)

  1. ネットワーク内のスイッチング装置において実行される方法であって、当該方法は、
    前記スイッチング装置へ送信された前記ネットワーク内の1又はそれ以上の宛先へ送信すべきデータパケットを受信するステップと、
    記受信したデータパケットが前記スイッチング装置のリダイレクトポートに関連していることを、ネットワーク態が示しているかどうかを判定するステップであって、前記リダイレクトポートは、リダイレクトされたデータパケットを、該リダイレクトされたデータパケットの分析に基づいて前記スイッチング装置へ戻すように構成されたネットワークサービスに関連する、ステップと、
    前記データパケットを前記スイッチング装置からフラッディングすべきかどうかを判定するステップと、
    前記受信したデータパケットが前記スイッチング装置からフラッディングすべきと判定された場合、前記リダイレクトポートを、前記受信したデータパケットの前記フラッディングから切り離して、前記受信したデータパケットを前記スイッチング装置からフラッディングするステップと、
    記受信したデータパケットが前記ダイレクトポートに関連していることを前記ネットワーク状態が示していると判定され、かつ前記データパケットを前記スイッチング装置からフラッディングすべきでないと判定された場合、前記受信したデータパケットを前記スイッチング装置のリダイレクトポートへリダイレクトするステップと、
    を含むことを特徴とする方法。
  2. 前記ネットワーク態は、前記受信したデータパケットのトラフィックタイプを含む、
    ことを特徴とする請求項1に記載の方法。
  3. 前記データパケットを前記スイッチング装置からフラッディングすべきかどうかを判定するステップは、
    前記受信したデータパケットがブロードキャスト媒体アクセス制御(MAC)宛先アドレスを含んでいると判定するステップと、
    前記受信したデータパケットが、転送用データベースのいずれのエントリにも対応しない媒体アクセス制御(MAC)宛先アドレスを含んでいると判定するステップと、
    の少なくとも一方を含むことを特徴とする請求項1に記載の方法。
  4. 前記データパケットを前記スイッチング装置からフラッディングすべきかどうかを判定するステップは、前記受信したデータパケットがインターネットプロトコル(IP)マルチキャスト宛先アドレスを含んでいると判定するステップを含む、
    ことを特徴とする請求項1に記載の方法。
  5. 前記受信したデータパケットを前記スイッチング装置からフラッディングするステップは、前記受信したデータパケットを前記スイッチング装置のいずれのリダイレクトポートへも送信せずに実行されることを特徴とする請求項1に記載の方法。
  6. 記リダイレクトポートは、前記スイッチング装置からのデータパケットのいずれのフラッディングからも切り離されることを特徴とする請求項5に記載の方法。
  7. ダイレクトポートは、仮想ローカルエリアネットワーク(VLAN)をサポートするポートの組から除外されることを特徴とする請求項6に記載の方法。
  8. 記受信したデータパケットが前記スイッチング装置のリダイレクトポートに関連していることを前記ネットワーク状態が示していると判定され、当該方法は、前記データパケットを前記スイッチング装置のリダイレクトポートへ送信すべき旨の指示を、前記データパケットを前記スイッチング装置の少なくとも1つの他のポートへフラッディングすべき旨の指示に置き換えるステップをさらに含む、
    ことを特徴とする請求項5に記載の方法。
  9. 前記データパケットを前記スイッチング装置のリダイレクトポートへ送信すべき旨の指示を、前記データパケットを前記スイッチング装置の少なくとも1つの他のポートへフラッディングすべき旨の指示に置き換えるステップは、シーケンス制御テーブル(SCT)に記憶された1又はそれ以上のコマンドを実行して、前記スイッチング装置の少なくとも1つの他のポートの識別子を取り出すステップを含む、
    ことを特徴とする請求項8に記載の方法。
  10. 前記ネットワーク態が、前記受信したデータパケットが前記スイッチング装置のリダイレクトポートに関連していることを示し、前記受信したデータパケットを前記スイッチング装置からフラッディングするステップは、前記スイッチング装置のリダイレクトポートのアクセス制御リストの規則を実施するステップを含み、該規則は、インターネットプロトコル(IP)マルチキャスト宛先アドレスを有するあらゆるデータパケットの、スイッチング装置のリダイレクトポートへのリダイレクションを防ぐ、
    ことを特徴とする請求項5に記載の方法。
  11. 命令セットを記憶したマシン可読媒体であって、前記命令セットは、1又はそれ以上のプロセッサにより実行された場合、該1又はそれ以上のプロセッサに、
    ネットワーク内のスイッチング装置において、前記ネットワーク内の1又はそれ以上の宛先へ送信すべきデータパケットを受信するステップと、
    前記ネットワーク態が、前記受信したデータパケットが前記スイッチング装置のリダイレクトポートに関連していることを示すかどうかを判定するステップと、
    を含み、前記リダイレクトポートは、ダイレクトされたデータパケットを、該リダイレクトされたデータパケットの分析の結果に基づいて前記スイッチング装置へ戻すように構成されたネットワークサービスに関連し、
    前記データパケットを前記スイッチング装置からフラッディングすべきかどうかを判定するステップと、
    前記受信したデータパケットが前記スイッチング装置からフラッディングすべきと判定された場合、前記リダイレクトポートを、前記受信したデータパケットの前記フラッディングから切り離して、前記受信したデータパケットを前記スイッチング装置からフラッディングするステップと、
    記受信したデータパケットが前記ダイレクトポートに関連していることを前記ネットワーク状態が示していると判定され、かつ前記データパケットを前記スイッチング装置からフラッディングすべきでないと判定された場合、前記受信したデータパケットを前リダイレクトポートへリダイレクトするステップと、
    む方法を実行させることを特徴とするマシン可読媒体。
  12. 前記ネットワーク態は、前記受信したデータパケットのトラフィックタイプを含む、
    ことを特徴とする請求項11に記載のマシン可読媒体。
  13. 前記データパケットを前記スイッチング装置からフラッディングすべきかどうかを判定するステップは、
    前記受信したデータパケットがブロードキャスト媒体アクセス制御(MAC)宛先アドレスを含んでいるどうかを判定するステップと、
    前記受信したデータパケットが、転送用データベースのいずれのエントリにも対応しない媒体アクセス制御(MAC)宛先アドレスを含んでいるかどうかを判定するステップと、
    前記受信したデータパケットがインターネットプロトコル(IP)マルチキャスト宛先アドレスを含んでいるかどうかを判定するステップと、
    のうちの少なくとも1つを含むことを特徴とする請求項11に記載のマシン可読媒体。
  14. 前記受信したデータパケットを前記スイッチング装置からフラッディングするステップは、前記受信したデータパケットを前記スイッチング装置のいずれのリダイレクトポートへも送信せずに実行されることを特徴とする請求項11に記載のマシン可読媒体。
  15. ダイレクトポートは、仮想ローカルエリアネットワーク(VLAN)をサポートするポートの組から切り離されることを特徴とする請求項14に記載のマシン可読媒体。
  16. 記受信したデータパケットが前記スイッチング装置のリダイレクトポートに関連していることを前記ネットワーク状態が示していると判定され、当該方法は、前記データパケットを前記スイッチング装置のリダイレクトポートへ送信すべき旨の指示を、前記データパケットを前記スイッチング装置の少なくとも1つの他のポートへフラッディングすべき旨の指示に置き換えるステップをさらに含む、
    ことを特徴とする請求項14に記載のマシン可読媒体。
  17. リダイレクトされたデータパケットを、該リダイレクトされたデータパケットの分析に基づいてスイッチング装置へ戻すように構成されたネットワークサービスに関連するリダイレクトポートと、
    データパケットを前記スイッチング装置からフラッディングすべきかどうかを判定するためのフローハンドラと、
    前記データパケットが前記リダイレクトポートに関連していることを、ネットワーク態が示すかどうかを判定するためのトラフィックセレクタと、
    前記トラフィックセレクタと前記フローハンドラに連結されたスイッチングメカニズムと、
    を備え
    前記データパケットが前記リダイレクトポートに関連していることを前記ネットワーク状態が示していると判定され、かつ前記データパケットを前記スイッチング装置からフラッディングすべきでないと判定された場合、前記スイッチングメカニズムは、前記データパケットを前記リダイレクトポートへ送信し、
    前記受信したデータパケットが前記スイッチング装置からフラッディングすべきと判定された場合、前記スイッチングメカニズムは、前記受信したデータパケットを前記スイッチング装置からフラッディングし、前記スイッチングメカニズムは、前記リダイレクトポートを前記受信したデータパケットの前記フラッディングから切り離すことを特徴とするスイッチング装置。
  18. 前記ネットワーク態は、前記データパケットのトラフィックタイプを含む、
    ことを特徴とする請求項17に記載のスイッチング装置。
  19. 前記フローハンドラが前記データパケットを前記スイッチング装置からフラッディングすべきかどうかを判定することは、
    前記受信したデータパケットがブロードキャスト媒体アクセス制御(MAC)宛先アドレスを含んでいるどうかを前記フローハンドラが判定すること
    前記受信したデータパケットが、転送用データベースのいずれのエントリにも対応しない媒体アクセス制御(MAC)宛先アドレスを含んでいるかどうかを前記フローハンドラが判定すること
    前記受信したデータパケットがインターネットプロトコル(IP)マルチキャスト宛先アドレスを含んでいるかどうかを前記フローハンドラが判定すること
    のうちの少なくとも1つを含むことを特徴とする請求項17に記載のスイッチング装置。
  20. 前記スイッチングメカニズムは、前記リダイレクトポートを仮想ローカルエリアネットワーク(VLAN)をサポートするポートの組から除外すことを特徴とする請求項19に記載のスイッチング装置。
  21. 記受信したデータパケットが前記ダイレクトポートに関連していることを前記ネットワーク状態が示していることを判断し、前記スイッチングメカニズムは、前記データパケットを前記スイッチング装置のリダイレクトポートへ送信すべき旨の指示を、前記データパケットを前記スイッチング装置の少なくとも1つの他のポートへフラッディングすべき旨の指示に置き換えるとを特徴とする請求項19に記載のスイッチング装置。
  22. スイッチング装置を備えたシステムであって、当該スイッチング装置は、
    複数のポートと、
    リダイレクトポートと、
    前記複数のポートと、前記リダイレクトポートに連結されたスイッチングメカニズムと、
    前記リダイレクトされたデータパケットを前記スイッチング装置のリダイレクトポートから受信し、さらに、前記リダイレクトされたデータパケットの分析に基づいて前記リダイレクトされたデータパケットを前記スイッチング装置へ戻すためのネットワークサービスと、
    前記スイッチング装置を前記ネットワークサービスに結合するためのシリアルバスと、
    を備え、
    前記データパケットが前記リダイレクトポートに関連していることをネットワーク状態が示していると判定され、かつ前記データパケットを前記スイッチング装置からフラッディングすべきでないと判定された場合、前記スイッチングメカニズムは、前記データパケットを前記リダイレクトポートへリダイレクトし、
    前記受信したデータパケットが前記スイッチング装置からフラッディングすべきと判定された場合、前記スイッチングメカニズムは、前記受信したデータパケットを前記スイッチング装置からフラッディングし、前記スイッチングメカニズムは、前記リダイレクトポートを、前記受信したデータパケットの前記フラッディングから切り離し、
    前記受信したデータパケットがブロードキャスト宛先アドレスを含んでいると判定され、または、前記受信したデータパケットが、転送用データベースのいずれのエントリにも対応しないブロードキャスト宛先アドレスを含んでいると判定された場合、前記データパケットは前記スイッチング装置の前記複数のポートからフラッディングされる、
    ことを特徴とするシステム。
  23. 前記ネットワーク態が、前記データパケットのトラフィックタイプを含む、
    ことを特徴とする請求項22に記載のシステム。
  24. 前記データパケットが、ブロードキャスト媒体アクセス制御(MAC)宛先アドレスを含まないか、
    前記データパケットが、前記スイッチング装置の転送先データベースのいずれのエントリにも対応しない媒体アクセス制御(MAC)宛先アドレスを含まないか、
    前記データパケットが、インターネットプロトコル(IP)マルチキャスト宛先アドレスを含まない場合、
    前記データパケットを前記スイッチング装置からフラッディングすべきでない、
    ことを特徴とする請求項22に記載のシステム。
  25. 記リダイレクトポートは、仮想ローカルエリアネットワーク(VLAN)をサポートするポートの組から除外されることを特徴とする請求項22に記載のシステム。
  26. 前記受信したデータパケットが前記ダイレクトポートに関連していることを前記ネットワーク態が示していると判定され、前記スイッチングメカニズムは、前記データパケットを前記スイッチング装置のリダイレクトポートへ送信すべき旨の指示を、前記データパケットを前記スイッチング装置の少なくとも1つの他のポートへフラッディングすべき旨の指示に置き換えるとを特徴とする請求項22に記載のシステム。
  27. 前記スイッチングメカニズムが、前記データパケットを前記スイッチング装置のリダイレクトポートへ送信すべき旨の前記指示を、前記データパケットを前記スイッチング装置の少なくとも1つの他のポートへフラッディングすべき旨の前記指示に置き換えることは、前記スイッチングメカニズムが、シーケンス制御テーブル(SCT)に記憶された1又はそれ以上のコマンドを実行して、前記スイッチング装置の少なくとも1つの他のポートの識別子を取り出すことを含む、
    ことを特徴とする請求項26に記載のシステム。
  28. 前記受信したデータパケットが前記ダイレクトポートに関連していることを前記ネットワークの状態が示していると判定され、
    前記スイッチングメカニズムは、前記スイッチング装置のリダイレクトポートのアクセス制御リストの規則を実施、該規則は、インターネットプロトコル(IP)マルチキャスト宛先アドレスを有するあらゆるデータパケットの、スイッチング装置のリダイレクトポートへのリダイレクションを防ぐ、
    ことを特徴とする請求項22に記載のシステム。
JP2010514785A 2007-06-29 2008-06-25 ネットワークスイッチにおけるポートリダイレクトのための方法及びメカニズム Expired - Fee Related JP5411134B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/772,061 US8135007B2 (en) 2007-06-29 2007-06-29 Method and mechanism for port redirects in a network switch
US11/772,061 2007-06-29
PCT/US2008/007876 WO2009005650A2 (en) 2007-06-29 2008-06-25 Method and system for redirecting of packets to an intrusion prevention service in a network switch

Publications (2)

Publication Number Publication Date
JP2010532633A JP2010532633A (ja) 2010-10-07
JP5411134B2 true JP5411134B2 (ja) 2014-02-12

Family

ID=40085638

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010514785A Expired - Fee Related JP5411134B2 (ja) 2007-06-29 2008-06-25 ネットワークスイッチにおけるポートリダイレクトのための方法及びメカニズム

Country Status (5)

Country Link
US (1) US8135007B2 (ja)
EP (1) EP2171976B1 (ja)
JP (1) JP5411134B2 (ja)
CN (1) CN101690101B (ja)
WO (1) WO2009005650A2 (ja)

Families Citing this family (178)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8793787B2 (en) 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US8566946B1 (en) 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US8171553B2 (en) 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US8584239B2 (en) 2004-04-01 2013-11-12 Fireeye, Inc. Virtual machine with dynamic data flow analysis
US8549638B2 (en) 2004-06-14 2013-10-01 Fireeye, Inc. System and method of containing computer worms
CN101459660A (zh) * 2007-12-13 2009-06-17 国际商业机器公司 用于集成多个威胁安全服务的方法及其设备
US9264441B2 (en) * 2008-03-24 2016-02-16 Hewlett Packard Enterprise Development Lp System and method for securing a network from zero-day vulnerability exploits
US7876710B2 (en) * 2008-07-30 2011-01-25 Juniper Networks, Inc. Layer two MAC flushing/re-routing
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
US9258217B2 (en) * 2008-12-16 2016-02-09 At&T Intellectual Property I, L.P. Systems and methods for rule-based anomaly detection on IP network flow
US7881324B2 (en) * 2009-03-25 2011-02-01 International Business Machines Corporation Steering data communications packets for transparent bump-in-the-wire processing among multiple data processing applications
US8018875B2 (en) * 2009-05-18 2011-09-13 International Business Machines Corporation Source-based steering data communications packets for transparent, bump-in-the-wire processing among multiple service applications
US8170038B2 (en) * 2009-05-27 2012-05-01 International Business Machines Corporation Two-layer switch apparatus to avoid first layer inter-switch link data traffic in steering packets through bump-in-the-wire service applications
US8289977B2 (en) 2009-06-10 2012-10-16 International Business Machines Corporation Two-layer switch apparatus avoiding first layer inter-switch traffic in steering packets through the apparatus
JP5815515B2 (ja) * 2009-06-25 2015-11-17 コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. データパケットを処理する方法及び装置
US20110072515A1 (en) * 2009-09-22 2011-03-24 Electronics And Telecommunications Research Institute Method and apparatus for collaboratively protecting against distributed denial of service attack
US8832829B2 (en) 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
US8640221B2 (en) 2009-12-11 2014-01-28 Juniper Networks, Inc. Media access control address translation in virtualized environments
US8599854B2 (en) * 2010-04-16 2013-12-03 Cisco Technology, Inc. Method of identifying destination in a virtual environment
CN101902469A (zh) * 2010-07-12 2010-12-01 江苏华丽网络工程有限公司 一种基于二层网络设备的智能安全防御方法
US8769111B2 (en) 2010-08-16 2014-07-01 Numerex Corp. IP network service redirector device and method
US8682812B1 (en) * 2010-12-23 2014-03-25 Narus, Inc. Machine learning based botnet detection using real-time extracted traffic features
US9332005B2 (en) 2011-07-11 2016-05-03 Oracle International Corporation System and method for providing switch based subnet management packet (SMP) traffic protection in a middleware machine environment
US9641350B2 (en) * 2011-07-11 2017-05-02 Oracle International Corporation System and method for supporting a scalable flooding mechanism in a middleware machine environment
US8971334B2 (en) 2011-08-02 2015-03-03 Telefonaktiebolaget L M Ericsson (Publ) Packet broadcast mechanism in a split architecture network
US9160633B1 (en) * 2011-10-07 2015-10-13 Adtran, Inc. Systems and methods for dynamically learning virtual local area network (VLAN) tags
GB2516597A (en) * 2012-07-31 2015-01-28 Hewlett Packard Development Co Virtual machine data packet encapsulation and decapsulation
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US9367681B1 (en) 2013-02-23 2016-06-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application
US9176843B1 (en) 2013-02-23 2015-11-03 Fireeye, Inc. Framework for efficient security coverage of mobile software applications
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US9104867B1 (en) 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
US9355247B1 (en) 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
US9430646B1 (en) 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US9143437B1 (en) 2013-03-15 2015-09-22 Extreme Networks, Inc. Apparatus and method for multicast data packet forwarding
US9413781B2 (en) 2013-03-15 2016-08-09 Fireeye, Inc. System and method employing structured intelligence to verify and contain threats at endpoints
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
US10133863B2 (en) 2013-06-24 2018-11-20 Fireeye, Inc. Zero-day discovery system
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US10515214B1 (en) 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US9921978B1 (en) 2013-11-08 2018-03-20 Fireeye, Inc. System and method for enhanced security of storage devices
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US9756074B2 (en) 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US9507935B2 (en) 2014-01-16 2016-11-29 Fireeye, Inc. Exploit detection system with threat-aware microvisor
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9241010B1 (en) 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9432389B1 (en) 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US9594912B1 (en) 2014-06-06 2017-03-14 Fireeye, Inc. Return-oriented programming detection
US9973531B1 (en) 2014-06-06 2018-05-15 Fireeye, Inc. Shellcode detection
US9438623B1 (en) 2014-06-06 2016-09-06 Fireeye, Inc. Computer exploit detection using heap spray pattern matching
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US9363280B1 (en) 2014-08-22 2016-06-07 Fireeye, Inc. System and method of detecting delivery of malware using cross-customer data
US10671726B1 (en) 2014-09-22 2020-06-02 Fireeye Inc. System and method for malware analysis using thread-level event monitoring
US9773112B1 (en) 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US9118582B1 (en) 2014-12-10 2015-08-25 Iboss, Inc. Network traffic management using port number redirection
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10075455B2 (en) 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
US9690606B1 (en) 2015-03-25 2017-06-27 Fireeye, Inc. Selective system call monitoring
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9438613B1 (en) 2015-03-30 2016-09-06 Fireeye, Inc. Dynamic content activation for automated analysis of embedded objects
US10474813B1 (en) 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US10417031B2 (en) 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US9594904B1 (en) 2015-04-23 2017-03-14 Fireeye, Inc. Detecting malware based on reflection
US9860209B2 (en) * 2015-05-12 2018-01-02 Cisco Technology, Inc. Stateful connection processing in a security device cluster
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US10454950B1 (en) 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US10715542B1 (en) 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US9825976B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Detection and classification of exploit kits
US10817606B1 (en) 2015-09-30 2020-10-27 Fireeye, Inc. Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic
US10706149B1 (en) 2015-09-30 2020-07-07 Fireeye, Inc. Detecting delayed activation malware using a primary controller and plural time controllers
US10284575B2 (en) 2015-11-10 2019-05-07 Fireeye, Inc. Launcher for setting analysis environment variations for malware detection
US10447728B1 (en) 2015-12-10 2019-10-15 Fireeye, Inc. Technique for protecting guest processes using a layered virtualization architecture
US10846117B1 (en) 2015-12-10 2020-11-24 Fireeye, Inc. Technique for establishing secure communication between host and guest processes of a virtualization architecture
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US10621338B1 (en) 2015-12-30 2020-04-14 Fireeye, Inc. Method to detect forgery and exploits using last branch recording registers
US10565378B1 (en) 2015-12-30 2020-02-18 Fireeye, Inc. Exploit of privilege detection framework
US10133866B1 (en) 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US11552986B1 (en) 2015-12-31 2023-01-10 Fireeye Security Holdings Us Llc Cyber-security framework for application of virtual features
US10581874B1 (en) 2015-12-31 2020-03-03 Fireeye, Inc. Malware detection system with contextual analysis
US9824216B1 (en) 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
JP6470201B2 (ja) * 2016-02-16 2019-02-13 日本電信電話株式会社 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
KR101835315B1 (ko) * 2016-03-07 2018-03-08 주식회사 윈스 Ips 스위치 장치 및 처리 방법
US10601863B1 (en) 2016-03-25 2020-03-24 Fireeye, Inc. System and method for managing sensor enrollment
US10785255B1 (en) 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
US10671721B1 (en) 2016-03-25 2020-06-02 Fireeye, Inc. Timeout management services
US10476906B1 (en) 2016-03-25 2019-11-12 Fireeye, Inc. System and method for managing formation and modification of a cluster within a malware detection system
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10826933B1 (en) 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
US10462173B1 (en) 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
US10592678B1 (en) 2016-09-09 2020-03-17 Fireeye, Inc. Secure communications between peers using a verified virtual trusted platform module
US10491627B1 (en) 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
US10795991B1 (en) 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US10587647B1 (en) 2016-11-22 2020-03-10 Fireeye, Inc. Technique for malware detection capability comparison of network security devices
CN108233583B (zh) * 2016-12-14 2021-11-30 德昌电机(深圳)有限公司 电机及其电刷
US10581879B1 (en) 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10552610B1 (en) 2016-12-22 2020-02-04 Fireeye, Inc. Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10523609B1 (en) 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
US10904286B1 (en) 2017-03-24 2021-01-26 Fireeye, Inc. Detection of phishing attacks using similarity analysis
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10902119B1 (en) 2017-03-30 2021-01-26 Fireeye, Inc. Data extraction system for malware analysis
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
US10848397B1 (en) 2017-03-30 2020-11-24 Fireeye, Inc. System and method for enforcing compliance with subscription requirements for cyber-attack detection service
CN106992947B (zh) * 2017-05-23 2022-10-25 信联安宝(北京)科技有限公司 电源分立的安全管理交换机
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
US10601848B1 (en) 2017-06-29 2020-03-24 Fireeye, Inc. Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10893068B1 (en) 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
US10747872B1 (en) 2017-09-27 2020-08-18 Fireeye, Inc. System and method for preventing malware evasion
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
TWI631468B (zh) * 2017-11-07 2018-08-01 和碩聯合科技股份有限公司 網路橋接裝置、匯流排測試之方法及其系統
JP7150552B2 (ja) * 2017-11-30 2022-10-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ ネットワーク防御装置およびネットワーク防御システム
CN109861961B (zh) * 2017-11-30 2022-10-28 松下电器(美国)知识产权公司 网络防御装置以及网络防御系统
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US11240275B1 (en) 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
CN110324274B (zh) * 2018-03-28 2022-05-31 华为技术有限公司 控制终端接入网络的方法及网元
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US11558401B1 (en) 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
US11003773B1 (en) 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US10956477B1 (en) 2018-03-30 2021-03-23 Fireeye, Inc. System and method for detecting malicious scripts through natural language processing modeling
US11075930B1 (en) 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US11314859B1 (en) 2018-06-27 2022-04-26 FireEye Security Holdings, Inc. Cyber-security system and method for detecting escalation of privileges within an access token
US11228491B1 (en) 2018-06-28 2022-01-18 Fireeye Security Holdings Us Llc System and method for distributed cluster configuration monitoring and management
US11316900B1 (en) 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
US11182473B1 (en) 2018-09-13 2021-11-23 Fireeye Security Holdings Us Llc System and method for mitigating cyberattacks against processor operability by a guest process
US11763004B1 (en) 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
US11176251B1 (en) 2018-12-21 2021-11-16 Fireeye, Inc. Determining malware via symbolic function hash analysis
US11368475B1 (en) 2018-12-21 2022-06-21 Fireeye Security Holdings Us Llc System and method for scanning remote services to locate stored objects with malware
US11743290B2 (en) 2018-12-21 2023-08-29 Fireeye Security Holdings Us Llc System and method for detecting cyberattacks impersonating legitimate sources
US11601444B1 (en) 2018-12-31 2023-03-07 Fireeye Security Holdings Us Llc Automated system for triage of customer issues
US11310238B1 (en) 2019-03-26 2022-04-19 FireEye Security Holdings, Inc. System and method for retrieval and analysis of operational data from customer, cloud-hosted virtual resources
US11677786B1 (en) 2019-03-29 2023-06-13 Fireeye Security Holdings Us Llc System and method for detecting and protecting against cybersecurity attacks on servers
US11636198B1 (en) 2019-03-30 2023-04-25 Fireeye Security Holdings Us Llc System and method for cybersecurity analyzer update and concurrent management system
US11258806B1 (en) 2019-06-24 2022-02-22 Mandiant, Inc. System and method for automatically associating cybersecurity intelligence to cyberthreat actors
US11556640B1 (en) 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
US11392700B1 (en) 2019-06-28 2022-07-19 Fireeye Security Holdings Us Llc System and method for supporting cross-platform data verification
US11886585B1 (en) 2019-09-27 2024-01-30 Musarubra Us Llc System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
US11637862B1 (en) 2019-09-30 2023-04-25 Mandiant, Inc. System and method for surfacing cyber-security threats with a self-learning recommendation engine
US11522884B1 (en) 2019-12-24 2022-12-06 Fireeye Security Holdings Us Llc Subscription and key management system
US11838300B1 (en) 2019-12-24 2023-12-05 Musarubra Us Llc Run-time configurable cybersecurity system
US11436327B1 (en) 2019-12-24 2022-09-06 Fireeye Security Holdings Us Llc System and method for circumventing evasive code for cyberthreat detection
CN113132293B (zh) * 2019-12-30 2022-10-04 中国移动通信集团湖南有限公司 攻击检测方法、设备及公共蜜罐系统
CN114205172A (zh) * 2021-12-28 2022-03-18 杭州迪普信息技术有限公司 一种表项下发方法及一种报文转发方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6098172A (en) * 1997-09-12 2000-08-01 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with proxy reflection
US6854063B1 (en) * 2000-03-03 2005-02-08 Cisco Technology, Inc. Method and apparatus for optimizing firewall processing
US7225270B2 (en) * 2000-10-17 2007-05-29 Cisco Technology, Inc. Selective diversion and injection of communication traffic
US7640434B2 (en) * 2001-05-31 2009-12-29 Trend Micro, Inc. Identification of undesirable content in responses sent in reply to a user request for content
US7454499B2 (en) 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
US7424018B2 (en) 2004-05-05 2008-09-09 Gigamon Systems Llc Asymmetric packet switch and a method of use
CN100433899C (zh) * 2004-12-28 2008-11-12 华为技术有限公司 一种保证移动通信系统数据业务安全的方法及系统
US7551615B2 (en) * 2004-12-29 2009-06-23 Intel Corporation Method for packet encapsulation and redirection of data packets
US20060250968A1 (en) * 2005-05-03 2006-11-09 Microsoft Corporation Network access protection
WO2007070838A2 (en) 2005-12-13 2007-06-21 Crossbeam Systems, Inc. Systems and methods for processing data flows
US7835348B2 (en) * 2006-12-30 2010-11-16 Extreme Networks, Inc. Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch

Also Published As

Publication number Publication date
CN101690101A (zh) 2010-03-31
JP2010532633A (ja) 2010-10-07
WO2009005650A2 (en) 2009-01-08
US8135007B2 (en) 2012-03-13
US20090003317A1 (en) 2009-01-01
WO2009005650A3 (en) 2009-02-26
EP2171976A2 (en) 2010-04-07
EP2171976B1 (en) 2013-05-29
CN101690101B (zh) 2013-05-22

Similar Documents

Publication Publication Date Title
JP5411134B2 (ja) ネットワークスイッチにおけるポートリダイレクトのための方法及びメカニズム
US10972391B2 (en) Full-path validation in segment routing
US7835348B2 (en) Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch
US7937761B1 (en) Differential threat detection processing
JP4547340B2 (ja) トラフィック制御方式、装置及びシステム
US8484372B1 (en) Distributed filtering for networks
CN101589595B (zh) 用于潜在被污染端系统的牵制机制
US7356599B2 (en) Method and apparatus for data normalization
US6487666B1 (en) Intrusion detection signature analysis using regular expressions and logical operators
US7882554B2 (en) Apparatus and method for selective mirroring
US7890991B2 (en) Apparatus and method for providing security and monitoring in a networking architecture
JP3731111B2 (ja) 侵入検出装置およびシステムならびにルータ
JP4615504B2 (ja) ネットワーク中継システム、および、ネットワーク中継システムにおける方法
JP6599819B2 (ja) パケット中継装置
US9258213B2 (en) Detecting and mitigating forwarding loops in stateful network devices
CN112202646B (zh) 一种流量分析方法和系统
EP2452466B1 (en) Apparatus and method for enhancing forwarding, classification, and monitoring of network traffic
US9298175B2 (en) Method for detecting abnormal traffic on control system protocol
US7382769B1 (en) Automatic filtering to prevent network attacks
CN106059939B (zh) 一种报文转发方法及装置
CN116055387A (zh) 组播报文处理方法、装置、服务器和介质
CN113556345B (zh) 一种报文处理方法、装置、设备及介质
EP2599267A1 (en) Mitigation of detected patterns in a network device
JP2006325091A (ja) ネットワーク攻撃防御システム
WO2023222028A1 (zh) 一种网络编程技术处理方法、系统及存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110614

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121102

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121211

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130311

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131008

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131107

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees