JP6598382B2 - ヒューリスティック及びビジネスポリシーに基づく、ネットワークトラフィックフローに対するリソースのインクリメンタルアプリケーション - Google Patents

ヒューリスティック及びビジネスポリシーに基づく、ネットワークトラフィックフローに対するリソースのインクリメンタルアプリケーション Download PDF

Info

Publication number
JP6598382B2
JP6598382B2 JP2016561300A JP2016561300A JP6598382B2 JP 6598382 B2 JP6598382 B2 JP 6598382B2 JP 2016561300 A JP2016561300 A JP 2016561300A JP 2016561300 A JP2016561300 A JP 2016561300A JP 6598382 B2 JP6598382 B2 JP 6598382B2
Authority
JP
Japan
Prior art keywords
traffic flow
level
detail
condition
inspection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016561300A
Other languages
English (en)
Other versions
JP2017511072A5 (ja
JP2017511072A (ja
Inventor
カプト、ピート、ジョゼフ、ツー
セラ、ウィリアム、トーマス
Original Assignee
レベル スリー コミュニケーションズ,エルエルシー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by レベル スリー コミュニケーションズ,エルエルシー filed Critical レベル スリー コミュニケーションズ,エルエルシー
Publication of JP2017511072A publication Critical patent/JP2017511072A/ja
Publication of JP2017511072A5 publication Critical patent/JP2017511072A5/ja
Application granted granted Critical
Publication of JP6598382B2 publication Critical patent/JP6598382B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/22Alternate routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/30Routing of multiclass traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0895Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/24Multipath
    • H04L45/243Multipath using M+N parallel active paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

実施形態は概してネットワークサービスに関する。
ある場所から別の場所にデータをルーティングすることに加えて、近年のデータネットワークは、複数のパーソナライズドサービスを提供する。例えば、多くのネットワークは、複数のパケットの複数のシーケンスを検査する複数の侵入検出サービスを提供し、複数のネットワーク攻撃を検出し防止する。これらのサービスを提供することは、トラフィックフローのルーティングの変更を必要とし得る場合がある。例えば、トラフィックは、サービスを提供する特定のデバイスを介してルーティングされ得る。
従来のルーティングアルゴリズムは、それぞれのルータが有する、その近隣の複数のリンク及びデバイスからのローカル情報に依存し、データをルーティングする。ルータは、そのような情報をルーティングテーブルに維持する。受信パケットの宛先アドレスに基づき、ルータは、そのルーティングテーブルを用い、そのパケットを特定の近隣のデバイスに転送する。
ソフトウェア・デファインド・ネットワーク(SDN)と呼ばれる技術は、制御機能及び転送機能を複数の別個のデバイスに分離する。制御デバイスは、ネットワークトポロジのグローバルな知見を用い、複数の個々のデータフローに関して複数の転送デバイスのネットワークを通る経路を判断し得る。このように、制御デバイスは、例えば、ネットワークを通る、遅延を最小化する、又は帯域幅を最大化する複数の経路を確立し得、又は特定のネットワークサービスを提供する特定のデバイスを通るデータフローをルーティングし得る。
複数のネットワークサービスを通る複数のデータフローをルーティングすることにより、パフォーマンスの懸念が生じる。例えば、侵入検出システムは、複数の複雑なオペレーションを実行し、複数の攻撃パターンを検出し得る。これらのオペレーションは、待機時間を増加させ、帯域幅を減少させ得、又は複数の高コストなネットワークリソースを消費し得る。
上記のことを考慮すると、ヒューリスティック及びポリシー条件に基づき、複数のトラフィックフローに対して、複数のネットワークリソースの改善された適用を提供するための機構を提供することは、有利であろう。
一実施形態において、システムは、ネットワーク内のトラフィックフローが第1の条件を満たすと判断し、トラフィックフローの第1の部分をネットワークサービスに送信する。ネットワークサービスは次に、第1の詳細レベルでトラフィックフローの第1の部分を検査し、トラフィックフローが第2の条件を満たすと判断する。ネットワークは次に、トラフィックフローが第2の条件を満たすと判断する段階に基づき、トラフィックフローの第2の部分をネットワークサービスに送信し得る。ネットワークサービスは、第2の詳細レベルでトラフィックフローの第2の部分を検査し得、第2の詳細レベルで検査する段階は、第1の詳細レベルで検査する段階より多くのコンピューティングリソース量を必要とする。
方法及びコンピュータ可読媒体の実施形態も開示される。
更なる複数の実施形態及び特徴、並びに様々な実施形態の構造及び動作が、複数の添付図面を参照して以下に詳細に説明される。
複数の添付図面は本明細書に組み込まれ、本明細書の一部を形成する。
一実施形態に従って、複数のネットワークリソースの増加を適用するよう構成されるネットワークのブロック図を示す。
一実施形態に従って、複数のネットワークフローに対して、ネットワークリソースのより多くの適用を提供するシステムの更なる詳細を示すブロック図を示す。
一実施形態による、フロー分析の複数の異なるレベルの機能を示す図を示す。
一実施形態による、複数のポリシーに基づき、マイクロフローに対するネットワークリソースのより多くの適用を実行する方法を示すフローチャートである。
一実施形態による、ネットワーク内の複数のトラフィックフローに対して、複数のネットワークリソースの割り当てを増加させるための方法を示すフローチャートである。
複数の図面において、同様の参照番号は概して同一又は類似の要素を示す。更に、概して参照番号の左端の(複数の)桁は、その参照番号が最初に現れる図面を特定する。
複数の実施形態において、複数のネットワークリソースは、ヒューリスティック及びポリシー条件に基づき、複数のトラフィックフローにより多く適用される。一例において、軽量ネットワークサービスは、まずデータフローの小さい部分を調査する。軽量ネットワークサービスは、複数の制限されたコンピューティングリソースを用いる技術を用いて、データフローのその部分を調査し得る。軽量サービスは、データフローを調査し、データストリームがより詳細な調査を必要とするかどうかを判断し得る。ネットワークサービスが、より詳細な調査が必要であると判断する場合のみ、全体のデータフローは、より多くのコンピューティングリソースを必要とし、待機時間により多くを、又はより高いコストを追加する技術を用いて調査され得る。
このように複数のリソースの増加を適用するべく、ネットワーククライアントは、複数の他のクライアント又はサービスとの複数のネットワーク接続に対する複数のプリファレンス又はポリシーを設定し得る。例えば、クライアントは、侵入検出システムにより、特定のパーティとの特定のタイプのトラフィックがモニタリングされることを明記するポリシーを提供し得る。複数の実施形態において、ネットワークは、クライアントへの、又はクライアントからのトラフィックをモニタリングし、トラフィックが複数のポリシー条件を満たすかどうかを検出し得、検出する場合、侵入検出システムを介してそれらの条件を満たすトラフィック(又はマイクロフロー)の部分をルーティングする。例えば、ネットワークは、侵入検出システムを介して、特定のタイプの、特定のパーティに向けられた複数のパケットをルーティングし得る。複数の実施形態はまた、複数のポリシー及びヒューリスティックに基づき、検査されるフロー量及び検査のレベルを高め得る。このように、ネットワークは、複数のトラフィックフローに対して複数のネットワークリソースをますます適用させることにより、ネットワークトラフィックの経済的な処理を提供し得る。
図1は、一実施形態に従って、複数のトラフィックフローに対して複数のネットワークリソースをますます適用させるネットワーク100のブロック図を示す。
ネットワーク100は、例えば、パーソナルコンピュータ、サーバ、モバイルデバイス、ローカルエリアネットワーク(LAN)などの、複数のクライアントコンピューティングデバイス間でデータを送信するよう構成されるトラフィックネットワークであり得る。一実施形態において、ネットワーク100は、ワイドエリアネットワーク(WAN)、又はメトロポリタンエリアネットワーク(MAN)である。一実施形態において、ネットワーク100は、例えば、仮想ローカルエリアネットワーク(VLAN)、仮想プライベートネットワーク(VPN)などの、複数の仮想ネットワーキングサービスを提供する。一実施形態において、ネットワーク100は、遠く離れた場所のクライアント間にイーサネット(登録商標)接続性を提供する。例えば、ネットワーク100は、遠く離れた場所のクライアント間のデータ通信のために専用の帯域幅を仮想回路に提供し得る。ネットワーク100は、任意のポイント・ツー・ポイント、ポイント・ツー・マルチポイント、又はマルチポイント・ツー・マルチポイントの複数のネットワーキングプロトコルを利用し得る。用いられるネットワークアクセスプロトコルは、例えば、イーサネット(登録商標)、非同期転送モード(ATM)、ハイレベルデータリンク制御(HDLC)、フレームリレー、同期光ネットワーキング(SONET)/同期デジタルハイアラーキ(SDH)、インターネットプロトコル(IP)、伝送制御プロトコル(TCP)、ユーザデータグラムプロトコル(UDP)、マルチプロトコルラベルスイッチング(MPLS)などを含み得る。
一実施形態において、ネットワーク100は、ルータ110a−f、コントローラ120、ネットワークサービスプロバイダ130、データ収集モジュール140、分析モジュール142、ポリシーデータベース144、及びクライアントポータル150を含む。それぞれの構成要素が、以下順に説明される。ルータ110a−fのそれぞれは、複数のパケットを転送するレイヤ2又はレイヤ3デバイスであり得る。
コントローラ120は、例えば、クライアントプリファレンス、ネットワークポリシー、又はヒューリスティックに基づき、データをルーティングするようルータ110a−fを設定し得る。例えば、コントローラ120は、ルータ110a−fのルーティングテーブルを設定し、2つのクライアント間の仮想回路を作成し得る。コントローラ110は、分析モジュール142と通信し、ルータ110a−fをどのように設定するかについて判断を行い得る。
ネットワークサービスプロバイダ130は、複数のトラフィックフロー上で複数のサービスを実行するよう構成されるコンピューティングデバイスであり得る。例えば、ネットワークサービスプロバイダ130は、トラフィックフローの複数のパケットをモニタリングし、分析し、ブロックし、複製し、又は修正し得る、侵入検出システム、ファイアウォールサービス、アンチウイルスシステム、アンチスパムフィルタなどであり得る。一実施形態において、ネットワークサービスプロバイダ130はネットワーク100の一部である。別の実施形態において、ネットワークサービスプロバイダ130は、例えばインターネットを介してネットワーク100と通信する外部の第3のパーティにより別個に提供される。
一実施形態において、コントローラ120は、ネットワークサービスプロバイダ130を介して、トラフィックフロー、又はトラフィックフローの複数の部分をルーティングするよう複数のルータを設定する。例えば、第1のパーティが、トラフィックフローを確立し、第2のパーティと通信することを望み得るが、そのフローが侵入検出システムによりモニタリングされることを望み得る。コントローラ120は、複数のパーティ間のトラフィックフローを運搬し、そのルート内にサービスプロバイダ130を含めるように、一式のルータを設定し得る。一実施形態において、コントローラ120は、ネットワークから収集されるデータに基づきヒューリスティックを採用し、複数のフローに適用される複数のトラフィックフロールート及び複数のネットワークサービスを設定し得る。
データ収集モジュール140は、複数のネットワークフローに関連する複数のポリシーに基づき、それらのフローからデータを収集し得、分析のために分析モジュール142にそのデータを転送する。一実施形態において、ルータ110(例えば、任意のルータ110a−f)は、新たなデータフローを検出し得る。新たなデータフローからのパケットが検出された場合に、ルータは、そのヘッダ及びその複数のコンテンツの両方を含むそのパケットを、データ収集モジュール140に転送し得る。
データ収集は、特定のフローのために所望される監視量に依存し得る。例えば、ポリシーは、フローに対する分析のレベルを明記し得、データ収集モジュール140は、明記された分析のレベルに基づき、複数のパケットから情報を収集し得る。一例において、データ収集モジュール140は、フローに対する適度な信頼を示す検査レベルで、フローに対する複数のパケットヘッダだけを収集する。別の例において、データ収集モジュール140は、フローに対するより高いレベルの信頼を示す、より低い検査レベルで、複数のヘッダのサブセットをサンプリングする。さらに別の例において、より詳細に検査されるフローに対して、データ収集モジュール140は、フロー全体を収集し得る。このように、データ収集及び分析の詳細のレベルは、更に以下で説明されるように、フローの分析に基づき調整され得る。
分析モジュール142は、データ収集モジュール142により収集されたデータを分析し、複数のポリシー条件又は複数のセキュリティフラグをトリガし得る複数の条件を検出し得る。複数の条件を検出するべく、分析モジュール142は、ポリシーデータベース144からポリシー情報を収集する。
ポリシーデータベース144は、例えば、ネットワーククライアント、ソース及び宛先アドレス、アプリケーションなどと関連する複数のポリシーを格納し得る。一実施形態において、クライアントは、その複数のトラフィックフローに関連する複数のポリシーを明記する。例えば、クライアント及びサーバは、ネットワーク100を介して通信し得る。クライアントは、サーバとの自身のHTTPトラフィックを、侵入検出システムによりモニタリングされることを望むことを明記し得る。ポリシーデータベース144はまた、ヒューリスティックに基づき複数のポリシーを格納し得る。例えば、ネットワークマネージャは、異常トラフィックを、他のトラフィックよりも厳密に評価することを望み得る。マネージャは、平均パケットサイズが一定の閾値を超えるフローが、より厳密な調査のために、侵入検出システムを介して転送されるべきであることを述べるヒューリスティックベースのポリシーを確立し得る。
ポリシーデータベース144内の複数のポリシーを用いて、分析モジュール142は、データ収集モジュール140から取得されたフローデータを評価し、任意のポリシーが満たされているかどうかを判断し得る。任意の条件が満たされている場合、分析モジュール142は、コントローラ120と通信し、それに対して、満たされているポリシーに準拠してトラフィックをルーティングするよう、ルータ110a−fを設定するように命令し得る。例えば、分析モジュール142が、トラフィックフローの平均パケットサイズが、ヒューリスティックベースのルールにより確立された閾値を超えることを検出する場合、分析モジュール142はコントローラ110に通知し得、コントローラ110は、侵入検出システムによりモニタリングするためにネットワークサービスプロバイダ130を介してフローを転送するよう複数のルータを設定し得る。
クライアントポータル150は、複数のネットワーククライアントから複数のポリシー及び設定情報を受信し得る。一実施形態において、クライアントポータル150は、複数のクライアントに、ウェブインタフェースなどのユーザインタフェースを提供し、複数のクライアントは、それらの複数のネットワーク通信のための複数のポリシー及び設定情報を提供し得る。別の実施形態において、クライアントポータル150は、複数のクライアントが、それらのネットワーク通信のために複数のポリシー及び設定情報を提供することを可能にする複数のアプリケーションプログラムインタフェースを提供し得る。
クライアントポータル150は、特定のフロー、クライアント、パーティ、アプリケーションなどのために所望されるセキュリティ又はパフォーマンスの複数のハイレベルな指標を受信し得る。これらの指標に基づき、クライアントポータル150は、ポリシーデータベース144内の複数のポリシーを設定し得る。別の実施形態において、クライアントポータル150は、特定のフローのために所望される検査レベル又は侵入検出分析の複数の詳細なポリシーを受信する。
図2は、実施形態の一例に従って、複数のネットワークフローに対して、ネットワークリソースの改善された適用を提供するシステムの更なる詳細を示すブロック図を示す。
フローは、ルータ110a及び110bを介してトラベルするよう構成され得る。図2は、実施形態の一例に従って、フローが、フローのために判断される検査レベルに基づき、どのように処理され得るかを示す。
一実施形態において、複数のルータ110は、複数の新たなフローを検出し、フロー分析を実行し、対応するモジュールに複数のフローをルーティングし得る。一実施形態において、ルータ110は、新たなフローからパケットを検出し、分析モジュール142による分析のためにデータ収集モジュール140にパケットを転送する。分析モジュール142は、例えば、フローに対する検査レベルを提供することにより、コントローラ120に複数の分析命令を提供し得る。コントローラ120は次に、複数のルータ110を、それらのそれぞれの検査レベルに基づき複数のフローをルーティングするよう設定し得る。
一実施形態において、複数のルータ110は、複数のフローについてのメタデータのヒューリスティック分析を実行するよう構成され得る。例えば、ルータ110aなどのルータ110は、複数のフローの平均パケットサイズをモニタリングするよう構成され得る。平均パケットサイズが、特定の範囲を逸脱する場合、ルータ110aは、フローからの複数のパケットをデータ収集モジュール140に転送し得、分析モジュール142は、フローの検査レベルを高めるべきかどうかを判断し得る。
一実施形態において、コントローラ120は、複数のルータ110を、フローの検査レベルに基づき、サービスプロバイダ130にフローの複数のパケットのマイクロフローをルーティングするよう設定し得る。例えば、第1の検査レベルにおけるフローに対して、ルータ110aは、プロバイダ130を介して何れのパケットもルーティングしないよう構成され得、フローメタデータのヒューリスティック分析を実行し得、直接ルータ120bにフローをルーティングし得る。このように、検査の第1のレベルは、ルータ110aで実行され得る。
分析の第1のレベルを超えて、複数の異なるレベルの検査を実行するべく、複数のパケットは、パケットサンプラモジュール232、フローオプティマイザモジュール234、トラフィックサンプラモジュール236、及び連続分析計238を有するサービスプロバイダ130により提供される様々なモジュールに送信され得る。
具体的に、第2の検査レベルで、ルータ110aは、分析のために、ネットワークサービスプロバイダ130に、複数のパケットヘッダの複数のサンプル(例えば、無作為抽出されたヘッダサンプル)からなるマイクロフローを、ルーティングするよう構成され得る。プロバイダ130におけるパケットサンプラモジュール232は次に、このマイクロフローを分析し得る。第3の検査レベルで、ルータ110aは、複数のパケットヘッダからなるマイクロフローをプロバイダ130にルーティングするよう構成され得、プロバイダ130で、フローオプティマイザモジュール234は、マイクロフローを分析し得る。第4の検査レベルで、ルータ110aは、プロバイダ130を介して、ヘッダ及び複数のコンテンツを含む複数のパケットからなるマイクロフローをルーティングするよう構成され得、プロバイダ130で、トラフィック検査器モジュール236は、マイクロフローを分析し得る。第5の検査レベルで、ルータ110aは、プロバイダ130を介して、フロー全体をルーティングするよう構成され得、プロバイダ130で、連続分析計238は、フローを分析し得る。説明された複数の検査レベル及び複数のマイクロフローは、ネットワーク100の複数の実施形態の機能を示すことを意図された単なる複数の例であり、関連分野の当業者によって、パケットフロー分析の異なる方法に適した複数の他の例が理解されるであろう。
プロバイダ130は、例えば、侵入検出、ファイアウォール、アンチスパムフィルタリングなどの複数のマイクロフローの分析を実行し得る。プロバイダ130は次に、分析の複数の結果に応じて、例えば、複数のセキュリティリスクを提することが判断された複数のパケットをブロックする段階、アラートを送信する段階、などの他の動作をフローに対して実行し得る。一実施形態において、プロバイダ130は、分析モジュール142と通信し、前の分析の複数の結果に基づき、フローの検査レベルを調整し得る。
図3は、実施形態の一例に従って、フロー分析の複数の異なるレベルの機能を示す図を示す。
レベル302で、フローに対して特に分析は実行されず、フローのメタデータに対するジェネリックヒューリスティック分析のみが実行される。例えば、分析は、パケットの平均サイズ、パケットの数、送信されるバイトなどを判断する段階を含み得る。
レベル304で、例えば、マイクロフローを特定し得るパケットサンプリングが、実行され得る。このレベルで、分析は、複数のパケットヘッダの複数のランダムサンプルを見る段階と、それらが一定の基準を満たすかどうかを判断する段階とを含み得る。例えば、パケットサンプリングは、ポリシーが適用されるマイクロフロー(例えば、レイヤ3及びレイヤ4IP、ポート、プロトコル情報、さらに特定のアドレスからの複数のHTTPパケット)を特定するために用いられ得る。そのポリシーは次に、コントローラ110に適用され得る。
レベル306で、例えば、パフォーマンスのレベルを確保しながら、フロー全体を見得るフロー最適化が、実行され得る。パフォーマンスレベルは、フローが特定され、検索される場合に、特定のサービスレベル(保証された帯域幅、待機時間、ジッタ、パケット損失など)を必要とし得るアプリケーションパフォーマンスデータベースで定義され得る。 このレベルで、分析は、フロー又はマイクロフロー内のすべてのパケットのヘッダを見る段階を含み、複数のポリシー又は複数のルールにマッチする複数の条件を検出し得る。
レベル308で、例えば、いくつかのパケットのペイロードを見得るトラフィック検査が、実行され得る。例えば、分析は、フロー又はマイクロフロー内の複数のランダムパケットのペイロードを見る段階と、特定のタイプのトラフィックに関連する攻撃パターンを探す段階とを含み得る。
レベル310で、例えば、フロー全体又はマイクロフローを見得る、連続した分析が実行され得る。例えば、分析は、フロー又はマイクロフロー内のすべてのパケットのヘッダ及びペイロードを見る段階と、特定のタイプのトラフィックに関連する複数の攻撃パターンを検出する段階とを含み得る。
図4は、実施形態の一例に従って、複数のポリシーに基づき、マイクロフローに対するネットワークリソースのより多くの適用を実行する段階の方法400を示すフローチャートである。
段階402で、ネットワークは、そのネットワーク通信のうち1又は複数に関するクライアントからのポリシーを受信する。クライアントは、例えば、ソース及び宛先アドレス(例えば、IPアドレス)、ソース及び宛先ポート(例えば、TCP又はUDPポート)、プロトコル(例えば、HTTP、RTP)、アプリケーションなどの複数のパラメータに基づき、その複数の通信のすべて又は一部に対する複数のポリシーを明記し得る。一実施形態において、ネットワーククライアントは、その通信のすべて又は一部のために必要とされるパフォーマンス及びセキュリティを明記し得る。クライアントは、複数の特定の通信に対して所望されるパフォーマンス又はセキュリティのハイレベルな説明を提供し得(例えば、ABC社との通信に対する高いセキュリティ、XYZ社との通信に対する高いスループットなど)、又は、(例えば、複数の特定のIPアドレス及びポート間の複数の通信に対する特定のIDSサービスなどの)特定の低いレベルのポリシー詳細を提供し得る。
段階404で、ネットワークは、複数のクライアント通信に関連する複数のポリシーをポリシーデータベース内に格納する。段階402で説明されたように、一実施形態において、ネットワークは、クライアントにより提供されるハイレベルな入力に基づき、複数の低いレベルのポリシーを作成する。
段階406で、ネットワークは、分析のためにフローから複数のデータサンプルを収集する。段階408で示されるように、一実施形態において、ネットワークは、新たなデータフローから第1のパケットを収集し、そのフローがポリシーデータベースで確立された条件を満たすかどうかを判断し得る。例えば、ネットワークは、パケットの分析に基づき、侵入検出システムを介して、フローが伝えなければならないと明記するポリシーにマッチするソース及び宛先IPアドレスを、フローが有することを、判断し得る。
段階408で、ネットワークが、データフローがポリシー条件を満たすと判断する場合、ネットワークは、段階410で示されるように、ポリシーに従って、その複数のフロールートを、フロー、又はそのフローのマイクロフローを転送するよう調整する。例えば、ネットワークは、例えば、複数のパケットの複数のヘッダなどのマイクロフローを、侵入検出システムを介してルーティングするよう、複数のルータのルーティングテーブルを調整し得る。
ネットワークは、フローチャートの段階406へのリターンで示されるように、複数のフローからデータを連続的に収集し、複数のポリシー条件が発生するかどうかを判断し得る。
図5は、実施形態の一例に従って、ネットワーク内の複数のトラフィックフローに対して複数のネットワークリソースの割り当てを増加させる段階の方法500を示すフローチャートである。
段階502で、ネットワークは、フローのトラフィック検査レベルを初期レベルに設定し得る。
段階504で、ネットワークは、フローに対する検査レベル設定に基づき、フローのネットワークトラフィックを検査し得る。トラフィックを検査する段階は、例えば、ネットワークサービスを介して、例えば、マイクロフローなどのフローの一部を送信する段階を含み得る。送信する段階は、ネットワークサービスを介して、例えば、マイクロフローなどのフローの一部をリルーティングする段階、又はネットワークサービスを介して、パケットフローを並列に複製する段階を含み得る。一実施形態において、より高い検査レベル毎に、フローのより大きい部分が、検査され、複数の改善されたネットワークリソースが、フローを検査する段階に適用される。
段階506で、ネットワークは、フロー内で関心のあるイベントを検出し得る。例えば、侵入検出システムは、特定のタイプのサーバに不正アクセスする攻撃パターンにマッチする、フロー内の複数のパケットのシーケンスを検出し得る。ネットワークが関心のあるイベントを検出する場合、ネットワークは、段階508で示されるように、フローのトラフィック検査レベルを高め得る。フローのトラフィック検査レベルを高める段階は、図3に示されるより高いレベルでの、複数のパケットのフローのシーケンス内の複数の追加のパケットを検査する段階を含み得る。 ネットワークは次に、504で示されるように、高い検査レベルでフローを検査する段階を継続し、攻撃が実際に発生しているかどうかを更に判断し、それを適切に処理し得る。
同様に、ネットワークは、フローをモニタリングする段階を継続し、関心のあるイベントが継続するかどうかを判断し得る。侵入検出システムの例において、ネットワークは、攻撃パターンにマッチするシーケンスに、フローがマッチし続けるかどうかを判断するべく、モニタリングし得る。イベントが複数のパケットのサイズ又はデータフロー内の複数のパケットの数又は比に関わる複数の例において、ネットワークは、複数のパケットのサイズ、数又は比が、通常の範囲を外れるかどうかを判断するべく、モニタリングを継続し得る。イベントがもはや存在しない場合、ネットワークは、検査のレベルを下げ得る。検査のレベルを下げることにより、図3で示される、より低いレベルでの複数のパケットのフローのシーケンス内の複数の追加のパケットは、これにより、潜在的攻撃の複数の他のエリアを評価するべく、複数のネットワークリソースを解放する。 [結論]
ポリシーデータベース144は、永続的メモリを含む、任意の格納されたタイプの構造化メモリであってよい。複数の例において、データベースは、リレーショナルデータベース又はファイルシステムとして実装されてよい。
図1及び図2の複数のブロック及び複数のモジュールのそれぞれは、ハードウェア、ソフトウェア、ファームウェア、又はそれらの任意の組み合わせで実装されてよい。
図1及び図2の複数のブロック及び複数のモジュールのそれぞれは、同一又は異なるコンピューティングデバイス上に実装されてよい。そのようなコンピューティングデバイスは、限定されないが、パーソナルコンピュータ、携帯電話などのモバイルデバイス、ワークステーション、埋め込みシステム、ゲームコンソール、テレビ、セットトップボックス、又は任意の他のコンピューティングデバイスを含み得る。更に、コンピューティングデバイスは、命令を実行し格納するために、限定されないが、プロセッサと、非一時的メモリを含むメモリとを有するデバイスを含み得る。メモリは、データ及びプログラム命令を具体的に実現し得る。ソフトウェアは、1又は複数のアプリケーションとオペレーティングシステムとを含み得る。ハードウェアは、限定されないが、プロセッサ、メモリ、及びグラフィカル・ユーザ・インタフェース・ディスプレイを含み得る。コンピューティングデバイスは、複数のプロセッサ、及び複数の共有又は別個のメモリ構成要素も有し得る。例えば、コンピューティングデバイスは、クラスタ化されたコンピューティング環境又はサーバファームの一部又は全体であってよい。
「(a)」、「(b)」、「(i)」、「(ii)」などの識別子は、異なる要素又は段階のために用いられることがある。これらの識別子は明確にするために用いられ、必ずしも要素又は段階の順序を示すものではない。
本発明は、複数の特定機能の実装を示す複数の機能的構成単位、及びそれらの関係を用いて上述された。これらの機能的構成単位の境界は、説明の利便性のために、本明細書で任意に画定された。複数の特定の機能及びそれらの関係が適切に実行される限り、代替の境界が画定され得る。
複数の具体的な実施形態についての前述の説明は、本発明の一般的性質をとても十分に明らかにしているので、当技術分野の技術内の知見を適用することで、過度の実験なしに、本発明の一般的概念から逸脱することなく、その他の人々がそのような複数の具体的な実施形態を容易に修正し得る、及び/又は様々な用途に容易に改作し得る。したがって、そのような変更及び改作は、本明細書に提供された教示及び指導に基づいて、開示されている複数の実施形態の均等物の趣旨内及び範囲内であるよう意図されている。本明細書の語句又は用語は、説明を目的とするものであって制限するものではなく、これにより本明細書の語句又は用語は、教示及び指導を考慮して当業者により解釈されることになることが理解されるべきである。
複数の本実施形態の広さ及び範囲は、上述された複数の例のいずれによっても限定されるべきではなく、次の特許請求の範囲及びその均等物のみに基づいて定義されるべきである。
本願によれば、以下の各項目もまた開示される。
[項目1]
ネットワークトラフィックを検査する、コンピュータによって実装される方法であって、
トラフィックフローが第1の条件を満たすと判断することと、
前記トラフィックフローが前記第1の条件を満たすとの前記判断に基づき、前記トラフィックフローの第1の部分をネットワークサービスに送信することと、
前記第1の条件に基づき、第1の詳細レベルで前記トラフィックフローの前記第1の部分を、前記ネットワークサービスで検査することと、
前記検査に基づき、前記トラフィックフローが第2の条件を満たすと判断することと、
前記トラフィックフローが前記第2の条件を満たすとの前記判断に基づき、前記トラフィックフローの第2の部分を前記ネットワークサービスに送信することと、
第2の詳細レベルで前記トラフィックフローの前記第2の部分を、前記ネットワークサービスで検査することであって、前記第2の詳細レベルでの前記検査は、前記第1の詳細レベルでの前記検査とは異なるコンピューティングリソース量を必要とする、段階と、
を備える、方法。
[項目2]
前記第1の条件は、ヒューリスティック、前記トラフィックフローに関連するポリシー、又は関心のあるイベントのうちの1つを備える、
項目1に記載の方法。
[項目3]
前記第2の条件は、ヒューリスティック、前記トラフィックフローに関連するポリシー、又は関心のあるイベントのうちの1つを備える、
項目1または2に記載の方法。
[項目4]
前記第2の詳細レベルでの前記トラフィックフローの前記第2の部分の前記検査は、前記第1の詳細レベルでの前記トラフィックフローの前記検査より高い前記トラフィックフローのコンテンツを検査することを有する、
項目1から3の何れか一項に記載の方法。
[項目5]
トラフィックフローの第1の部分は、複数のパケットのランダムサンプルを備える、
項目1から4の何れか一項に記載の方法。
[項目6]
前記第2の詳細レベルでの前記トラフィックフローの前記検査に基づき、前記トラフィックフローの第3の部分を前記ネットワークサービスに送信することと、
第3の詳細レベルで前記トラフィックフローの前記第3の部分を、前記ネットワークサービスで検査することと、
を更に備える、
項目1から5の何れか一項に記載の方法。
[項目7]
前記トラフィックフローがもはや前記第2の条件を満たさないと判断することと、
前記トラフィックフローがもはや前記第2の条件を満たさないことが判断された場合に、前記第1の詳細レベルで前記トラフィックフローの第3の部分を、前記ネットワークサービスで検査することと、
を更に備える、
項目1から6の何れか一項に記載の方法。
[項目8]
第2の詳細レベルでの前記トラフィックフローの前記第2の部分の前記検査は、侵入検出分析を実行することを有する、
項目1から7の何れか一項に記載の方法。
[項目9]
前記第1の条件は、前記トラフィックフローに関連するパラメータと、前記トラフィックフローのために所望されるセキュリティのレベルとを備える、
項目1から8の何れか一項に記載の方法。
[項目10]
前記トラフィックフローの前記第2の部分は、前記トラフィックフローの前記第1の部分より多くの情報量を有する、
項目1から9の何れか一項に記載の方法。
[項目11]
トラフィックフローが第1の条件を満たすと判断する分析モジュールと、
コントローラであって、
前記トラフィックフローが前記第1の条件を満たすとの前記判断に基づき、前記トラフィックフローの第1の部分をネットワークサービスに送信するよう、1又は複数のルータを設定するコントローラと、
ネットワークサービスであって、
前記第1の条件に基づき、第1の詳細レベルで前記トラフィックフローの前記第1の部分を検査し、
前記検査に基づき、前記トラフィックフローが第2の条件を満たすと判断するネットワークサービスと、
を備え、
前記コントローラは、前記トラフィックフローが前記第2の条件を満たすという前記判断に基づき、前記トラフィックフローの第2の部分を前記ネットワークサービスに送信するよう1又は複数のルータを更に設定し、
前記ネットワークサービスは、第2の詳細レベルで前記トラフィックフローの前記第2の部分を更に検査し、前記第2の詳細レベルでの前記検査は、前記第1の詳細レベルでの前記検査とは異なるコンピューティングリソースの量を必要とする、
システム。
[項目12]
前記第1の条件は、ヒューリスティック、前記トラフィックフローに関連するポリシー、又は関心のあるイベントのうちの1つを備える、
項目11に記載のシステム。
[項目13]
前記第2の条件は、ヒューリスティック、前記トラフィックフローに関連するポリシー、又は関心のあるイベントのうちの1つを備える、
項目11または12に記載のシステム。
[項目14]
前記第2の詳細レベルでの前記トラフィックフローの前記第2の部分の前記検査は、前記第1の詳細レベルでの前記トラフィックフローの前記検査より高い前記トラフィックフローのコンテンツの検査を有する、
項目11から13の何れか一項に記載のシステム。
[項目15]
トラフィックフローの第1の部分は、複数のパケットのランダムサンプルを備える、
項目11から14の何れか一項に記載のシステム。
[項目16]
前記第2の詳細レベルでの前記トラフィックフローの前記検査に基づき、前記トラフィックフローの第3の部分を前記ネットワークサービスに送信することと、
第3の詳細レベルでの前記トラフィックフローの前記第3の部分を、前記ネットワークサービスで検査することと、
を更に備える、
項目11から15の何れか一項に記載のシステム。
[項目17]
第2の詳細レベルでの前記トラフィックフローの前記第2の部分の前記検査は、侵入検出分析を実行することを有する、
項目11から16の何れか一項に記載のシステム。
[項目18]
前記第1の条件は、前記トラフィックフローに関連するパラメータと、前記トラフィックフローのために所望されるセキュリティのレベルとを備える、
項目11から17の何れか一項に記載のシステム。
[項目19]
前記ネットワークサービスは、
前記トラフィックフローがもはや前記第2の条件を満たさないと判断し、
前記トラフィックフローがもはや前記第2の条件を満たさないことが判断された場合に、前記第1の詳細レベルで前記トラフィックフローの第3の部分を、前記ネットワークサービスで検査する、
項目11から18の何れか一項に記載のシステム。
[項目20]
前記トラフィックフローの前記第2の部分は、前記トラフィックフローの前記第1の部分より多くの情報量を有する、
項目11から19の何れか一項に記載のシステム。
[項目21]
少なくとも1つのコンピューティングデバイスにより実行される場合に、前記少なくとも1つのコンピューティングデバイスに複数のオペレーションを実行させるプログラムであって、
複数のオペレーションは、
トラフィックフローが第1の条件を満たすと判断するオペレーションと、
前記トラフィックフローが前記第1の条件を満たすとの前記判断に基づき、前記トラフィックフローの第1の部分をネットワークサービスに送信するオペレーションと、
前記第1の条件に基づき、第1の詳細レベルで前記トラフィックフローの前記第1の部分を、前記ネットワークサービスで検査するオペレーションと、
前記検査に基づき、前記トラフィックフローが第2の条件を満たすと判断するオペレーションと、
前記トラフィックフローが前記第2の条件を満たすとの前記判断に基づき、前記トラフィックフローの第2の部分を前記ネットワークサービスに送信するオペレーションと、
第2の詳細レベルで前記トラフィックフローの前記第2の部分を、前記ネットワークサービスで検査することであって、前記第2の詳細レベルでの前記検査は、前記第1の詳細レベルでの前記検査とは異なるコンピューティングリソースの量を必要とする、検査するオペレーションと、
を備える、
プログラム。
[項目22]
前記第1の条件は、ヒューリスティック、前記トラフィックフローに関連するポリシー、又は関心のあるイベントのうちの1つを備える、
項目21に記載のプログラム。
[項目23]
前記第2の条件は、ヒューリスティック、前記トラフィックフローに関連するポリシー、又は関心のあるイベントのうちの1つを備える、
項目21または22に記載のプログラム。
[項目24]
前記第2の詳細レベルでの前記トラフィックフローの前記第2の部分の前記検査は、前記第1の詳細レベルでの前記トラフィックフローの前記検査より高い前記トラフィックフローのコンテンツを検査することを有する、
項目21から23の何れか一項に記載のプログラム。
[項目25]
前記トラフィックフローの前記第2の部分は、前記トラフィックフローの前記第1の部分より多くの情報量を有する、
項目21から24の何れか一項に記載のプログラム。

Claims (25)

  1. ネットワークトラフィックを検査する、コンピュータによって実装される方法であって、
    トラフィックフローが第1の条件を満たすと判断することと、
    前記トラフィックフローが前記第1の条件を満たすとの前記判断に基づき、前記トラフィックフローの第1の部分をネットワークサービスに送信することと、
    前記第1の条件に基づき、第1の詳細レベルで前記トラフィックフローの前記第1の部分を、前記ネットワークサービスで検査することと、
    前記検査に基づき、前記トラフィックフローが第2の条件を満たすと判断することと、
    前記トラフィックフローが前記第2の条件を満たすとの前記判断に基づき、前記トラフィックフローの第2の部分を前記ネットワークサービスに送信することと、
    第2の詳細レベルで前記トラフィックフローの前記第2の部分を、前記ネットワークサービスで検査することであって、前記第2の詳細レベルでの前記検査は、前記第1の詳細レベルでの前記検査より多くのコンピューティングリソース量を必要とする、段階と、
    を備える、方法。
  2. 前記第1の条件は、ヒューリスティック、前記トラフィックフローに関連するポリシー、又は関心のあるイベントのうちの1つを備える、
    請求項1に記載の方法。
  3. 前記第2の条件は、ヒューリスティック、前記トラフィックフローに関連するポリシー、又は関心のあるイベントのうちの1つを備える、
    請求項1または2に記載の方法。
  4. 前記第2の詳細レベルでの前記トラフィックフローの前記第2の部分の前記検査は、前記第1の詳細レベルでの前記トラフィックフローの前記第1の部分の前記検査より前記トラフィックフローのより大きい部分を検査することを有する、
    請求項1から3の何れか一項に記載の方法。
  5. トラフィックフローの第1の部分は、複数のパケットのランダムサンプルを備える、
    請求項1から4の何れか一項に記載の方法。
  6. 前記第2の詳細レベルでの前記トラフィックフローの前記検査に基づき、前記トラフィックフローの第3の部分を前記ネットワークサービスに送信することと、
    第3の詳細レベルで前記トラフィックフローの前記第3の部分を、前記ネットワークサービスで検査することと、
    を更に備える、
    請求項1から5の何れか一項に記載の方法。
  7. 前記トラフィックフローがもはや前記第2の条件を満たさないと判断することと、
    前記トラフィックフローがもはや前記第2の条件を満たさないことが判断された場合に、前記第1の詳細レベルで前記トラフィックフローの前記第3の部分を、前記ネットワークサービスで検査することと、
    を更に備える、
    請求項に記載の方法。
  8. 第2の詳細レベルでの前記トラフィックフローの前記第2の部分の前記検査は、侵入検出分析を実行することを有する、
    請求項1から7の何れか一項に記載の方法。
  9. 前記第1の条件は、前記トラフィックフローに関連するパラメータと、前記トラフィックフローのために所望されるセキュリティのレベルとを備える、
    請求項1から8の何れか一項に記載の方法。
  10. 前記トラフィックフローの前記第2の部分は、前記トラフィックフローの前記第1の部分より多くの情報量を有する、
    請求項1から9の何れか一項に記載の方法。
  11. トラフィックフローが第1の条件を満たすと判断する分析モジュールと、
    コントローラであって、
    前記トラフィックフローが前記第1の条件を満たすとの前記判断に基づき、前記トラフィックフローの第1の部分をネットワークサービスに送信するよう、1又は複数のルータを設定するコントローラと、
    ネットワークサービスであって、
    前記第1の条件に基づき、第1の詳細レベルで前記トラフィックフローの前記第1の部分を検査し、
    前記検査に基づき、前記トラフィックフローが第2の条件を満たすと判断するネットワークサービスと、
    を備え、
    前記コントローラは、前記トラフィックフローが前記第2の条件を満たすという前記判断に基づき、前記トラフィックフローの第2の部分を前記ネットワークサービスに送信するよう1又は複数のルータを更に設定し、
    前記ネットワークサービスは、第2の詳細レベルで前記トラフィックフローの前記第2の部分を更に検査し、前記第2の詳細レベルでの前記検査は、前記第1の詳細レベルでの前記検査より多くのコンピューティングリソースの量を必要とする、
    システム。
  12. 前記第1の条件は、ヒューリスティック、前記トラフィックフローに関連するポリシー、又は関心のあるイベントのうちの1つを備える、
    請求項11に記載のシステム。
  13. 前記第2の条件は、ヒューリスティック、前記トラフィックフローに関連するポリシー、又は関心のあるイベントのうちの1つを備える、
    請求項11または12に記載のシステム。
  14. 前記第2の詳細レベルでの前記トラフィックフローの前記第2の部分の前記検査は、前記第1の詳細レベルでの前記トラフィックフローの前記第1の部分の前記検査より前記トラフィックフローのより大きい部分の検査を有する、
    請求項11から13の何れか一項に記載のシステム。
  15. トラフィックフローの第1の部分は、複数のパケットのランダムサンプルを備える、
    請求項11から14の何れか一項に記載のシステム。
  16. 前記第2の詳細レベルでの前記トラフィックフローの前記検査に基づき、前記トラフィックフローの第3の部分を前記ネットワークサービスに送信することと、
    第3の詳細レベルでの前記トラフィックフローの前記第3の部分を、前記ネットワークサービスで検査することと、
    を更に備える、
    請求項11から15の何れか一項に記載のシステム。
  17. 第2の詳細レベルでの前記トラフィックフローの前記第2の部分の前記検査は、侵入検出分析を実行することを有する、
    請求項11から16の何れか一項に記載のシステム。
  18. 前記第1の条件は、前記トラフィックフローに関連するパラメータと、前記トラフィックフローのために所望されるセキュリティのレベルとを備える、
    請求項11から17の何れか一項に記載のシステム。
  19. 前記ネットワークサービスは、
    前記トラフィックフローがもはや前記第2の条件を満たさないと判断し、
    前記トラフィックフローがもはや前記第2の条件を満たさないことが判断された場合に、前記第1の詳細レベルで前記トラフィックフローの前記第3の部分を、前記ネットワークサービスで検査する、
    請求項16に記載のシステム。
  20. 前記トラフィックフローの前記第2の部分は、前記トラフィックフローの前記第1の部分より多くの情報量を有する、
    請求項11から19の何れか一項に記載のシステム。
  21. 少なくとも1つのコンピューティングデバイスにより実行される場合に、前記少なくとも1つのコンピューティングデバイスに複数のオペレーションを実行させるプログラムであって、
    複数のオペレーションは、
    トラフィックフローが第1の条件を満たすと判断するオペレーションと、
    前記トラフィックフローが前記第1の条件を満たすとの前記判断に基づき、前記トラフィックフローの第1の部分をネットワークサービスに送信するオペレーションと、
    前記第1の条件に基づき、第1の詳細レベルで前記トラフィックフローの前記第1の部分を、前記ネットワークサービスで検査するオペレーションと、
    前記検査に基づき、前記トラフィックフローが第2の条件を満たすと判断するオペレーションと、
    前記トラフィックフローが前記第2の条件を満たすとの前記判断に基づき、前記トラフィックフローの第2の部分を前記ネットワークサービスに送信するオペレーションと、
    第2の詳細レベルで前記トラフィックフローの前記第2の部分を、前記ネットワークサービスで検査することであって、前記第2の詳細レベルでの前記検査は、前記第1の詳細レベルでの前記検査より多くのコンピューティングリソースの量を必要とする、検査するオペレーションと、
    を備える、
    プログラム。
  22. 前記第1の条件は、ヒューリスティック、前記トラフィックフローに関連するポリシー、又は関心のあるイベントのうちの1つを備える、
    請求項21に記載のプログラム。
  23. 前記第2の条件は、ヒューリスティック、前記トラフィックフローに関連するポリシー、又は関心のあるイベントのうちの1つを備える、
    請求項21または22に記載のプログラム。
  24. 前記第2の詳細レベルでの前記トラフィックフローの前記第2の部分の前記検査は、前記第1の詳細レベルでの前記トラフィックフローの前記第1の部分の前記検査より前記トラフィックフローのより大きい部分を検査することを有する、
    請求項21から23の何れか一項に記載のプログラム。
  25. 前記トラフィックフローの前記第2の部分は、前記トラフィックフローの前記第1の部分より多くの情報量を有する、
    請求項21から24の何れか一項に記載のプログラム。
JP2016561300A 2014-04-11 2015-04-02 ヒューリスティック及びビジネスポリシーに基づく、ネットワークトラフィックフローに対するリソースのインクリメンタルアプリケーション Active JP6598382B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/251,049 2014-04-11
US14/251,049 US9088508B1 (en) 2014-04-11 2014-04-11 Incremental application of resources to network traffic flows based on heuristics and business policies
PCT/US2015/024156 WO2015157095A1 (en) 2014-04-11 2015-04-02 Incremental application of resources to network traffic flows based on heuristics and business policies

Publications (3)

Publication Number Publication Date
JP2017511072A JP2017511072A (ja) 2017-04-13
JP2017511072A5 JP2017511072A5 (ja) 2018-05-17
JP6598382B2 true JP6598382B2 (ja) 2019-10-30

Family

ID=52946308

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016561300A Active JP6598382B2 (ja) 2014-04-11 2015-04-02 ヒューリスティック及びビジネスポリシーに基づく、ネットワークトラフィックフローに対するリソースのインクリメンタルアプリケーション

Country Status (7)

Country Link
US (4) US9088508B1 (ja)
EP (1) EP2930885B1 (ja)
JP (1) JP6598382B2 (ja)
CN (1) CN106416134A (ja)
CA (1) CA2887803C (ja)
HK (1) HK1215831A1 (ja)
WO (1) WO2015157095A1 (ja)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9088508B1 (en) 2014-04-11 2015-07-21 Level 3 Communications, Llc Incremental application of resources to network traffic flows based on heuristics and business policies
US10127383B2 (en) * 2014-11-06 2018-11-13 International Business Machines Corporation Resource usage optimized auditing of database shared memory
US10341203B2 (en) 2015-01-02 2019-07-02 Gigamon Inc. Policy tracking in a network that includes virtual devices
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
CN106487766B (zh) * 2015-08-31 2021-10-29 微软技术许可有限责任公司 具有独立服务子系统的路由设备
WO2018014928A1 (en) * 2016-07-18 2018-01-25 Telecom Italia S.P.A. Traffic monitoring in a packet-switched communication network
US10659476B2 (en) 2016-09-12 2020-05-19 Architecture Technology Corporation Transparent bridge for monitoring crypto-partitioned wide-area network
GB2567026B (en) * 2017-02-11 2022-03-23 Pismo Labs Technology Ltd Methods and systems for transmitting information packets through tunnel groups at a network node
JP6934758B2 (ja) * 2017-06-28 2021-09-15 アラクサラネットワークス株式会社 パケット中継装置およびパケット中継方法
US20190036814A1 (en) * 2017-07-31 2019-01-31 Cisco Technology, Inc. Traffic steering with path ordering
US20190036842A1 (en) * 2017-07-31 2019-01-31 Cisco Technology, Inc. Traffic steering in fastpath
KR102373874B1 (ko) 2017-08-16 2022-03-14 삼성전자주식회사 소프트웨어 정의 네트워크에서 네트워크 공격을 처리하기 위한 장치 및 방법
US10798015B2 (en) * 2018-01-25 2020-10-06 Cisco Technology, Inc. Discovery of middleboxes using traffic flow stitching
US10742608B2 (en) * 2018-03-08 2020-08-11 Ribbon Communications Operating Company, Inc. Communications methods, systems and apparatus for packet policing
US11924061B2 (en) * 2019-06-05 2024-03-05 Nippon Telegraph And Telephone Corporation Required communication quality estimation apparatus, required communication quality estimation method and program
US11641392B2 (en) * 2020-06-04 2023-05-02 Nec Corporation Methods and systems for de-centralized data sharing with enforced data usage control for cross-party data analytics
US11463366B1 (en) 2020-09-22 2022-10-04 Architecture Technology Corporation Autonomous network optimization using network templates
JP7104201B2 (ja) * 2021-03-19 2022-07-20 アラクサラネットワークス株式会社 パケット中継装置およびパケット中継方法
US11882448B2 (en) * 2021-06-07 2024-01-23 Sr Technologies, Inc. System and method for packet detail detection and precision blocking
US11425099B1 (en) 2022-03-08 2022-08-23 Uab 360 It Managing data communication in a virtual private network

Family Cites Families (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7478161B2 (en) * 1999-11-30 2009-01-13 Microsoft Corporation Network quality of service for qualitative applications
JP3820832B2 (ja) * 2000-02-21 2006-09-13 コニカミノルタビジネステクノロジーズ株式会社 画像読取装置
US20020133586A1 (en) * 2001-01-16 2002-09-19 Carter Shanklin Method and device for monitoring data traffic and preventing unauthorized access to a network
US7225271B1 (en) * 2001-06-29 2007-05-29 Cisco Technology, Inc. System and method for recognizing application-specific flows and assigning them to queues
US8145784B2 (en) * 2001-07-30 2012-03-27 Alcatel Lucent Distributed network management system using policies
US7331060B1 (en) * 2001-09-10 2008-02-12 Xangati, Inc. Dynamic DoS flooding protection
NZ516346A (en) * 2001-12-21 2004-09-24 Esphion Ltd A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack
US7076803B2 (en) * 2002-01-28 2006-07-11 International Business Machines Corporation Integrated intrusion detection services
US8209756B1 (en) * 2002-02-08 2012-06-26 Juniper Networks, Inc. Compound attack detection in a computer network
US20030188189A1 (en) * 2002-03-27 2003-10-02 Desai Anish P. Multi-level and multi-platform intrusion detection and response system
US6983323B2 (en) * 2002-08-12 2006-01-03 Tippingpoint Technologies, Inc. Multi-level packet screening with dynamically selected filtering criteria
KR100445665B1 (ko) * 2002-08-16 2004-08-21 주식회사 엔에스텍 복수의 대역폭 데이터들을 분산처리하는 통신망 관리장치및 그 방법
US8201252B2 (en) * 2002-09-03 2012-06-12 Alcatel Lucent Methods and devices for providing distributed, adaptive IP filtering against distributed denial of service attacks
JP3966231B2 (ja) * 2003-06-11 2007-08-29 日本電信電話株式会社 ネットワークシステムと不正アクセス制御方法およびプログラム
US7409712B1 (en) * 2003-07-16 2008-08-05 Cisco Technology, Inc. Methods and apparatus for network message traffic redirection
US20050050334A1 (en) * 2003-08-29 2005-03-03 Trend Micro Incorporated, A Japanese Corporation Network traffic management by a virus/worm monitor in a distributed network
KR100666980B1 (ko) * 2004-01-19 2007-01-10 삼성전자주식회사 트래픽 폭주 제어 방법 및 이를 구현하기 위한 장치
US8220055B1 (en) * 2004-02-06 2012-07-10 Symantec Corporation Behavior blocking utilizing positive behavior system and method
GB0407144D0 (en) * 2004-03-30 2004-05-05 British Telecomm Networks
EP1790131B1 (en) * 2004-09-09 2012-12-05 Avaya Inc. Methods of and systems for network traffic security
US7797411B1 (en) * 2005-02-02 2010-09-14 Juniper Networks, Inc. Detection and prevention of encapsulated network attacks using an intermediate device
JP4547342B2 (ja) * 2005-04-06 2010-09-22 アラクサラネットワークス株式会社 ネットワーク制御装置と制御システム並びに制御方法
US7861296B2 (en) * 2005-06-16 2010-12-28 Microsoft Corporation System and method for efficiently scanning a file for malware
JP4545647B2 (ja) * 2005-06-17 2010-09-15 富士通株式会社 攻撃検知・防御システム
CN1917426B (zh) * 2005-08-17 2010-12-08 国际商业机器公司 端口扫描方法与设备及其检测方法与设备、端口扫描系统
US7624447B1 (en) * 2005-09-08 2009-11-24 Cisco Technology, Inc. Using threshold lists for worm detection
US20070300304A1 (en) * 2006-06-26 2007-12-27 Nokia Corporation SIP washing machine
US8085775B1 (en) * 2006-07-31 2011-12-27 Sable Networks, Inc. Identifying flows based on behavior characteristics and applying user-defined actions
US7769024B1 (en) * 2006-10-24 2010-08-03 Marvell International Ltd. State-based traffic management for classifier-equipped silicon switches
US7768921B2 (en) * 2006-10-30 2010-08-03 Juniper Networks, Inc. Identification of potential network threats using a distributed threshold random walk
CN101291233B (zh) * 2007-04-20 2011-04-20 华为技术有限公司 一种实现事件检测的方法及系统
JP2009049592A (ja) * 2007-08-16 2009-03-05 Nippon Telegr & Teleph Corp <Ntt> Ipフロー計測回路およびipフロー計測方法
US7644150B1 (en) * 2007-08-22 2010-01-05 Narus, Inc. System and method for network traffic management
JP2009077136A (ja) * 2007-09-20 2009-04-09 Oki Electric Ind Co Ltd トラヒック情報提供装置、トラヒック情報取得装置、トラヒック情報収集システム、トラヒック情報提供プログラム、トラヒック情報取得プログラム及びトラヒック情報収集方法
US8898280B2 (en) * 2009-02-19 2014-11-25 Fluke Corporation Methods and apparatus for determining and displaying WAN optimization attributes for individual transactions
US8266673B2 (en) * 2009-03-12 2012-09-11 At&T Mobility Ii Llc Policy-based privacy protection in converged communication networks
CN101938396B (zh) * 2009-06-30 2013-04-17 华为技术有限公司 数据流控制方法及装置
US8789173B2 (en) * 2009-09-03 2014-07-22 Juniper Networks, Inc. Protecting against distributed network flood attacks
US8797866B2 (en) * 2010-02-12 2014-08-05 Cisco Technology, Inc. Automatic adjusting of reputation thresholds in order to change the processing of certain packets
JP5614326B2 (ja) * 2010-08-20 2014-10-29 東京エレクトロン株式会社 基板搬送装置、基板搬送方法及びその基板搬送方法を実行させるためのプログラムを記録した記録媒体
US8565108B1 (en) * 2010-09-28 2013-10-22 Amazon Technologies, Inc. Network data transmission analysis
US9363278B2 (en) * 2011-05-11 2016-06-07 At&T Mobility Ii Llc Dynamic and selective response to cyber attack for telecommunications carrier networks
US8831041B2 (en) * 2011-06-27 2014-09-09 Citrix Systems, Inc. Prioritizing highly compressed traffic to provide a predetermined quality of service
US8725522B2 (en) * 2011-06-29 2014-05-13 Sap Ag Automatic identification of user-aligned fragments in business process models
US8948191B2 (en) * 2011-12-09 2015-02-03 Telefonaktiebolaget L M Ericsson (Publ) Intelligent traffic quota management
KR20130085570A (ko) * 2011-12-22 2013-07-30 한국전자통신연구원 단말 중심 사이버 공격 방지 방법 및 그에 따른 단말 장치
CN103718513B (zh) * 2012-07-13 2017-02-01 华为技术有限公司 深度报文检测的方法及装置
US9571502B2 (en) * 2012-09-14 2017-02-14 International Business Machines Corporation Priority resolution for access control list policies in a networking device
US9590880B2 (en) * 2013-08-07 2017-03-07 Microsoft Technology Licensing, Llc Dynamic collection analysis and reporting of telemetry data
US9088508B1 (en) 2014-04-11 2015-07-21 Level 3 Communications, Llc Incremental application of resources to network traffic flows based on heuristics and business policies

Also Published As

Publication number Publication date
US20180145915A1 (en) 2018-05-24
CA2887803A1 (en) 2015-08-02
EP2930885B1 (en) 2016-11-02
US9088508B1 (en) 2015-07-21
CN106416134A (zh) 2017-02-15
WO2015157095A1 (en) 2015-10-15
US9473456B2 (en) 2016-10-18
HK1215831A1 (zh) 2016-09-15
JP2017511072A (ja) 2017-04-13
EP2930885A1 (en) 2015-10-14
US20150358287A1 (en) 2015-12-10
US9825868B2 (en) 2017-11-21
CA2887803C (en) 2016-10-04
US10291534B2 (en) 2019-05-14
US20170019339A1 (en) 2017-01-19

Similar Documents

Publication Publication Date Title
JP6598382B2 (ja) ヒューリスティック及びビジネスポリシーに基づく、ネットワークトラフィックフローに対するリソースのインクリメンタルアプリケーション
US10382451B2 (en) Integrated security system having rule optimization
CN108696402B (zh) 虚拟路由器的基于会话的业务统计记录
US10361969B2 (en) System and method for managing chained services in a network environment
Giotis et al. Leveraging SDN for efficient anomaly detection and mitigation on legacy networks
US9680870B2 (en) Software-defined networking gateway
EP2859694B1 (en) Physical path determination for virtual network packet flows
US9413667B2 (en) Methods and network nodes for traffic steering based on per-flow policies
Hyun et al. Towards knowledge-defined networking using in-band network telemetry
US9641429B2 (en) Predictive traffic steering over software defined networks
EP2882162B1 (en) Data stream security processing method and apparatus
JP2007336512A (ja) 統計情報収集システム及び統計情報収集装置
Afaq et al. Large flows detection, marking, and mitigation based on sFlow standard in SDN
US10581802B2 (en) Methods, systems, and computer readable media for advertising network security capabilities
US20160248652A1 (en) System and method for classifying and managing applications over compressed or encrypted traffic
US10374922B2 (en) In-band, health-based assessments of service function paths
Navid et al. Detection and mitigation of Denial of Service (DoS) attacks using performance aware Software Defined Networking (SDN)
EP3166281B1 (en) Integrated security system having threat visualization
EP3166280A1 (en) Integrated security system having threat visualization and automated security device control
US9531716B1 (en) Service enabled network
Machado et al. Balancing the Detection of Malicious Traffic in SDN Context
Priya et al. Smart Campus Network To Detect Distributed Denial Of Service Attacks In Software Defined Networks
Narisetty How long does it take to offload traffic from firewall?
Mala Application Development for the Network Nodes of Software-defined Networks

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180328

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180328

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190218

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190319

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190619

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190819

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190903

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190930

R150 Certificate of patent or registration of utility model

Ref document number: 6598382

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250