JP5815891B2 - ネットワーク自己保護 - Google Patents
ネットワーク自己保護 Download PDFInfo
- Publication number
- JP5815891B2 JP5815891B2 JP2014549007A JP2014549007A JP5815891B2 JP 5815891 B2 JP5815891 B2 JP 5815891B2 JP 2014549007 A JP2014549007 A JP 2014549007A JP 2014549007 A JP2014549007 A JP 2014549007A JP 5815891 B2 JP5815891 B2 JP 5815891B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- flows
- flow
- aggregation
- netfuse
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/41—Flow control; Congestion control by acting on aggregated flows or links
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/20—Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
最近の研究は、コモディティスイッチで大きなトラヒック集合体を検知するフローワークを提案している。それらのシステムは、スイッチから状態を積極的に読み出すことに依存しており、重要である可能性が高いフローを測定する監視規則を適用する。これに対してNetFuseは、主に受動的な制御トラフィックに依存しており、制御トラフィックが不十分なときにのみ能動的に問い合わせを使用する。さらにNetFuseは、サージの影響を制限することを試みることができる。NetFuseは、受動的な測定に大きく依存するだろう。
例えば、10μ秒ごとに到着する新しいフローを有する、100個のスイッチのネットワークにおける制御装置は、1秒当たり1千万のPacketInメッセージを処理する。制御装置が分配される場合でも、NetFuseは制御トラフィックを依然として補足することができ、フローバイザー(Flow Visor)と同様の機構を使用してネットワーク情報を同期させることができる。
Claims (18)
- ネットワークで使用されるデバイスであって、
前記ネットワーク状態を監視し、前記ネットワークを通過するフローの統計量を収集するネットワーク監視部と、
フローをクラスタに集約して、ネットワーク問題を引き起こす恐れのあるフローを特定するフロー集約部と、
ネットワークフィードバックに従って、前記特定されたフローを適応的に調整する適応制御部と、を有し、
前記フロー集約部は、集合分割PをP={F 1 ,F 2 ,…,F k }、m − を下中央値としたとき、スコアS(P)を、S(P)=(max(F)−m − (F))/m − (F)と定義し、
過負荷の挙動を明らかにする集約P * =max p S(P)を見つけ、
妥当な集約規則の集合を定義する、デバイス。 - 請求項1に記載のデバイスにおいて
前記集約規則の集合は、過去の経験または動作仕様から取得される、デバイス。 - 請求項1または2に記載のデバイスにおいて、
前記集約規則の集合は、少なくとも
エンドツーエンドのフラッディングのための入力(ingress)または出力(egress)、
脅威に曝された仮想装置(VM)のための発信元(source)サブネット、
特定のVMにおけるフラッシュクラウドのための宛先(destination)サブネット
特定のサービスに対する攻撃のための宛先ポート、
ルーティングの誤設定のためのパス上のスイッチまたはルーターのリスト、
相関データの転送のための開始時間の範囲、
新しいトラフィック負荷のためのパケット到着周波数閾値、
短いまたは失敗した接続試行のための期間閾値、
バギー(buggy)にカスタマイズされた伝送制御プロトコル(TCP)のためのバースト閾値、
を含むデバイス - 請求項1ないし3のいずれか1項に記載のデバイスにおいて、
前記集約規則の少なくとも1つは、閾値を要求し、
当該デバイスは、アプリケーションのそれぞれに従って異なる閾値を定義する、デバイス。 - 請求項1ないし4のいずれか1項に記載のデバイスにおいて、
前記フロー集約部は、前記集約規則の一つを選択し、当該一つの集約規則に基づいてフローをクラスタ化し、そして、最も高いスコアまたは予め定められた閾値を超えるスコアを有するフローの集合を出力する、デバイス。 - 請求項1に記載のデバイスにおいて、
前記フロー集約部は、集約規則の集合をpi*としたとき、pi*から集約規則Pを選択し、
pi*の残りのP’のそれぞれについて、PおよびP’が互いに他方の細分ではなく、PおよびP’の結合であるP”がpi*の中になく、P”のスコアがPおよびP’のスコアよりも大きい場合、P”をpi*に追加し、
pi*がPよりも大きいスコアを有する集約を含む場合、pi*からPを削除する、デバイス。 - 請求項1ないし6のいずれか1項に記載のデバイスにおいて、
前記適応制御部は、過負荷フローの往復遅延時間(RTT)に追加の遅延を適用する、デバイス。 - 請求項1に記載のデバイスにおいて、
前記ネットワークは、オープンフローネットワークである、デバイス。 - 請求項8に記載のデバイスにおいて、
当該デバイスは、スイッチおよび制御装置の間に配置されたプロキシデバイスに含む、デバイス。 - ネットワークで使用される方法であって、
ネットワーク状態を監視して、前記ネットワークを通過するフローの統計量を収集することと、
フローをクラスタに集約して、ネットワーク問題を引き起こす恐れのあるフローを特定することと、
ネットワークフィードバックに従って、その特定されたフローを適応的に調整することと、を有し、
前記フローを集約することは、
m − を下中央値としたとき、スコアS(P)を、S(P)=(max(F)−m − (F))/m − (F)と定義し、
過負荷の挙動を明らかにする集約P * =max p S(P)を見つけ、
集約規則の集合を定義する、方法。 - 請求項10に記載の方法において
前記集約規則の集合は、過去の経験または動作仕様から取得される、方法。 - 請求項10または11に記載の方法において、
前記集約規則の集合は、少なくとも
エンドツーエンドのフラッディングのための入力(ingress)または出力(egress)、
脅威に曝された仮想装置(VM)のための発信元(source)サブネット、
特定のVMにおけるフラッシュクラウドのための宛先(destination)サブネット
特定のサービスに対する攻撃のための宛先ポート、
ルーティングの誤設定のためのパス上のスイッチまたはルーターのリスト、
相関データの転送のための開始時間の範囲、
新しいトラフィック負荷のためのパケット到着周波数閾値、
短いまたは失敗した接続試行のための期間閾値、
バギーにカスタマイズされた伝送制御プロトコル(TCP)のためのバースト閾値、
を含む方法。 - 請求項10ないし12のいずれか1項に記載の方法において、
前記集約規則の少なくとも1つは、閾値を要求し、
アプリケーションのそれぞれに従って異なる閾値を定義する、方法。 - 請求項10ないし13のいずれか1項に記載の方法において、
前記フローを集約することは、
前記集約規則の一つを選択することと、
当該一つの集約規則に基づいてフローをクラスタ化することと、
最も高いスコアまたは予め定められた閾値を超えるスコアを有するフローの集合を出力することと、を含む方法。 - 請求項10に記載の方法において、
前記フローを集約することは、
集約規則の集合をpi*としたとき、pi*から集約規則Pを選択することと、
pi*の残りのP’のそれぞれについて、PおよびP’が互いに他方の細分ではなく、PおよびP’の結合であるP”がpi*の中になく、P”のスコアがPおよびP’のスコアよりも大きい場合、P”をpi*に追加することと、
pi*がPよりも大きいスコアを有する集約を含む場合、pi*からPを削除することと、を含む方法。 - 請求項10ないし15のいずれか1項に記載の方法において、
前記適応的に調整することは、
過負荷フローの往復遅延時間(RTT)に追加の遅延を適用することを含む、方法。 - 請求項10に記載の方法において、
前記ネットワークは、オープンフローネットワークである、方法。 - 請求項17に記載の方法において、
当該方法は、スイッチおよび制御装置の間に配置されたプロキシデバイスで使用される、方法。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201261585337P | 2012-01-11 | 2012-01-11 | |
US61/585,337 | 2012-01-11 | ||
US13/736,146 | 2013-01-08 | ||
US13/736,146 US8976661B2 (en) | 2012-01-11 | 2013-01-08 | Network self-protection |
PCT/US2013/020765 WO2013106386A2 (en) | 2012-01-11 | 2013-01-09 | Network self-protection |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015501119A JP2015501119A (ja) | 2015-01-08 |
JP5815891B2 true JP5815891B2 (ja) | 2015-11-17 |
Family
ID=48743853
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014549007A Expired - Fee Related JP5815891B2 (ja) | 2012-01-11 | 2013-01-09 | ネットワーク自己保護 |
Country Status (5)
Country | Link |
---|---|
US (1) | US8976661B2 (ja) |
EP (1) | EP2772021B1 (ja) |
JP (1) | JP5815891B2 (ja) |
IN (1) | IN2014CN02822A (ja) |
WO (1) | WO2013106386A2 (ja) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10455575B2 (en) * | 2012-10-05 | 2019-10-22 | Sierra Wireless, Inc. | Method, apparatus and system for uplink radio resource allocation in an LTE communication system |
EP2850791B1 (en) * | 2012-10-05 | 2017-11-15 | Nec Corporation | Network management |
CN104838715A (zh) | 2012-10-05 | 2015-08-12 | 司亚乐无线通讯股份有限公司 | 用于无线电资源分配的方法和系统 |
US9391897B2 (en) * | 2013-07-31 | 2016-07-12 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating traffic storms |
CN103491095B (zh) * | 2013-09-25 | 2016-07-13 | 中国联合网络通信集团有限公司 | 流量清洗架构、装置及流量牵引、流量回注方法 |
US9736064B2 (en) * | 2013-12-17 | 2017-08-15 | Nec Corporation | Offline queries in software defined networks |
JP6035264B2 (ja) * | 2014-02-17 | 2016-11-30 | 日本電信電話株式会社 | リング網分割最適化装置及び方法及びプログラム |
WO2015192319A1 (zh) | 2014-06-17 | 2015-12-23 | 华为技术有限公司 | 软件定义网络中识别攻击流的方法、装置以及设备 |
US20160050132A1 (en) * | 2014-08-18 | 2016-02-18 | Telefonaktiebolaget L M Ericsson (Publ) | Method and system to dynamically collect statistics of traffic flows in a software-defined networking (sdn) system |
CN105591780B (zh) * | 2014-10-24 | 2019-01-29 | 新华三技术有限公司 | 集群监测方法和设备 |
CN106034057B (zh) * | 2015-03-18 | 2019-10-25 | 北京启明星辰信息安全技术有限公司 | 一种串联安全设备故障系统及方法 |
EP3292665B1 (en) | 2015-05-05 | 2019-01-16 | Telefonaktiebolaget LM Ericsson (publ) | Reducing traffic overload in software defined network |
PL412663A1 (pl) | 2015-06-11 | 2016-12-19 | Akademia Górniczo-Hutnicza im. Stanisława Staszica w Krakowie | Sposób agregacji przepływów w sieciach teleinformatycznych |
KR102560594B1 (ko) * | 2016-05-03 | 2023-07-27 | 삼성전자주식회사 | 무선 통신 시스템에서 패킷을 송신하기 위한 장치 및 방법 |
US10929765B2 (en) * | 2016-12-15 | 2021-02-23 | Nec Corporation | Content-level anomaly detection for heterogeneous logs |
CN107147627A (zh) * | 2017-04-25 | 2017-09-08 | 广东青年职业学院 | 一种基于大数据平台的网络安全防护方法及系统 |
CN109120494B (zh) * | 2018-08-28 | 2019-08-30 | 无锡华云数据技术服务有限公司 | 在云计算系统中接入物理机的方法 |
EP3748562A1 (en) * | 2019-05-08 | 2020-12-09 | EXFO Solutions SAS | Timeline visualization & investigation systems and methods for time lasting events |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7702806B2 (en) * | 2000-09-07 | 2010-04-20 | Riverbed Technology, Inc. | Statistics collection for network traffic |
US7185368B2 (en) * | 2000-11-30 | 2007-02-27 | Lancope, Inc. | Flow-based detection of network intrusions |
US7417951B2 (en) * | 2003-12-17 | 2008-08-26 | Electronics And Telecommunications Research Institute | Apparatus and method for limiting bandwidths of burst aggregate flows |
US20060075093A1 (en) * | 2004-10-05 | 2006-04-06 | Enterasys Networks, Inc. | Using flow metric events to control network operation |
JP4222567B2 (ja) * | 2005-05-13 | 2009-02-12 | 日本電信電話株式会社 | 輻輳制御方法および輻輳制御装置 |
US8130767B2 (en) * | 2005-06-17 | 2012-03-06 | Cisco Technology, Inc. | Method and apparatus for aggregating network traffic flows |
WO2007108816A1 (en) * | 2006-03-22 | 2007-09-27 | Nortel Networks Limited | Automated network congestion and trouble locator and corrector |
JP4469866B2 (ja) * | 2007-03-20 | 2010-06-02 | 富士通株式会社 | パケット伝送装置および半導体装置 |
US8804503B2 (en) * | 2007-06-29 | 2014-08-12 | Broadcom Corporation | Flow regulation switch |
US8374102B2 (en) * | 2007-10-02 | 2013-02-12 | Tellabs Communications Canada, Ltd. | Intelligent collection and management of flow statistics |
JP5408243B2 (ja) * | 2009-03-09 | 2014-02-05 | 日本電気株式会社 | OpenFlow通信システムおよびOpenFlow通信方法 |
EP2254286B1 (en) * | 2009-05-20 | 2013-03-20 | Accenture Global Services Limited | Network real time monitoring and control method, system and computer program product |
EP2562970B1 (en) * | 2010-04-19 | 2015-01-07 | Nec Corporation | Switch, and flow table control method |
EP2652923B1 (en) * | 2010-12-13 | 2016-10-12 | Nec Corporation | Communication path control system, path control device, communication path control method, and path control program |
US9392010B2 (en) * | 2011-11-07 | 2016-07-12 | Netflow Logic Corporation | Streaming method and system for processing network metadata |
-
2013
- 2013-01-08 US US13/736,146 patent/US8976661B2/en not_active Expired - Fee Related
- 2013-01-09 JP JP2014549007A patent/JP5815891B2/ja not_active Expired - Fee Related
- 2013-01-09 WO PCT/US2013/020765 patent/WO2013106386A2/en active Application Filing
- 2013-01-09 IN IN2822CHN2014 patent/IN2014CN02822A/en unknown
- 2013-01-09 EP EP13735761.2A patent/EP2772021B1/en not_active Not-in-force
Also Published As
Publication number | Publication date |
---|---|
EP2772021B1 (en) | 2016-09-07 |
WO2013106386A3 (en) | 2013-09-06 |
IN2014CN02822A (ja) | 2015-07-03 |
US8976661B2 (en) | 2015-03-10 |
WO2013106386A2 (en) | 2013-07-18 |
EP2772021A2 (en) | 2014-09-03 |
US20130176852A1 (en) | 2013-07-11 |
JP2015501119A (ja) | 2015-01-08 |
EP2772021A4 (en) | 2015-07-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5815891B2 (ja) | ネットワーク自己保護 | |
Wang et al. | Netfuse: Short-circuiting traffic surges in the cloud | |
Swami et al. | Software-defined networking-based DDoS defense mechanisms | |
Wang et al. | SGS: Safe-guard scheme for protecting control plane against DDoS attacks in software-defined networking | |
Sahay et al. | The application of software defined networking on securing computer networks: A survey | |
Cui et al. | SD-Anti-DDoS: Fast and efficient DDoS defense in software-defined networks | |
Bawany et al. | SEAL: SDN based secure and agile framework for protecting smart city applications from DDoS attacks | |
Maziku et al. | Security risk assessment for SDN-enabled smart grids | |
Wang et al. | Scotch: Elastically scaling up sdn control-plane using vswitch based overlay | |
Zhang et al. | Control plane reflection attacks in SDNs: New attacks and countermeasures | |
Gholami et al. | Congestion control in software defined data center networks through flow rerouting | |
Qian et al. | Openflow flow table overflow attacks and countermeasures | |
Mousavi | Early detection of DDoS attacks in software defined networks controller | |
Govindarajan et al. | A literature review on software-defined networking (SDN) research topics, challenges and solutions | |
Maziku et al. | Software Defined Networking enabled resilience for IEC 61850-based substation communication systems | |
Cui et al. | Difs: Distributed flow scheduling for data center networks | |
Chaudhary et al. | LOADS: Load optimization and anomaly detection scheme for software-defined networks | |
Cui et al. | Difs: Distributed flow scheduling for adaptive routing in hierarchical data center networks | |
WO2012125160A1 (en) | Network switching device for quantifying available service-level capacity of a network for projected network traffic | |
El-Shamy et al. | Anomaly detection and bottleneck identification of the distributed application in cloud data center using software–defined networking | |
Gong et al. | An intelligent trust model for hybrid DDoS detection in software defined networks | |
Singh et al. | Prevention mechanism for infrastructure based denial-of-service attack over software defined network | |
Ghosh et al. | A simulation study on smart grid resilience under software-defined networking controller failures | |
Jiang et al. | BSD‐Guard: A Collaborative Blockchain‐Based Approach for Detection and Mitigation of SDN‐Targeted DDoS Attacks | |
Wang et al. | Proactive mitigation to table-overflow in software-defined networking |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140618 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150514 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150526 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150731 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150825 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150924 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5815891 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |