JP5815891B2 - ネットワーク自己保護 - Google Patents

ネットワーク自己保護 Download PDF

Info

Publication number
JP5815891B2
JP5815891B2 JP2014549007A JP2014549007A JP5815891B2 JP 5815891 B2 JP5815891 B2 JP 5815891B2 JP 2014549007 A JP2014549007 A JP 2014549007A JP 2014549007 A JP2014549007 A JP 2014549007A JP 5815891 B2 JP5815891 B2 JP 5815891B2
Authority
JP
Japan
Prior art keywords
network
flows
flow
aggregation
netfuse
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014549007A
Other languages
English (en)
Other versions
JP2015501119A (ja
Inventor
クリスティアン ルメザヌ、
クリスティアン ルメザヌ、
グオフェイ ジアング、
グオフェイ ジアング、
ユエピング ジャング、
ユエピング ジャング、
シング、ヴィシャル
イエ ワン、
イエ ワン、
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Laboratories America Inc
Original Assignee
NEC Laboratories America Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Laboratories America Inc filed Critical NEC Laboratories America Inc
Publication of JP2015501119A publication Critical patent/JP2015501119A/ja
Application granted granted Critical
Publication of JP5815891B2 publication Critical patent/JP5815891B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/41Flow control; Congestion control by acting on aggregated flows or links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/20Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

この出願は、2012年1月11日に出願された米国仮出願番号61/585337、名称「NetFuse:クラウドにおけるファイティング・フレア(Fighting Flares in the Cloud)」に基づく優先権を主張し、当該米国仮出願に記載された内容を援用するものである。
本発明は、ネットワークに関し、特には、自己保護型(self-protected)ネットワークに関する。
現代のデータセンタネットワークは、高度なインフラ設備と優れたプロトコルによって構成されており、細心の注意を払って運用されている。しかしながら、ネットワーク障害による深刻な問題は、特にクラウドの時代に入り、アプリケーションやサービスの数がますます増加している昨今でも、より大きくなったと言えないまでも、まだ変わってはいない。例えば、アマゾンEC2では、低容量の内部ネットワークに対して大容量の外部トラフィックが誤って再送されるというルーティングの誤設定のために、2011年4月21日に大規模なダウンが発生した(非特許文献3)。結果として、何千もの企業やウェブサイトがサービスを受けられなくなり、7千500万人のプレイステーションゲーマーたちに影響が生じた(非特許文献5)。最近の別の例では、コアスイッチの故障の結果として発生した2011年10月のブラックベリーでの3日間の停電がある。
これらの問題を軽減するための最近の試みは、現在進行中であるが、有望な結果を示している。ある一群は、ネットワークの2分割帯域幅を改善でき、ネットワークルーティングトポロジにおける展性を提供できる次世代のネットワークインフラ設備を設計することによって、この問題に取り組んでいる(非特許文献5、6、8)。別の研究者グループは、データセンタネットワーク用に特別に調整されているネットワークトランスポートプロトコルの設計に焦点を当てている(非特許文献1、9)。最後の集団は、ネットワークリソース配分を最適化できる、改善された資源配置計画を提供することを目指している(非特許文献2、7)。しかしながら、連鎖的に発生する壊滅的なネットワーク障害は、データセンタでは適用されていない2つの基本的な仮定を適切に考慮しなければ、防止できないと思われる。
M. Alizadeh, A. Greenberg, D. A. Maltz, J. Padhye, P. Patel, B. Prabhakar, S. Sengupta, and M. Sridharan, "Data Center TCP (DCTCP)," in Proc. ACM SIGCOMM, Aug. 2010. H. Ballani, P. Costa, T. Karagiannis, and A. Rowstron, "Towards Predictable Datacenter Networks," in Proc. ACM SIGCOMM, Aug. 2011. Why Amazon's cloud Titanic went down. [Online]. Available: http ://money. cnn.com/2011 / 04/22/technology/ amazon_ec2_cloud_outage/index .htm. G. Cormode, S. Muthukrishnan, and D. Srivastava, "Finding hierarchical heavy hitters in data streams," in Proc. In Proc. of VLDB, 2003, pp. 464-475. A. Greenberg, J. R. Hamilton, N. Jain, S. Kandula, C. Kim, P. Lahiri, D. A. Maltz, P. Patel, and S. Sengupta, "VL2: a Scalable and Flexible Data Center Network," in Proc. ACM SIGCOMM, Aug. 2009. C. Guo, G. Lu, D. Li, H.Wu, X. Zhang, Y. Shi, C. Tian, Y. Zhang, and S. Lu, "BCube: a High Performance, Server-Centric Network Architecture for Modular Data Centers," in Proc. ACM SIGCOMM, Aug. 2009. C. Guo, G. Lu, H. J. Wang, S. Yang, C. Kong, P. Sun, W. Wu, and Y. Zhang, "SecondNet: A Data Center Network Virtualization Architecture with Bandwidth Guarantees," in Proc. ACM CoNEXT, Nov. 2010. R. N. Mysore, A. Pamboris, N. Farrington, N. Huang, P. Miri, S. Radhakrishnan, V. Subramanya, and A. Vahdat, "PortLand: a Scalable Fault-Tolerant Layer 2 Data Center Network Fabric," in Proc. ACM SIGCOMM, Aug. 2009. V. Vasudevan, A. Phanishayee, H. Shah, E. Krevat, D. G. Anderson, G. R. Ganger, G. A. Gibson, and B. Mueller, "Safe and Effective Fine -Grained TCP Retransmissions for Datacenter Communication," in Proc. ACM SIGCOMM, Aug. 2009. C. Wilson, H. Ballani, T. Karagiannis, and A. Rowstron, "Better Never than Late: Meeting Deadlines in Datacenter Networks," in Proc. ACM SIGCOMM, Aug. 2011. A. Wundsam, D. Levin, S. Seetharaman, and A. Feldmann, "OFRewind: Enabling Record and Replay Troubleshooting for Networks," in Proc. USENIX Annual Technical Conference, Jun. 2011. Y. Zhang, S. Singh, S. Sen, N. Duffield, and C. Lund, "Online identification of hierarchical heavy hitters: algorithms, evaluation, and applications," in Proc. Proceedings of the 4th ACM SIGCOMM conference on Internet measurement, ser. IMC '04.
我々は、電気回路のヒューズボックスと同様に、様々なネットワーク問題を検出して対応し、必要なネットワークサービスを保護することを目的とする自己保護機構であるNetFuse(ネットヒューズ)を設計する。NetFuseは、具体的には、クラスタリング基準の最適な集合を自動的に決定し、それらの基準の下で、ネットワーク問題を引き起こす恐れがある疑わしいフローを特定する多次元フロー集約アルゴリズムを使用する。そして、NetFuseは、ネットワークフィードバック(network feedback)に従って、特定されたフローを適応的に調整する。オープンフロー技術に元から備わっている軽量検知機能(light-weight sensing capabilities)を使用するために、NetFuseは、今のところ、スイッチと制御装置との間のプロキシデバイスとしてオープンフローネットワークに実装される。このように、NetFuseは、制御メッセージを傍受してネットワーク状態を推定するだけでなく、制御装置の過度な処理オーバーヘッドをオフロードすることによって、システム全体の拡張性(scalability)を向上させることもできる。
NetFuseは、オープンフローに独自のメッセージ機構の強力なネットワーク検知機能を利用する。スタンドアローンな製品として、NetFuseは、見つけにくい問題からネットワークインフラ設備を積極的に保護し、障害の伝搬を防ぐことができる。これは、クラウドサービスプロバイダまたはデータセンタ事業者にとって非常に重要であり、損害の大きいネットワークダウンタイムやサービスの中断からネットワークを救出することができる。また、NetFuseは、オープンフロースイッチ上に構築することができる付加価値サービスであるため、オープンフローデバイスの販売とマーケティングを後押しすることが期待される。
本発明の目的は、ネットワークの過負荷のようなネットワーク問題について検知または対応することである。
本発明の一態様は、ネットワークで使用されるデバイスであって、ネットワーク状態を監視して、そのネットワークを通過するフローの統計量を収集するネットワーク監視部と、フローをクラスタに集約して、ネットワーク問題を引き起こす恐れのあるフローを特定するフロー集約部と、ネットワーク フィードバックに従って、その特定されたフローを適応的に調整する適応制御部と、を有するデバイスを含む。
本発明の別の態様は、ネットワークで使用される方法であって、ネットワーク状態を監視して、そのネットワークを通過するフローの統計を収集することと、フローをクラスタに集約して、ネットワーク問題を引き起こす恐れのあるフローを特定することと、ネットワーク フィードバックに従って、その特定されたフローを適応的に調整することとを有する方法を含む。
システムの構成を示す。 そのシステムの構成に関連するフローチャートを示す。 妥当なフロー集約の一例を示す 手続き1.2を説明する流れ図を示す。 別のフロー集約の例を示す。 アルゴリズム1を示す。 予備実験の結果を示す FatTreeネットワークのトポロジ―を示す。
図1に示すように、NetFuseは、3つの主要な構成要素、つまり、ネットワーク監視部、フロー集約部および適応制御部を有する。先ず、NetFuseは、ネットワーク状態を連続的に監視して、そのネットワークを通過するフローの統計量を収集する。そして、フロー集約において、NetFuseは、ネットワーク問題を引き起こす恐れのある疑わしいフローを特定する。最後に、NetFuseは、ネットワークフィードバックに従って、特定されたフローを適応的に調整する。
オープンフロー技術に元から備わっている軽量検知機能を使用するために、NetFuseは、今のところ、スイッチと制御装置との間のプロキシデバイスとしてオープンフローネットワークに実装される。しかし、NetFuseは、オープンフローに限定されるものではなく、データを監視することができる一般的なネットワークシステムに適用することができる。
上記のシステム構成は、図2のフローチャートと対応付けることができる。
手続き1:フロー集約
この手続きは、フローをクラスタに集約し、特定のネットワーク問題の原因である恐れが最も高いクラスタを見つけることを目的としている。この手続きの入力は、フローの統計量であり、出力は、疑わしいフローのクラスタである。手続き1.1および1.2は、この目的を達成するための具体的な解決法である。
手続き1.1:1次元集約
先ず、過負荷フローの有意性を評価するためのスコアS(P)を、S(P)=(max(F)−m(F))/m(F)と定義する。ここで、mは、下中央値演算子(low median operator)である。また、目的は、過負荷の挙動を最も露に示す集約、すなわち、P=maxS(P)を見つけることである。続いて、集約規則についての最良慣行(best practice)または作業規定(operator specification)に基づいて、過負荷の挙動を露に示す集約を選択または定義する。図3は、集約規則の一例である。
閾値を必要とする集約規則については、様々な用途に応じてその閾値を定義する。この閾値を決定するには、多くの方法がある。
上記の全ての情報が利用可能になった後、アルゴリズムは、集約規則を単に選択し、この規則に基づいてフローをクラスタ化し、そして、最も大きいスコアまたは予め定められた閾値より大きいスコアを有するフローの集合を出力する。
手続き1.2:多次元集約
実際には、過負荷(オーバーロード:overloading)は、様々なフロー特性のそれぞれに対する複数の集約条件の組み合わせに対応して、特定のネットワーク領域における特定のアプリケーションによって引き起こされる。この手続きは、複数の集約規則を相関させ、ネットワーク問題を最も明確にする規則の組み合わせを特定する。図4に示したように、この手続きは、本質的には、多次元フローを列挙するための枝の刈り込み(branch pruning)を有する幅優先探索アルゴリズムである。
手続き2:適応制御
この手続きは、手続き1にて生成された複数のフローに対して適応制御を適用する。手続き2.1は、この適応制御を実現する1つの手法である。
手続き2.1:毒素‐抗毒素制御
NetFuseが過負荷フローfのRTT(往復遅延時間)に対して追加遅延を適用すると、NetFuseはfの応答の積極性をテストする。fがそのレートを低減する場合、追加の遅延も低減され、最終的には、もはや追加遅延を被ることなく、元のデータパスを享受することになる。別の場合には、追加遅延は増加し、最終的には、バッファが満杯になり、fの全てのパケットがドロップすることになる。fの目標レートをrとした場合、(NetFuseボックスのバッファキューで測定される)fの現在のレート要求がrであるとすると、NetFuseがfに適用する追加遅延は、(r−r)×r×RTT/rである。このため、フローがTCP(伝送制御プロトコル)を採用し、そのフローレートがRTTに反比例すると仮定すると、r〜RTTであるため、fの追加遅延は、フローレートをrからrに低減させることを目的としている。実際には、良い挙動のフローは、レートをr以下に下げることによって追加遅延に応答し、その結果、NetFuseにおいて、いかなる追加遅延もなくなる。一方、悪い挙動のフローはレートを高くしてしまい、NetFuseは、それらのパケットを可能な限り強制的にドロップさせるために、それらのパケットを遅延させ続ける。
以上説明したことは、全ての点において例示的・代表的であり、これらに限定されるものではない。本発明の範囲は、発明を実施するための形態から決定されるものではなく、特許法によって認められる最大限の解釈によって請求項から決定されるものである。ここで説明された実施形態は、単に本発明の原理を説明したものであって、本発明の範囲と精神内において当業者が様々な変更を実施することができる。また、当業者は、発明のスコープと精神内において他の様々な特徴の組み合わせを実装することができる。
更なるシステムの詳細
現代のクラウドおよびデータセンタのプラットフォームは、冗長ネットワークトポロジと優れたプロトコルで構成されているが、未だに致命的な障害に苦しめられており、大きなトラフィックサージによる性能低下は、外部要因(例えば、DDoS攻撃)または内部要因(ワークロードの変化、オペレータのエラー、ルーティングの誤設定)の両方によって引きこされる。これが緩和されない場合、トラフィックの過負荷は、クラウド・プロバイダに対して、厳しい財政的および可用的な影響を与える恐れがある。
我々は、データセンタネットワークに基づくオープンフローをトラフィックの過負荷から保護する機構であるNetFuseを提案する。NetFuseは、アクティブなネットワークフローを検出するために受動的に収集されたオープンフロー制御メッセージを使用するため、拡張性を有する。また、過負荷の挙動を引き起こすネットワークフローを組み合わせる正当な基準を決定するために多次元フロー集約を用いているため、正確である。そして、アプリケーションフィードバックに基づいてフローのレートを適応的に決定する毒素‐抗毒素のような機構を使用するため、通常のトラフィックに影響を与えずにサージによる損傷を制限するのに有効である。我々は、NetFuseの試作品を構築し、実際のオープンフローテストベッド上で評価した。我々の結果は、不正動作するトラフィックを低偽陽性率(<9%)で特定し隔離するのに、この機構が有効であることを示している。
1:序説
現代のクラウドおよびデータセンタのプラットフォームは、それぞれの相互作用およびインフラ設備との相互作用が必ずしも知られているとは限らない、複雑なアプリケーションを実行している数千ものサーバを有する。それらのプラットフォームは、冗長ネットワークトポロジ(非特許文献5)と優れたプロトコル(非特許文献1)とで構成されているが、トラフィックの過負荷が発生すると、未だに致命的な障害や性能低下を被る。トラフィックの過負荷は、DDoS攻撃のような外部要因によっても引き起こされるが、小さなワークロードの変化、オペレータの単純な処理、または、ルーティングの誤設定のような一見無害な内部要因によっても引き起こされる。例えば、アマゾンEC2は、低容量の内部ネットワークに対して大容量の外部トラフィックが誤って再送されるというルーティングの誤設定のために2011年4月にダウンした(非特許文献3)。
もしこれが緩和されない場合、トラフィックの過負荷は、クラウド・プロバイダに対して、厳しい財政的および可用的な影響を与える恐れがある。41のUSのデータセンタに関する最近の研究では、プロバイダに対して停電1分当たり平均5600ドルの費用がかかることを示している。事例証拠としては、EC2の停電がアマゾンに対して約200万ドルの収益の損失がもたらされたことが示唆されている。ますます多くのサービスやアプリケーションがクラウドに移行するため、トラフィックの過負荷の影響を効果的に緩和することが重要である。
トラフィックの過剰に起因するネットワークの問題の特定および緩和に焦点を当てた多くの研究があり、それらは2つの広いカテゴリ、すなわち、積極的なものと反応的なものとに分類される。反応的な解決策は、障害の発生を制限するために、データセンタアーキテクチャ、プロトコル、リソースの配置またはアプリケーションを修正することを提案する(非特許文献1、2、7、9、10)。しかしながら、これらは、アプリケーション間の予想できない相互作用に起因する連鎖的な障害、または、アマゾンの事件で明らかなようにインフラ設備に対しては容易に対処できない。積極的な解決策は、ネットワークを管理し、故障の発生後に迅速に故障を検出する方法に焦点を当てている。これらのアプローチは、ネットワークのトラフィックやアプリケーションの挙動を常に監視しなければならず、また、測定値を集めるための費用が高い場合には用いられない場合がある。
我々は、データセンタネットワークの過負荷問題を防止するために、オープンフローのスイッチの機能を活用する機構を探る。オープンフローは、実績ベースまたは信頼性ベースのアプリケーション要件をサポートするために、データセンタにおいてますます実装されている。オープンフローネットワークでは、スイッチは、論理的な集中制御装置と接続され、新しいフローが到着するか失効した場合に、制御メッセージを用いてそれに通知する。
我々はNetFuse、つまり、わずかな測定オーバーヘッドで連鎖的なネットワークの過負荷から保護する機構を提案する。NetFuseは、ヒューズボックスがサージから電気回路を保護する方法と同様に、オープンフローネットワークのスイッチと制御装置の間に設けられ、トラフィックの過負荷の影響からネットワークを守る。
NetFuseは、3つのステップで動作する。先ず、アクティブなネットワークフローの集合を検出するために、オープンフロー制御メッセージ(例えば、PacketIn、FlowMod、FlowRemoved)を使用する。フロー出発および到着(flow departures and arrivals)のような、ネットワークイベントの制御装置に通知する制御トラフィックに依存することは、オンデマンドによる高価な監視を不要にする。第二に、我々は、(例えば、VLAN、アプリケーション、パス、レートに基づいて)、アクティブなフローをクラスタリングした集合を自動的に決定する多次元集約アルゴリズムを採用し、それぞれの基準について疑わしいフローを特定する。最後に、NetFuseは、アプリケーションフィードバックに従って、それらのレートを適応的に変化させることによってそれらのフローの影響を制限する。
我々は、NetFuseを提供し、スイッチと制御装置との間のプロキシとして実際のオープンフローネットワークに配置する。予備的な実験は、NetFuseがルーティングの誤設定またはDDos攻撃に起因するネットワークの過負荷を、(9%より低い)低偽陽性率で首尾よく検出することができることを示している。
2:フロー集約
NetFuseの最初の目標は、疑わしい挙動のフローを特定することである。「疑わしい」の定義は、種々の文脈に応じて変化する。例えば、非常に頻繁に起こるDNSクエリおよび極端に高いトラフィック量の両方が過負荷の挙動を表す。実際には、ネットワークオペレータが運用経験と領域知識に基づいて過負荷の挙動を指定する必要があるかもしれない。単一のフローは疑われない恐れがあるため、NetFuseは、過負荷の挙動を有するアクティブなフローのクラスタを特定するためにフロー集約を実行する。
2.1:一次元集約
[一般的な問題]一般的なフロー集約の問題を述べることから始める。入力はn個のフローの集合{f,f,…,f}である。有効なフロー集約は集合分割P(例えば、P={F={f,f,f},F={f,f},…,F})としてモデル化することができる。我々の目標は過負荷を示す集約を見つけることである。
集約の過負荷の挙動を補足するために、過負荷スコアS(P)を、S(P)=(max(F)−m(F))/m(F)と定義する。ここで、maxは、集約内に集約された全てのフローのうち最大のレートを示し、mは、下中央値を示す。ある集約が他のものよりも明らかな過負荷の挙動を示すように、異なる集約は異なるスコアを有する。例えば、図1において、集約P1は、そのピークが鋭いために、集約P2よりもスコアが高い。最も顕著に過負荷の挙動を示す集約は、P=maxS(P)で与えられる。
フロー集約は組合せ最適化問題であり、NP困難である。クラスタリング・アルゴリズムに基づく機械学習が適用されるが、重いトレーニング・データと複雑な計算が必要なため、オンライン問題の検出には適さない。実際、この一般的なフロー集約の問題は解く必要すらないかもしれない。なぜなら、任意のフロー・クラスタリングは実用的な過負荷の理由に対応しないことがあり、そのため、実用的な解決策を見つけることができないからである。さらに悪いことに、ある統計的な過負荷の挙動を全体として示すという理由だけで、完全に正当なフローのグループが問題の標的にされる恐れがある。
[妥当な集約]任意のフロー集約を詳細に考察する代わりに、妥当な集約の一覧を列挙し、観測された過負荷現象を最も良く説明するものを見つけるNetFuseを設計する。妥当な集約は、1つまたはそれ以上の実用的な過負荷の理由に対応する。表1は、妥当なフロー集約とその対応する過負荷の理由の一覧を例示している。P4は、同じ宛先ポート番号を有するフローを集約する。過負荷がHTTPに対する攻撃に起因する場合、「dPort=80」の集約フローは、他のフローよりもリソースをはるかに要する。NetFuseがこのフロー集約を特定する場合、(予定されていたものを含む)全てのHTTPリクエストのトラフィックが制御され、ネットワーク内の他のアプリケーションは保護される。規則の一覧は、空間的(P1からP6)および時間的(P7からP9)なフロー特性を含むことに注意すべきである。そして、オープンフローにおける必要な情報を容易に取得できる(セクション4で詳細に説明する)。しかしながら、可能な集約条件の全てをカバーすることはできず、領域知識に基づいてオペレータによってカスタマイズすることができる。
[閾値に基づく集約]いくつかの妥当な集約規則は、例えば、P7.P8およびP9のように予め定められた閾値に基づいている。例として表1のP8を挙げた場合、期間dによってフローを分類する場合、閾値dthを設定し、それより短い期間(d<dth)を有するフローを「一時的」として集約し、他のフローを「長期的」として集約することができる。最大の距離によって集約フローを分ける値を選択することによって適切な閾値を見つける。距離の定義は、正常な(および負荷が重い)動作の間における過去の測定統計値によって決定・取得される。例えば、フロー期間がべき乗分布に従う場合、閾値dthと集約されたフローFとの間の距離を
Figure 0005815891
 と定義する。そして、log(d)によってF内のフローを分類して、
Figure 0005815891
 を見つけ、閾値として
Figure 0005815891
 を設定する。異なるフロー特性に対しては、集約条件のための閾値を決定する異なる技術(例えば、クラスタリングアルゴリズム)を使用する。
2.2:多次元集約
表1において、各集約は単一のフロー特性に基づいている。実際には、過負荷は、異なるフロー特性に対する複数の集約条件の組み合わせに対応し、特定のネットワーク領域における特定のアプリケーションによって引き起こされる。例えば、過負荷がデータベースに対する同時攻撃に起因する場合、対応する集約は「開始時間<30秒」および「dPort=1433」とすることができる。もし開始時間またはdPortによってフローを集約するならば、フローの適切な集合を特定することができない。したがって、適切な規則の組み合わせをどのように見つけるかが重要な課題となる。
我々は、多次元フロー集約を列挙するための枝の刈り込みを有する幅優先探索アルゴリズムを開発する(アルゴリズム1)。このアルゴリズムの入力は、π={P,P,P,…}であり、これは、試されるべき妥当な集約のリストを含む。例として、f,fを「古い」フロー、fを「新しい」フローとし、P={{f,f},{f}}を開始時間に基づくフロー集約と仮定し、また、fをポート22のフロー、f、fをポート80のフローとし、P={{f},{f,f}}をdPortに基づく別のフロー集約と仮定する。アルゴリズムは、PおよびPを組み合わせることによって、新しい集約Pを生成する。このとき、fはポート22の古いフロー、fはポート80の古いフロー、fはポート80の新しいフローである、このような新しい集約PがPおよびPよりも高いスコアS(P)を有する場合、アルゴリズムは、Pがより良いと考えて、それをπの中にとっておく。
Figure 0005815891
 は、2つの集合分割間の細分関係(refinement relation)を示す。このアルゴリズムは、一方が他方の細分である場合、2つの集約を組み合わせない。
アルゴリズム1の計算的な複雑さは、Nをアクティブなフローの数、Kを予め定められた集約規則の数、mを最適な集約の次元とすると、O(NK)である。実用的な設定については、このアルゴリズムは、1秒以内に終了することができる。これは、制御装置の応答時間に匹敵し、オンライン検出および反応のための十分な応答性を示す。NetFuseは、最も妥当なフロー集約と、それに対応する最も可能性の高い過負荷の理由を見つけるために、このアルゴリズムを適用する。集約が過負荷の問題を明らかに示していない場合、アルゴリズムの出力は、集約していない単なるフロー(これは最良の集約とみなすこともできる)である。さもなければ、アルゴリズムの出力は、1つまたは複数の1次元または多次元フロー集約規則である。NetFuseは、過負荷として集約に含まれる全てのフローを分類する。
3:適応制御
3.1:基本制御
NetFuseは、疑わしいフローを見つけると、過負荷の問題を軽減するためにそれらを制御することができる。特定された過負荷フローのそれぞれについて、NetFuseは、関連するスイッチに対して、フローをNetFuseボックスへ再ルーティングするように指示する。再ルーティングは、ミラーリングとは異なり、過負荷フローによって元々占有されていたネットワークリソースを解放する。そして、NetFuseは、それらのフローレートが強制的に削減されるように、内部バッファキューにリダイレクトされたフローのパケットを、遅延または選択的にドロップすることができる。セクション4では、オープンフローネットワークにおいて、この機能を実現する方法について説明する。
3.2:毒素‐抗毒素機構
特定された疑わしいフローは平等には扱われないことがある。潜在的に誤報の可能性があるため、疑わしいフローが全て不正な挙動をとるわけではない。異常なフローが正しく検出された場合でも、異なるフローが、集約された過負荷の挙動に対して異なる影響を持つことがある。さらに、トラフィックの相互依存は、特定されたフローの内部、または、それらと他の正常なフローと間に存在する。したがって、NetFuseは、特定されたフローのそれぞれに異なる調整を行い、システムフィードバックに従った反応を適用することができる。
我々は毒素‐抗毒素の生物システムに触発された適応制御機構を導入する。細胞分裂中には、再生毒(reproducible poison)と限られた量の解毒剤の両方が放出され、悪い挙動の子細胞は(毒とともに)攻撃的な再生によって自身を殺し、良い挙動の子細胞は自身を制御して十分な解毒剤を用いて生き残る。同様なメカニズムは、インターネットにおける高帯域幅の集約フローを制御するために使用された。
NetFuseは、以下のように、制御動作中に毒素‐抗毒素機構を適用する。過負荷フローfを遅延させた場合、NetFuseは、fの応答の積極性をテストする。もしfがそのレートを低減する場合、NetFuseは、もはやfが遅延しなくなるまで、遅延の積極性を低減させる。さもなければ、NetFuseは、遂にバッファが満杯になり、fの全てのパケットがドロップするまでfをより積極的に遅延させる。実際には、NetFuse制御において、fの目標レートがr(例えば、他の正常なフローのレートの平均値)であり、(NetFuseボックスバッファキューで測定される)fの現在のレート要求がrであるとすると、NetFuseがfに適用する追加遅延は、(r−r)×r×RTT/rである。このため、そのフローはTCP(伝送制御プロトコル)を採用し、そのフローレートがRTTに反比例すると仮定すると、r∝RTTであるため、fの追加遅延は、フローレートをrfからrに低減させることを意図している。実際、良い挙動のフローはレートをr以下に下げることによって追加遅延に応答し、その結果、NetFuseにおいていかなる追加遅延もなくなり、悪い挙動のフローは本来よりもレートを高くし続け、NetFuseは、可能な限り強制的にドロップされるように、それらのパケットを遅延させ続ける。
4:NetFuse設計
このセクションでは、我々は、オープンフローに基づくネットワークにおいて、フロー集約および適応制御機構を実現する。具体的には、OFRewind(非特許文献11)、つまり、オープンフローネットワークのネットワーク記録再生機構と同様に、オープンフローのスイッチと制御装置との間のプロキシデバイスとしてNetFuseを実装する。しかしながら、OFRewindとは異なり、我々は、より集約的なオープンフローの軽量検知機構および柔軟なルーティング機能を利用している。これらはNetFuseの設計と実装を容易にする。
[監視]NetFuseは、必要なネットワーク情報を収集するために、受動的な傍聴(passive listening)と能動的な問い合わせ(active query)の両方を用いる。途中の中継として、NetFuseは、オープンフローのスイッチと制御装置との間の制御メッセージの全てを傍受し、それにより、ネットワークにおける全てのフローの情報および統計量の全体像を取得する。
各スイッチは、そのフローテーブルのエントリのいずれともマッチしないデータパケットを受信するたびに、制御装置に対してPacketInメッセージを送信する。制御装置は、同じフローにおける当該パケットとその次のパケットのための転送規則をインストールするために、FlowModメッセージを用いて応答する。PacketInおよびFlowModメッセージの両方は、重要なフロー情報、つまり、識別子(例えば、発信元のIPおよびポート、宛先のIPアドレスおよびポート)、ルーティング設定情報(例えば、VLANタグ、入力(ingress)インターフェースおよび出力(egress)インターフェース)およびフロー開始時刻を符号化する。フローのエントリが(FlowModにて符号化された設定可能なタイマーによってトリガーされ)完了すると、スイッチは、この完了したフローの継続期間およびボリュームを含むFlowRemovedメッセージを制御装置に対して送信する。それらの制御メッセージの全ては、オープンフローネットワークの通常の動作に組み込まれており、そのため、小さな追加オーバーヘッドでNetFuseによって効率的に利用することができる。
さらに制御メッセージの受動的な傍聴に加えて、NetFuseは、ネットワークリソースの利用率およびきめ細やかなフロー情報のためにスイッチに対して周期的に問い合わせるためのオープンフローReadStateメッセージを使用することもできる。ネットワークの利用率情報は、インターフェースの負荷およびキューのサイズを含む。NetFuseは、長命なエレファントフローに関するきめ細やかな情報、特に、フローの開始時刻および終了時間の間のダイナミックなフローレートを能動的に問い合わせる。必然的に、それらの能動的な問い合わせは、データパスにオーバーヘッドを引き起こす。この問題を軽減するために、NetFuseは、問い合わせの頻度が現在のネットワークの負荷に比例するように設定する。さらに、NetFuseは、は、疑わしいフローおよび疑わしいネットワーク領域においてのみより能動的な問い合わせを導入する。
[検知および行動]制御トラフィックの監視から得られたフローの集合が指定されると、NetFuseは、過負荷の挙動を有するフローを特定するためにフロー集約アルゴリズムを適応する。通常動作時には、スイッチから報告されたフローの全ては制御装置に中継される。過負荷状況では、特に制御ネットワークの負荷が重い場合、NetFuseは、制御装置に送るフローレポートをフィルタリングして優先する。制御装置からの制御コマンドもスイッチに届く前にNetFuseを経由する。ネットワーク問題を検知し、その原因となるフローを特定すると、NetFuseは、スイッチに新しくフロー制御規則を修正または発行することによって、特定されたフローの適応制御を実行する。深いパケットの検査が要求される場合、または、(セクション3.1で説明したように)所定のフローに追加の遅延を注入する必要がある場合、特定されたフローは、更なる処理のためにNetFuseボックスへ転送される。
NetFuseボックスは、制御装置およびスイッチの間の透過的なデバイス(transparent devices)として動作する。スイッチの観点からは、それらのデバイスは、制御装置として機能し、特定のタスクを実行するためにスイッチに実際のコマンドを発行する。制御装置の観点からは、それらはネットワークである。さらに、このNetFuseプロキシは、フローの転送、注入遅延およびパケットブロックのような重いタスクから制御装置を和らげ、その結果、システム全体の拡張性が向上される。
5:予備実験
データセンタのテストベッドにおいてNetFuseno試作品を構築し、いくつかの多層アプリケーションをホストしているテストベッド上で収集されたネットワークトレースによって動作するシミュレーションを使用して、我々の設計を評価した。図3で示したように、我々は、10個のスイッチを有するFatTreeネットワークを作成し、100タイムスロットに亘ってこのネットワーク上の500以上のランダムフローを生成した。
NetFuseは、各タイムスロットで監視されたフローにフロー集約アルゴリズムを適用する。ネットワークリンクが過大に使用されている場合、NetFuseは、最も良いフロー集約規則に基づいて過負荷フローを特定する。以下の報告された結果では、我々は、ネットワークに注入された特定の過負荷フローを用いて複数のテストケースを生成し、NetFuseがそれらの過負荷フローを正確に捕捉できるかどうかを評価した。我々は、ブートストラップのために(表1のように)いくつかの妥当な集約規則を設定して、対応する規則のそれぞれについて閾値を決定する単純なアルゴリズムを適用した(セクション2参照)。
[実験1:単一の危険なフロー(single compromised flow)]1つの正常なフローをピックアップし、そのレートをあるタイムスロットで突然増加させる最も簡単なケースから始める。図2(a)は、疑わしいフローがその他のフローよりも多くのリソースを使用しており、集約すら必要とせずに、簡単に特定できることを示している。
[実験2:DDos攻撃]異なるスイッチからスイッチ9へのフローを注入することによってDDos攻撃をシミュレートする。図2(b)は、「頻度<4」および「開始時間<30秒」という規則を組み合わせることで得られる、特定された過負荷状態の集約フローを示す。この集約フローは、DDos攻撃フローの全てを含んでいるが、攻撃と同時に開始する新しい正常なフローを誤って特定してしまう。この誤った警告の割合は9%である。適応的なNetFuseの反応は、最終的には、実際の悪い攻撃トラフィックをブロックし、正常なフローを通過させるだろう。
[実験3:ルーティングの誤設定]ルーティングの誤設定を導入し、スイッチ1からスイッチ4へ、そして最終的にはスイッチ8へ送られる約50個の新しいフローを導入する。新しいフローはいずれも非常に高いレートを持つことはないが、再ルーティングされたトラフィックの全ての負荷の総和は、あるネットワークリンクを過負荷にする恐れがある。図2(c)は、リンク1−4が過負荷になっている、標本ネットワークの利用率を示す。
各フローのレート(図2(d))が与えられたとき、NetFuseは、過負荷を引き起こす新しいフローを特定する必要があるかもしれない。先ず、集約されていない、リンク1−4を経由するフローを想定する((図2(e))。過負荷の挙動を有するフローを特定することは困難である。集約規則として頻度およびルーティングを組み合わせることによってそれらのフローの集約を実行すると、検知は非常に容易になる。図2(f)は、基準「頻度<4」と、再ルーティングされた新しいトラフィックに対応する正確に対応する「スイッチ1からスイッチ4を経由してスイッチ8へ」とを組み合わせることによって集約されたフローのレートの増加を示す。
6:議論と関連研究
[監視]
最近の研究は、コモディティスイッチで大きなトラヒック集合体を検知するフローワークを提案している。それらのシステムは、スイッチから状態を積極的に読み出すことに依存しており、重要である可能性が高いフローを測定する監視規則を適用する。これに対してNetFuseは、主に受動的な制御トラフィックに依存しており、制御トラフィックが不十分なときにのみ能動的に問い合わせを使用する。さらにNetFuseは、サージの影響を制限することを試みることができる。NetFuseは、受動的な測定に大きく依存するだろう。
[フロー集約]我々は問題のあるフローを見つけるために多次元集約を使用する。これは、伝統的なIPネットワークにおける、階層的重要(HHH:hierarchical heavy hitter)問題(非特許文献4、12)である。しかしながら、自然なIPアドレス階層は、常に存在しているとは限らず、特に、VL2(非特許文献5)およびPortland(非特許文献8)のような、分離された物理的および論理的なアドレス方式を有するトポロジであるため、データセンタネットワークに直接適用することはできない。たとえフローの空間的な特性が階層的に集約できるとしても、フローの時間的な特性は、HHHアルゴリズムには、まだ馴染まないだろう。
[拡張性]2つの機構、つまり、オープンフローの制御メッセージに基づくネットワークの統計的推定、および、NetFuseミドルボックスを使用する制御装置の負荷軽減がスケールNetFuseを支援する。多数のフローが存在すると、多くの制御パケットを引き起こし、NetFuseを圧倒してしまうことがある。以前の測定値は、多数のフローを有することが、強力な制御装置または制御装置の集合を有する中規模のオープンフローネットワークに適していることを示す。
例えば、10μ秒ごとに到着する新しいフローを有する、100個のスイッチのネットワークにおける制御装置は、1秒当たり1千万のPacketInメッセージを処理する。制御装置が分配される場合でも、NetFuseは制御トラフィックを依然として補足することができ、フローバイザー(Flow Visor)と同様の機構を使用してネットワーク情報を同期させることができる。
[発展]現在のNetFuseの設計は、リアクティブ型のオープンフローネットワークを仮定している。実際には、NetFuseボックスは、レガシーおよびオープンフローのスイッチの組み合わせで構築されたハイブリッドネットワークに配備される可能性が最も高い。このような環境では、現在のNetFuseの監視機構は、SNMPに基づく技術およびフローサンプリング機構を結び付けることができる。さらに、このようなハイブリッド環境では、NetFuseボックスは、ネットワークに偏在する代わりにいくつかの有利な箇所に配置される。我々は、将来の仕事において、これらの問題について最大限の処置を行うだろう。
7:結論
我々は、オープンフローデータセンターネットワークにおけるネットワークの過負荷の問題から保護するNetFuseを公開した。NetFuseは、(1)アクティブなネットワークフローを特定するために受動的に収集されたオープンフロー制御トラフィック、(2)疑わしいフロークラスタを見つけるための多次元集約、(3)偽陽性に深刻に影響を与えずに疑わしいフローのレートを適応的に制限する毒素‐抗毒素機構を使用する。我々は、我々の研究所において、オープンフローテストベッドでNetFuseを実証し、DDos攻撃とルーティングの誤設定とを検出できることを示した。

Claims (18)

  1. ネットワークで使用されるデバイスであって、
    前記ネットワーク状態を監視し、前記ネットワークを通過するフローの統計量を収集するネットワーク監視部と、
    フローをクラスタに集約して、ネットワーク問題を引き起こす恐れのあるフローを特定するフロー集約部と、
    ネットワークフィードバックに従って、前記特定されたフローを適応的に調整する適応制御部と、を有し、
    前記フロー集約部は、集合分割PをP={F ,F ,…,F }、m を下中央値としたとき、スコアS(P)を、S(P)=(max(F)−m (F))/m (F)と定義し、
    過負荷の挙動を明らかにする集約P =max S(P)を見つけ、
    妥当な集約規則の集合を定義する、デバイス。
  2. 請求項に記載のデバイスにおいて
    前記集約規則の集合は、過去の経験または動作仕様から取得される、デバイス。
  3. 請求項またはに記載のデバイスにおいて、
    前記集約規則の集合は、少なくとも
    エンドツーエンドのフラッディングのための入力(ingress)または出力(egress)、
    脅威に曝された仮想装置(VM)のための発信元(source)サブネット、
    特定のVMにおけるフラッシュクラウドのための宛先(destination)サブネット
    特定のサービスに対する攻撃のための宛先ポート、
    ルーティングの誤設定のためのパス上のスイッチまたはルーターのリスト、
    相関データの転送のための開始時間の範囲、
    新しいトラフィック負荷のためのパケット到着周波数閾値、
    短いまたは失敗した接続試行のための期間閾値、
    バギー(buggy)にカスタマイズされた伝送制御プロトコル(TCP)のためのバースト閾値、
    を含むデバイス
  4. 請求項ないしのいずれか1項に記載のデバイスにおいて、
    前記集約規則の少なくとも1つは、閾値を要求し、
    当該デバイスは、アプリケーションのそれぞれに従って異なる閾値を定義する、デバイス。
  5. 請求項ないしのいずれか1項に記載のデバイスにおいて、
    前記フロー集約部は、前記集約規則の一つを選択し、当該一つの集約規則に基づいてフローをクラスタ化し、そして、最も高いスコアまたは予め定められた閾値を超えるスコアを有するフローの集合を出力する、デバイス。
  6. 請求項1に記載のデバイスにおいて、
    前記フロー集約部は、集約規則の集合をpiとしたとき、piから集約規則Pを選択し、
    piの残りのP’のそれぞれについて、PおよびP’が互いに他方の細分ではなく、PおよびP’の結合であるP”がpiの中になく、P”のスコアがPおよびP’のスコアよりも大きい場合、P”をpiに追加し、
    piがPよりも大きいスコアを有する集約を含む場合、piからPを削除する、デバイス。
  7. 請求項1ないしのいずれか1項に記載のデバイスにおいて、
    前記適応制御部は、過負荷フローの往復遅延時間(RTT)に追加の遅延を適用する、デバイス。
  8. 請求項1に記載のデバイスにおいて、
    前記ネットワークは、オープンフローネットワークである、デバイス。
  9. 請求項に記載のデバイスにおいて、
    当該デバイスは、スイッチおよび制御装置の間に配置されたプロキシデバイスに含む、デバイス。
  10. ネットワークで使用される方法であって、
    ネットワーク状態を監視して、前記ネットワークを通過するフローの統計量を収集することと、
    フローをクラスタに集約して、ネットワーク問題を引き起こす恐れのあるフローを特定することと、
    ネットワークフィードバックに従って、その特定されたフローを適応的に調整することと、を有し、
    前記フローを集約することは、
    を下中央値としたとき、スコアS(P)を、S(P)=(max(F)−m (F))/m (F)と定義し、
    過負荷の挙動を明らかにする集約P =max S(P)を見つけ、
    集約規則の集合を定義する、方法。
  11. 請求項10に記載の方法において
    前記集約規則の集合は、過去の経験または動作仕様から取得される、方法。
  12. 請求項10または11に記載の方法において、
    前記集約規則の集合は、少なくとも
    エンドツーエンドのフラッディングのための入力(ingress)または出力(egress)、
    脅威に曝された仮想装置(VM)のための発信元(source)サブネット、
    特定のVMにおけるフラッシュクラウドのための宛先(destination)サブネット
    特定のサービスに対する攻撃のための宛先ポート、
    ルーティングの誤設定のためのパス上のスイッチまたはルーターのリスト、
    相関データの転送のための開始時間の範囲、
    新しいトラフィック負荷のためのパケット到着周波数閾値、
    短いまたは失敗した接続試行のための期間閾値、
    バギーにカスタマイズされた伝送制御プロトコル(TCP)のためのバースト閾値、
    を含む方法。
  13. 請求項10ないし12のいずれか1項に記載の方法において、
    前記集約規則の少なくとも1つは、閾値を要求し、
    アプリケーションのそれぞれに従って異なる閾値を定義する、方法。
  14. 請求項10ないし13のいずれか1項に記載の方法において、
    前記フローを集約することは、
    前記集約規則の一つを選択することと、
    当該一つの集約規則に基づいてフローをクラスタ化することと、
    最も高いスコアまたは予め定められた閾値を超えるスコアを有するフローの集合を出力することと、を含む方法。
  15. 請求項10に記載の方法において、
    前記フローを集約することは、
    集約規則の集合をpiとしたとき、piから集約規則Pを選択することと、
    piの残りのP’のそれぞれについて、PおよびP’が互いに他方の細分ではなく、PおよびP’の結合であるP”がpiの中になく、P”のスコアがPおよびP’のスコアよりも大きい場合、P”をpiに追加することと、
    piがPよりも大きいスコアを有する集約を含む場合、piからPを削除することと、を含む方法。
  16. 請求項10ないし15のいずれか1項に記載の方法において、
    前記適応的に調整することは、
    過負荷フローの往復遅延時間(RTT)に追加の遅延を適用することを含む、方法。
  17. 請求項10に記載の方法において、
    前記ネットワークは、オープンフローネットワークである、方法。
  18. 請求項17に記載の方法において、
    当該方法は、スイッチおよび制御装置の間に配置されたプロキシデバイスで使用される、方法。
JP2014549007A 2012-01-11 2013-01-09 ネットワーク自己保護 Expired - Fee Related JP5815891B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201261585337P 2012-01-11 2012-01-11
US61/585,337 2012-01-11
US13/736,146 2013-01-08
US13/736,146 US8976661B2 (en) 2012-01-11 2013-01-08 Network self-protection
PCT/US2013/020765 WO2013106386A2 (en) 2012-01-11 2013-01-09 Network self-protection

Publications (2)

Publication Number Publication Date
JP2015501119A JP2015501119A (ja) 2015-01-08
JP5815891B2 true JP5815891B2 (ja) 2015-11-17

Family

ID=48743853

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014549007A Expired - Fee Related JP5815891B2 (ja) 2012-01-11 2013-01-09 ネットワーク自己保護

Country Status (5)

Country Link
US (1) US8976661B2 (ja)
EP (1) EP2772021B1 (ja)
JP (1) JP5815891B2 (ja)
IN (1) IN2014CN02822A (ja)
WO (1) WO2013106386A2 (ja)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10455575B2 (en) * 2012-10-05 2019-10-22 Sierra Wireless, Inc. Method, apparatus and system for uplink radio resource allocation in an LTE communication system
EP2850791B1 (en) * 2012-10-05 2017-11-15 Nec Corporation Network management
CN104838715A (zh) 2012-10-05 2015-08-12 司亚乐无线通讯股份有限公司 用于无线电资源分配的方法和系统
US9391897B2 (en) * 2013-07-31 2016-07-12 Oracle International Corporation Methods, systems, and computer readable media for mitigating traffic storms
CN103491095B (zh) * 2013-09-25 2016-07-13 中国联合网络通信集团有限公司 流量清洗架构、装置及流量牵引、流量回注方法
US9736064B2 (en) * 2013-12-17 2017-08-15 Nec Corporation Offline queries in software defined networks
JP6035264B2 (ja) * 2014-02-17 2016-11-30 日本電信電話株式会社 リング網分割最適化装置及び方法及びプログラム
WO2015192319A1 (zh) 2014-06-17 2015-12-23 华为技术有限公司 软件定义网络中识别攻击流的方法、装置以及设备
US20160050132A1 (en) * 2014-08-18 2016-02-18 Telefonaktiebolaget L M Ericsson (Publ) Method and system to dynamically collect statistics of traffic flows in a software-defined networking (sdn) system
CN105591780B (zh) * 2014-10-24 2019-01-29 新华三技术有限公司 集群监测方法和设备
CN106034057B (zh) * 2015-03-18 2019-10-25 北京启明星辰信息安全技术有限公司 一种串联安全设备故障系统及方法
EP3292665B1 (en) 2015-05-05 2019-01-16 Telefonaktiebolaget LM Ericsson (publ) Reducing traffic overload in software defined network
PL412663A1 (pl) 2015-06-11 2016-12-19 Akademia Górniczo-Hutnicza im. Stanisława Staszica w Krakowie Sposób agregacji przepływów w sieciach teleinformatycznych
KR102560594B1 (ko) * 2016-05-03 2023-07-27 삼성전자주식회사 무선 통신 시스템에서 패킷을 송신하기 위한 장치 및 방법
US10929765B2 (en) * 2016-12-15 2021-02-23 Nec Corporation Content-level anomaly detection for heterogeneous logs
CN107147627A (zh) * 2017-04-25 2017-09-08 广东青年职业学院 一种基于大数据平台的网络安全防护方法及系统
CN109120494B (zh) * 2018-08-28 2019-08-30 无锡华云数据技术服务有限公司 在云计算系统中接入物理机的方法
EP3748562A1 (en) * 2019-05-08 2020-12-09 EXFO Solutions SAS Timeline visualization & investigation systems and methods for time lasting events

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7702806B2 (en) * 2000-09-07 2010-04-20 Riverbed Technology, Inc. Statistics collection for network traffic
US7185368B2 (en) * 2000-11-30 2007-02-27 Lancope, Inc. Flow-based detection of network intrusions
US7417951B2 (en) * 2003-12-17 2008-08-26 Electronics And Telecommunications Research Institute Apparatus and method for limiting bandwidths of burst aggregate flows
US20060075093A1 (en) * 2004-10-05 2006-04-06 Enterasys Networks, Inc. Using flow metric events to control network operation
JP4222567B2 (ja) * 2005-05-13 2009-02-12 日本電信電話株式会社 輻輳制御方法および輻輳制御装置
US8130767B2 (en) * 2005-06-17 2012-03-06 Cisco Technology, Inc. Method and apparatus for aggregating network traffic flows
WO2007108816A1 (en) * 2006-03-22 2007-09-27 Nortel Networks Limited Automated network congestion and trouble locator and corrector
JP4469866B2 (ja) * 2007-03-20 2010-06-02 富士通株式会社 パケット伝送装置および半導体装置
US8804503B2 (en) * 2007-06-29 2014-08-12 Broadcom Corporation Flow regulation switch
US8374102B2 (en) * 2007-10-02 2013-02-12 Tellabs Communications Canada, Ltd. Intelligent collection and management of flow statistics
JP5408243B2 (ja) * 2009-03-09 2014-02-05 日本電気株式会社 OpenFlow通信システムおよびOpenFlow通信方法
EP2254286B1 (en) * 2009-05-20 2013-03-20 Accenture Global Services Limited Network real time monitoring and control method, system and computer program product
EP2562970B1 (en) * 2010-04-19 2015-01-07 Nec Corporation Switch, and flow table control method
EP2652923B1 (en) * 2010-12-13 2016-10-12 Nec Corporation Communication path control system, path control device, communication path control method, and path control program
US9392010B2 (en) * 2011-11-07 2016-07-12 Netflow Logic Corporation Streaming method and system for processing network metadata

Also Published As

Publication number Publication date
EP2772021B1 (en) 2016-09-07
WO2013106386A3 (en) 2013-09-06
IN2014CN02822A (ja) 2015-07-03
US8976661B2 (en) 2015-03-10
WO2013106386A2 (en) 2013-07-18
EP2772021A2 (en) 2014-09-03
US20130176852A1 (en) 2013-07-11
JP2015501119A (ja) 2015-01-08
EP2772021A4 (en) 2015-07-22

Similar Documents

Publication Publication Date Title
JP5815891B2 (ja) ネットワーク自己保護
Wang et al. Netfuse: Short-circuiting traffic surges in the cloud
Swami et al. Software-defined networking-based DDoS defense mechanisms
Wang et al. SGS: Safe-guard scheme for protecting control plane against DDoS attacks in software-defined networking
Sahay et al. The application of software defined networking on securing computer networks: A survey
Cui et al. SD-Anti-DDoS: Fast and efficient DDoS defense in software-defined networks
Bawany et al. SEAL: SDN based secure and agile framework for protecting smart city applications from DDoS attacks
Maziku et al. Security risk assessment for SDN-enabled smart grids
Wang et al. Scotch: Elastically scaling up sdn control-plane using vswitch based overlay
Zhang et al. Control plane reflection attacks in SDNs: New attacks and countermeasures
Gholami et al. Congestion control in software defined data center networks through flow rerouting
Qian et al. Openflow flow table overflow attacks and countermeasures
Mousavi Early detection of DDoS attacks in software defined networks controller
Govindarajan et al. A literature review on software-defined networking (SDN) research topics, challenges and solutions
Maziku et al. Software Defined Networking enabled resilience for IEC 61850-based substation communication systems
Cui et al. Difs: Distributed flow scheduling for data center networks
Chaudhary et al. LOADS: Load optimization and anomaly detection scheme for software-defined networks
Cui et al. Difs: Distributed flow scheduling for adaptive routing in hierarchical data center networks
WO2012125160A1 (en) Network switching device for quantifying available service-level capacity of a network for projected network traffic
El-Shamy et al. Anomaly detection and bottleneck identification of the distributed application in cloud data center using software–defined networking
Gong et al. An intelligent trust model for hybrid DDoS detection in software defined networks
Singh et al. Prevention mechanism for infrastructure based denial-of-service attack over software defined network
Ghosh et al. A simulation study on smart grid resilience under software-defined networking controller failures
Jiang et al. BSD‐Guard: A Collaborative Blockchain‐Based Approach for Detection and Mitigation of SDN‐Targeted DDoS Attacks
Wang et al. Proactive mitigation to table-overflow in software-defined networking

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140618

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150514

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150526

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150731

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150825

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150924

R150 Certificate of patent or registration of utility model

Ref document number: 5815891

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees