JP7412363B2 - データストリームのプロトコルの識別 - Google Patents
データストリームのプロトコルの識別 Download PDFInfo
- Publication number
- JP7412363B2 JP7412363B2 JP2020572750A JP2020572750A JP7412363B2 JP 7412363 B2 JP7412363 B2 JP 7412363B2 JP 2020572750 A JP2020572750 A JP 2020572750A JP 2020572750 A JP2020572750 A JP 2020572750A JP 7412363 B2 JP7412363 B2 JP 7412363B2
- Authority
- JP
- Japan
- Prior art keywords
- protocol
- data stream
- data
- identified
- identify
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 61
- 238000012545 processing Methods 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 3
- 230000003247 decreasing effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000003672 processing method Methods 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
- H04L67/1087—Peer-to-peer [P2P] networks using cross-functional networking aspects
- H04L67/1091—Interfacing with client-server systems or between P2P systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
- H04L41/0627—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time by acting on the notification or alarm source
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/61—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources taking into account QoS or priority requirements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Communication Control (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Description
本発明は、電気通信ネットワークにおけるデータの処理、特にデータストリームプロトコルの認識に関する。
より具体的には、電気通信ネットワーク、例えばインターネットストリームを介して伝達されるデータストリームを監視および分類するためのアプリケーションに関する。
以下、「データストリーム」とは、2つのネットワークエンティティの間、例えばクライアントとサーバーとの間、または2つのクライアントの間(ピアツーピアまたはP2Pストリームとして知られている)で交換されるデータのセットを意味する。
データストリームをフィルタリングし、ストリームを分類して、データストリームをその分類に基づいて処理できるようにするために、データフォーマットまたは前記データを搬送するために使用されるプロトコルを検出するために様々なデータストリーム分類方法を適用することは、公知の実施である。
この目的のために、ストリームアナライザは、Wi-Fiホットスポット、ファイアウォール、プロキシサーバーなどのネットワークアクセスポイントでの傍受用に配置され得る。
ファイアウォールでは、セキュリティシステムの構成は、特定の種類の転送を防ぐために、特定のプロトコルのプロパティの認識に基づくことができる。したがって、データストリームアナライザは、認識されたプロトコルに基づいてデータストリームの分類をファイアウォールに提供することを可能にする。
例えば、図1を参照すると、2つの(クライアントおよび/またはサーバー)エンティティ間のトラフィックを解析するためのシステムは、(例えば、クライアントタイプの)第1のエンティティ112を含む第1のネットワーク100を含み、通信リンク120によって、(例えば、サーバタイプの)第2のエンティティ111を含む第2のネットワーク110に接続されている。リンク120は、第1のネットワーク100と第2のネットワーク110との間の両方向または単一方向のトラフィックを測定および解析するアナライザ300によって解析される。ネットワーク100とネットワーク110との間のトラフィックは、社内ネットワークではギガビット/秒、Gbpsのオーダーであり得るが、事業者のネットワークのコアでは約10Gbpsに達する可能性がある。
さらに、電気通信ネットワークを介して伝達されるデータの量は、リソースの観点から解析と分類にコストをかける。
アナライザ300の測定および解析能力は、同時ストリームの数Nおよび各ストリームのビットレートTによって決定される。Nは記録されたストリームのコンテキストを管理するために必要なメモリの量に直接影響するが、Tは重大なパケット損失やストリームの遅延なしに、解析と分類を実装するために必要な計算能力に直接影響する。Tは、特定の期間内に処理されるパケットの量を定義し、したがって、各パケットに割り当てられ得る処理リソースの量を定義する。
公知のシステムでは、処理リソースの量はストリームNの増加に比例して増加する。固定リソースの場合、データインフラストラクチャはTを減らすことによってNを増やすか、Nを減らすことによってTを増やすことができる。つまり、N*Tの積は実質的に一定のままである。
しかし、実際には、既存のコンピュータネットワークではNとTの両方が比例して増加する。
このような欠点を克服するために、同じ出願人による特許、欧州特許出願公開第1722509号明細書は、明示的な認識が不可能な場合には、最初は明示的で、後で暗黙的なプロトコル認識に基づく階層解析を提案している。
明示的な認識は、所与のレベルの層が、カプセル化する上位レベルの層に使用されるプロトコルを明示的に示している場合に特に実装される。例えば、イーサネット層は上位層がIPv4かIPv6かを明示的に示し、IPは上位層がTCPかUDPかを示す。このような認識は簡単で、計算能力はほとんど必要ない。
アプリケーションレベルの層に関しては、通常、暗黙の認識方法によって識別され、これは、下位レベルのトランスポート層によって明示的に示されないため、リソースの点でコストがかかる。
さらに、このレベルでのプロトコルの様々なエンコーディングと通信暗号化の出現は、新しいプロトコル認識方法を必要としている。
例えば、SMTPやHTTPなどのプロトコルの識別は、データが暗号化されているBitTorrentなどのプロトコルの識別よりも簡単でリソースを消費しない。したがって、信頼性を低下させることなく複雑さを軽減することにより、データストリームの分類を最適化する必要がある。
本発明は状況を改善する。
この目的のために、本発明は、電気通信ネットワークの2つのエンティティ間で交換されるデータストリームのプロトコルを識別するための方法を提案し、本処理方法は、
データストリームのデータを受信するステップと、データストリームのプロトコルを識別するためにデータストリームを構文解析するステップと、
構文解析によってデータストリームのプロトコルを識別することに失敗した場合、プロトコルを対応するシグネチャと照合するシグネチャエンジンを参照するステップと、データストリームのプロトコルを識別するためにデータストリームにシグネチャを順次適用するステップと、を含む。
データストリームのデータを受信するステップと、データストリームのプロトコルを識別するためにデータストリームを構文解析するステップと、
構文解析によってデータストリームのプロトコルを識別することに失敗した場合、プロトコルを対応するシグネチャと照合するシグネチャエンジンを参照するステップと、データストリームのプロトコルを識別するためにデータストリームにシグネチャを順次適用するステップと、を含む。
構文解析は、計算リソースの観点からはそれほどリソースを消費せず、明示的に識別できないほとんどのプロトコルを識別することができる。計算リソースの点でより多くのリソースを消費するシグネチャに基づく解析方法は、構文解析が失敗した場合にのみ実施され、これにより、プロトコルの暗黙的な識別中にリソースの使用を最適化することができる。
一実施形態によれば、本発明は、シグネチャエンジンを参照することによってデータストリームのプロトコルを識別することに失敗した場合、データストリームのプロトコルを識別するために統計的プロトコル認識方法を適用するステップをさらに含んでもよい。
このような方法は、計算リソースの点でもリソースを大量に消費し、完全に信頼できるわけではない。したがって、それは最初の2つの方法が失敗した場合に有利に実施される。さらに、前の2つの方法では認識できないBitTorrentなどの暗号化されたプロトコルを認識することを可能にする。
一実施形態によれば、識別されたプロトコルは、アプリケーションレベルのプロトコルであってもよい。
アプリケーションレベルのプロトコル、より一般的にはOSIモデルの層5から7のプロトコルは、下位レベルの層によって明示的に示されていないので、この実施形態によれば、この方法は有利に適用される。
一実施形態によれば、構文解析によるデータストリームのプロトコルの識別に成功した場合、本方法は、識別されたプロトコルに応じてデータストリームのコンテキスト要素にワンパスアルゴリズムを適用することによってプロトコルデータを識別するステップをさらに含んでもよい。
このようなアルゴリズムは、リソースをあまり消費しないので、所与の識別されたプロトコルについて、それによって異なるタイプのプロトコルデータ間で転送されるデータを区別することを可能にする。
さらに、ワンパスアルゴリズムを適用することによってプロトコルデータを識別することに失敗した場合、本方法は、プロトコルデータを対応するシグネチャと照合するシグネチャエンジンを参照するステップと、データストリームのプロトコルデータを識別するためにデータストリームにシグネチャを順次適用するステップと、をさらに含んでもよい。
このように、計算リソースの点でより多くのリソースを消費するシグネチャに基づく解析方法は、構文解析が失敗した場合にのみ実施され、これにより、プロトコルデータの暗黙的な識別中にリソースの使用を最適化することができる。
一実施形態によれば、本方法は、データストリームの識別されたプロトコルに基づいてデータストリームを処理するステップをさらに含んでもよい。
したがって、プロトコルで区別された処理が適用されてもよい。
さらに、データストリームの処理は、
識別されたプロトコルに応じてサービス品質ポリシーを適用するステップ、または
識別されたプロトコルに基づいてデータストリームを許可もしくは禁止するステップ、のうちの少なくとも一方を含んでもよい。
識別されたプロトコルに応じてサービス品質ポリシーを適用するステップ、または
識別されたプロトコルに基づいてデータストリームを許可もしくは禁止するステップ、のうちの少なくとも一方を含んでもよい。
本発明の第2の態様は、本プログラムがプロセッサによって実行されるときに本発明の第1の態様による方法を実施するための命令を含むコンピュータプログラム製品に関する。
本発明の第3の態様は、電気通信ネットワークの2つのエンティティ間で交換されるデータストリームのプロトコルを識別するためのデバイスに関し、デバイスは、
データストリームのデータを受信するように構成されたインターフェースと、
プロセッサであって、
データストリームのプロトコルを識別するためにデータストリームを構文解析し、
構文解析によってデータストリームのプロトコルを識別することに失敗した場合、プロトコルを対応するシグネチャと照合するシグネチャエンジンを参照し、データストリームのプロトコルを識別するためにデータストリームにシグネチャを順次適用する、ように構成されたプロセッサと、を含む。
データストリームのデータを受信するように構成されたインターフェースと、
プロセッサであって、
データストリームのプロトコルを識別するためにデータストリームを構文解析し、
構文解析によってデータストリームのプロトコルを識別することに失敗した場合、プロトコルを対応するシグネチャと照合するシグネチャエンジンを参照し、データストリームのプロトコルを識別するためにデータストリームにシグネチャを順次適用する、ように構成されたプロセッサと、を含む。
本発明の他の特徴および利点は、以下の詳細な説明および以下の添付の図面を検討することで明らかになるであろう。
本発明は、図1に示すアナライザ300などのプロトコル識別デバイスに実装され得る。識別デバイスは、図3を参照してより詳細に提示される。
図2は、本発明の一実施形態によるプロトコル識別方法のステップを提示する。
ステップ200では、ストリームの1つまたは複数のパケットは、例えば、通信リンク200上のアナライザ300によるパケットの傍受後に、識別デバイスによって受信される。
ステップ201では、受信されたデータパケットは、既存のストリームに関連付けられるために、または現在のデータストリームをリストするテーブルに新しいエントリを作成するために識別され得る。例えば、送信元エンティティのIPアドレス(および任意選択でポート番号)と受信元エンティティのIPアドレス(および任意選択でポート番号)を考慮して、パケットに対応するストリームを識別することができる。このような手法はよく知られており、詳細には説明しない。
送信元エンティティまたは受信元エンティティは、クライアントまたはサーバーのいずれかを参照してもよい。クライアントは、ラップトップまたはデスクトップコンピュータ、タッチスクリーンタブレット、スマートフォン、またはネットワーク100または110、例えばインターネットで通信することを可能にするインターフェースを含む任意の電子デバイスであってもよい。本発明によれば、2つの通信エンティティは、図1に示すように、2つの別個のネットワーク内にあってもよいし、または同じネットワークに属してもよい。
データストリームの低層プロトコルは、ステップ201で明示的な認識によって決定され得る。上記のように、明示的な認識は、所与のレベルの層のプロトコルがそのすぐ下のレベルの層によって明示的に示す可能性があるという点で、ほとんど計算能力を必要としない。
したがって、例えば、イーサネット層データに基づいて、IPv4またはIPv6プロトコルが使用されていると判断され得る。同様に、IP層は、UDPプロトコルとTCPプロトコルのどちらが使用されているかを示す。
ステップ202以降、本発明による方法の目的は、下位レベルの層によって明示的に示されていないプロトコルを識別することである。したがって、そのような識別は暗黙的である。例えば、OSIレベルのレベル5から7の層、特にレベル7(アプリケーション)のプロトコルの認識が考慮される。
ステップ203では、識別デバイスは、データストリームのプロトコルを識別するために、データストリームの1つまたは複数のパケットに含まれるデータストリームのデータの構文解析を実施する。実際、アプリケーションレベルの特定のプロトコルは、低い計算能力を使用することで簡単に識別できる文法を有する。これは、例えば、SMTPおよびHTTPプロトコルの場合である。そのようなプロトコルは、その認識に役立つコンテキスト要素を有する。例えば、どちらも「ハンドシェイク」プロセスを使用してストリームを設定する。SSLやSIPなどの他のプロトコルも、文法を認識することで識別され得る。統計的に、分類されるストリームのアプリケーションプロトコルの90%は、ステップ203を使用することによって認識され得ることに留意されたい。したがって、そのような認識方法の優先された最初の使用は、低い計算能力で多数のプロトコルを認識することを可能にする。
ステップ203では、データストリームのプロトコルが構文解析によって首尾よく識別されたかどうかがチェックされる。
構文解析によってデータストリームのプロトコルを識別することに成功した場合、本方法は、識別されたプロトコルに応じてデータストリームのコンテキスト要素にワンパス(または「シングルパス」)アルゴリズムを適用することによって、プロトコルデータを識別するステップ204をさらに含んでもよい。ワンパスアルゴリズムは、識別されたプロトコルに依存してもよい。
プロトコルデータの識別は、ステップ203で識別されたプロトコルの層よりも上位の層のアプリケーションまたはサブアプリケーションの識別であると見なされ得る。例えば、プロトコルがHTTPであると識別された場合には、上位層のサブアプリケーションまたはプロトコルデータは、例えばFacebook(商標)データであってもよい。
ワンパスアルゴリズムの適用は、ストリームのコンテキスト要素(例えば、HTTPの場合、コンテキスト要素はURL、User Agentなどの要素であってもよい)をルールエンジンに入力することで構成されてもよい。「ストリームのコンテキスト要素」とは、データストリームのヘッダーまたはペイロード要素を指す。ワンパスアルゴリズムの使用は、計算リソースの点でそれほどコストがかからず、処理時間は固定されており、入力の数に依存しない。
コンテキスト要素の入力に応答して、ルールエンジンは、プロトコルデータを識別するために、ステップ102で識別されたプロトコルのデータでテストされ得るルールのセットを返すことができる。例えば、ステップ202でHTTPプロトコルを識別した後に、プロトコルデータは、Facebook(商標)データであると識別され得る。
ステップ212では、プロトコルデータがワンパスアルゴリズムによってステップ204で識別されたかどうかがチェックされる。成功した場合、本方法はステップ205に続く。失敗した場合、本方法は以下に説明するステップ206に進む。
ステップ204およびステップ205は任意であり、本方法は、ステップ203での確実な識別の場合に、ステップ203からステップ205に直接移動することができる。
プロトコルおよび、任意選択でプロトコルデータが識別されると、この方法は、識別されたプロトコルに基づいて、および任意選択で、アプリケーションデータに基づいてデータストリームを処理するステップ205を適用することを含んでもよい。ストリームの処理は、例えば、識別されたプロトコルに応じてサービス品質ポリシーを適用すること、または識別されたプロトコルに基づいてデータストリームを許可または禁止することで構成されてもよいし、またはより一般的には、識別されたプロトコルに基づいてストリームを分類することで構成されていてもよい。分類は、プロトコル識別デバイスの外部の処理デバイスに送信されてもよい。
ステップ202の構文解析によってデータストリームのプロトコルを識別できない場合、本発明による方法は、プロトコルを対応するシグネチャと照合するシグネチャエンジンを参照するステップ206を含む。ステップ207では、データストリームのアプリケーションレベルのプロトコルを識別するために、シグネチャがデータストリームに順次適用される。そのような順次適用は、リソースの点でコストがかかるため、ステップ202の構文解析が失敗した場合にのみ有利に適用される。
統計的には、このようなシグネチャ検索方法は、構文解析方法では識別できなかったアプリケーションプロトコルの10%の半分(つまり、プロトコルの5%)にアクセスすることを可能にする。計算リソースの点ではコストがかかるが、それでもシグネチャ検索方法は信頼性がある。
ステップ204で識別が失敗した場合には、ステップ206およびステップ207がまたプロトコルデータに適用され得る。この場合、プロトコルデータは、それらを識別するためにシグネチャと比較される。
ステップ208では、データストリームのプロトコルがシグネチャ検索方法によって首尾よく識別されたかどうかがチェックされる。
成功した場合、本方法は上述したステップ205に戻る。
失敗した場合、本発明の一実施形態は、データストリーム(またはプロトコルデータ)のアプリケーションプロトコルを識別するために、統計的プロトコル認識方法を適用する追加のステップ209を提供してもよい。特にそのような方法は、BitTorrentなどの暗号化されたプロトコルを識別することを可能にする。そのような方法は、計算能力(順次検索)の点でコストがかかり、完全に信頼できるわけではない。しかし、それは、以前に実施された方法では識別されなかったプロトコルまたはプロトコルデータの1~2%を識別することを可能にする。
ステップ210では、データストリームのプロトコルが統計的方法によって首尾よく識別されたかどうかがチェックされる。
成功した場合、本方法は上述したステップ205に戻る。
失敗した場合(統計的には約3%の場合)、本方法はデータストリームのアプリケーションプロトコルを識別することができずに終了する。障害が発生した場合、ステップ211で、予め定義された処理操作が適用され得る。例えば、予防措置として、データストリームがブロックされ得る。
本発明はまた、計算能力に関して最も信頼性が高く最も費用がかからない方法から、最も信頼性が低く最も資源集約的である方法まで、プロトコル認識方法の漸進的な適用を提供する。したがって、アプリケーションレベルのプロトコルの検索を最適化する。
図3は、本発明の一実施形態によるプロトコル識別デバイス301を示している。
識別デバイス301は、図1のネットワーク100と110との間の傍受のために配置されたアナライザ300に実装され得る。より一般的には、2つのネットワークエンティティ間で伝達されるデータストリームのデータを受信することができる。
識別デバイスは、ランダムアクセスメモリ305およびプロセッサ304、ならびに図2を参照して上述した方法のステップを実施することを可能にする命令を格納するためのメモリ301も含む。プロセッサは、サブエンティティ304.1~304.3を含んでもよく、これらはそれぞれ上記の3つの認識方法に特化している。
メモリ301は、本方法、特に、
シグネチャを対応するプロトコルと照合するシグネチャエンジン、
プロトコルデータを認識するための、所与のプロトコルに関連するルールのセット、
統計的プロトコル認識方法のルールを実装するためにプロセッサによって使用されるデータをさらに格納することができる。
シグネチャを対応するプロトコルと照合するシグネチャエンジン、
プロトコルデータを認識するための、所与のプロトコルに関連するルールのセット、
統計的プロトコル認識方法のルールを実装するためにプロセッサによって使用されるデータをさらに格納することができる。
識別デバイス301は、通信リンク200を介して、または所与のネットワーク内で伝達されるデータストリームのデータを受信することを目的とした入力インターフェース302をさらに含む。
識別デバイス301は、プロトコル識別結果、または識別されたプロトコルに基づいて決定されたコマンドを提供することができる出力インターフェース303をさらに含む。
もちろん、本発明は、例として上述した実施形態に限定されず、それは他の変形例にも拡張される。
100 第1のネットワーク
110 第2のネットワーク
111 第2のエンティティ
112 第1のエンティティ
120 通信リンク
300 アナライザ
301 プロトコル識別デバイス/メモリ
302 入力インターフェース
303 出力インターフェース
304 プロセッサ
304.1~304.3 サブエンティティ
305 ランダムアクセスメモリ
110 第2のネットワーク
111 第2のエンティティ
112 第1のエンティティ
120 通信リンク
300 アナライザ
301 プロトコル識別デバイス/メモリ
302 入力インターフェース
303 出力インターフェース
304 プロセッサ
304.1~304.3 サブエンティティ
305 ランダムアクセスメモリ
Claims (9)
- 電気通信ネットワークの2つのエンティティ(111;112)間で交換されるデータストリームのプロトコルを識別するための方法であって、前記方法は、
前記データストリームのデータを受信するステップ(200)と、前記データストリームのプロトコルを識別するために前記データストリームを構文解析するステップ(202)と、
前記構文解析によって前記データストリームの前記プロトコルを識別することに失敗した場合(203)、プロトコルを対応するシグネチャと照合するシグネチャエンジンを参照するステップ(206)と、前記データストリームのプロトコルを識別するために前記データストリームに前記シグネチャを順次適用するステップ(207)と、を含む方法。 - 前記シグネチャエンジンを参照することによって前記データストリームの前記プロトコルを識別することに失敗した場合(208)、前記データストリームの前記プロトコルを識別するために統計的プロトコル認識方法を適用するステップ(209)をさらに含む、請求項1に記載の方法。
- 前記識別されたプロトコルはアプリケーションレベルのプロトコルである、請求項1または2に記載の方法。
- 前記構文解析による前記データストリームの前記プロトコルの識別に成功した場合(203)、前記方法は、前記識別されたプロトコルに応じて前記データストリームのコンテキスト要素にワンパスアルゴリズムを適用することによってプロトコルデータを識別するステップ(204)をさらに含む、請求項1から3のいずれか一項に記載の方法。
- 前記ワンパスアルゴリズムを適用することによってプロトコルデータを識別することに失敗した場合、前記方法は、プロトコルデータを対応するシグネチャと照合するシグネチャエンジンを参照するステップ(206)と、前記データストリームのプロトコルデータを識別するために前記シグネチャを前記データストリームに順次適用するステップ(207)と、をさらに含む、請求項4に記載の方法。
- 前記データストリームの前記識別されたプロトコルに基づいて前記データストリームを処理するステップ(205)をさらに含む、請求項1から5のいずれか一項に記載の方法。
- 前記データストリームの前記処理(205)は、
前記識別されたプロトコルに応じてサービス品質ポリシーを適用するステップ、または
前記識別されたプロトコルに基づいて前記データストリームを許可もしくは禁止するステップ、のうちの少なくとも一方を含む、請求項6に記載の方法。 - プロセッサによって実行されると、請求項1から7のいずれか一項に記載の方法の実施を可能にするための命令を含むコンピュータプログラム記録媒体。
- 電気通信ネットワークの2つのエンティティ間で交換されるデータストリームのプロトコルを識別するためのデバイスであって、前記デバイスは、
前記データストリームのデータを受信するように構成されたインターフェース(302)と、
プロセッサ(304)であって、
前記データストリームのプロトコルを識別するために前記データストリームを構文解析し、
前記構文解析によって前記データストリームの前記プロトコルを識別することに失敗した場合、プロトコルを対応するシグネチャと照合するシグネチャエンジンを参照し、前記データストリームのプロトコルを識別するために前記データストリームに前記シグネチャを順次適用する、ように構成されたプロセッサ(304)と、を含むデバイス。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1856240 | 2018-07-06 | ||
| FR1856240A FR3083659B1 (fr) | 2018-07-06 | 2018-07-06 | Identification de protocole d'un flux de donnees |
| PCT/FR2019/051682 WO2020008159A1 (fr) | 2018-07-06 | 2019-07-05 | Identification de protocole d'un flux de données |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021529470A JP2021529470A (ja) | 2021-10-28 |
| JP7412363B2 true JP7412363B2 (ja) | 2024-01-12 |
Family
ID=65031381
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020572750A Active JP7412363B2 (ja) | 2018-07-06 | 2019-07-05 | データストリームのプロトコルの識別 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US11265372B2 (ja) |
| EP (1) | EP3818676A1 (ja) |
| JP (1) | JP7412363B2 (ja) |
| KR (1) | KR20210043498A (ja) |
| CA (1) | CA3103363A1 (ja) |
| FR (1) | FR3083659B1 (ja) |
| WO (1) | WO2020008159A1 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114285918A (zh) * | 2021-12-30 | 2022-04-05 | 湖北天融信网络安全技术有限公司 | 基于协议分析的分流方法、装置、电子设备及存储介质 |
| CN115567430A (zh) * | 2022-09-21 | 2023-01-03 | 广州汇智通信技术有限公司 | 一种通信大数据平台的数据缺失主动发现方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004017595A3 (fr) | 2002-07-29 | 2005-08-11 | Qosmos | Procede de reconnaissance et d'analyse de protocols dans des reseaux de donnees |
| JP2003524317A5 (ja) | 2000-06-30 | 2007-09-06 | ||
| US20140282823A1 (en) | 2013-03-15 | 2014-09-18 | Enterasys Networks, Inc. | Device and related method for establishing network policy based on applications |
| WO2014151591A2 (en) | 2013-03-15 | 2014-09-25 | Enterasys Networks, Inc. | A device, a system and a related method for dynamic traffic mirroring and policy, and the determination of applications running on a network |
| US20160149792A1 (en) | 2014-11-25 | 2016-05-26 | Fortinet, Inc. | Application control |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001001272A2 (en) * | 1999-06-30 | 2001-01-04 | Apptitude, Inc. | Method and apparatus for monitoring traffic in a network |
| US7664048B1 (en) * | 2003-11-24 | 2010-02-16 | Packeteer, Inc. | Heuristic behavior pattern matching of data flows in enhanced network traffic classification |
| EP1722509B1 (en) | 2005-05-13 | 2009-04-08 | Qosmos | Traffic analysis on high-speed networks |
| US8509071B1 (en) * | 2010-10-06 | 2013-08-13 | Juniper Networks, Inc. | Multi-dimensional traffic management |
| WO2012171166A1 (zh) * | 2011-06-13 | 2012-12-20 | 华为技术有限公司 | 协议解析方法及装置 |
| US20130238782A1 (en) * | 2012-03-09 | 2013-09-12 | Alcatel-Lucent Usa Inc. | Method and apparatus for identifying an application associated with an ip flow using dns data |
| WO2013187963A2 (en) * | 2012-03-30 | 2013-12-19 | The University Of North Carolina At Chapel Hill | Methods, systems, and computer readable media for rapid filtering of opaque data traffic |
| EP2916512B1 (en) * | 2014-03-07 | 2016-08-24 | Mitsubishi Electric R&D Centre Europe B.V. | Method for classifying a TCP connection carrying HTTP traffic as a trusted or an untrusted TCP connection |
| US20180212998A1 (en) * | 2017-01-23 | 2018-07-26 | ShieldX Networks, Inc. | Updating computer security threat signature libraries based on computing environment profile information |
-
2018
- 2018-07-06 FR FR1856240A patent/FR3083659B1/fr active Active
-
2019
- 2019-07-05 WO PCT/FR2019/051682 patent/WO2020008159A1/fr unknown
- 2019-07-05 EP EP19748867.9A patent/EP3818676A1/fr active Pending
- 2019-07-05 CA CA3103363A patent/CA3103363A1/fr active Pending
- 2019-07-05 JP JP2020572750A patent/JP7412363B2/ja active Active
- 2019-07-05 KR KR1020207036935A patent/KR20210043498A/ko unknown
-
2020
- 2020-12-17 US US17/124,724 patent/US11265372B2/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003524317A5 (ja) | 2000-06-30 | 2007-09-06 | ||
| WO2004017595A3 (fr) | 2002-07-29 | 2005-08-11 | Qosmos | Procede de reconnaissance et d'analyse de protocols dans des reseaux de donnees |
| JP2005537705A (ja) | 2002-07-29 | 2005-12-08 | コスモス | データネットワークにおけるプロトコルの認識及び分析方法 |
| US20060106583A1 (en) | 2002-07-29 | 2006-05-18 | Alfortville Fdida | Method for protocol recognition and analysis in data networks |
| US20140282823A1 (en) | 2013-03-15 | 2014-09-18 | Enterasys Networks, Inc. | Device and related method for establishing network policy based on applications |
| WO2014151591A2 (en) | 2013-03-15 | 2014-09-25 | Enterasys Networks, Inc. | A device, a system and a related method for dynamic traffic mirroring and policy, and the determination of applications running on a network |
| US20160149792A1 (en) | 2014-11-25 | 2016-05-26 | Fortinet, Inc. | Application control |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20210043498A (ko) | 2021-04-21 |
| WO2020008159A1 (fr) | 2020-01-09 |
| FR3083659B1 (fr) | 2020-08-28 |
| JP2021529470A (ja) | 2021-10-28 |
| US11265372B2 (en) | 2022-03-01 |
| FR3083659A1 (fr) | 2020-01-10 |
| EP3818676A1 (fr) | 2021-05-12 |
| CA3103363A1 (fr) | 2020-01-09 |
| US20210105319A1 (en) | 2021-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10992691B2 (en) | Method and an apparatus to perform multi-connection traffic analysis and management | |
| US10454953B1 (en) | System and method for separated packet processing and static analysis | |
| EP2258084B1 (en) | Technique for classifying network traffic and for validating a mechanism for calassifying network traffic | |
| US8125908B2 (en) | Adaptive network traffic classification using historical context | |
| JP6162337B2 (ja) | アプリケーションアウェアネットワーク管理 | |
| US9674112B2 (en) | Application aware network virtualization | |
| WO2018172832A1 (en) | Methods and systems for evaluating network performance of an aggregated connection | |
| US20130294449A1 (en) | Efficient application recognition in network traffic | |
| KR102227933B1 (ko) | 통신 네트워크를 위한 방법 및 전자 제어 유닛 | |
| US20190215306A1 (en) | Rule processing and enforcement for interleaved layer 4, layer 7 and verb based rulesets | |
| JP7412363B2 (ja) | データストリームのプロトコルの識別 | |
| US11431677B2 (en) | Mechanisms for layer 7 context accumulation for enforcing layer 4, layer 7 and verb-based rules | |
| US20210120048A1 (en) | Voice over internet protocol (voip) call quality | |
| KR101344398B1 (ko) | 애플리케이션 인지와 트래픽 제어를 위한 라우터 장치 및 그 방법 | |
| JP2007228217A (ja) | トラフィック判定装置、トラフィック判定方法、及びそのプログラム | |
| KR101211147B1 (ko) | 네트워크 검사 시스템 및 그 제공방법 | |
| CN106961393B (zh) | 网络会话中udp报文的检测方法及装置 | |
| US20170187814A1 (en) | Managing apparatus and managing method for network traffic | |
| JP6184381B2 (ja) | 暗号化されたデータフローを分類する方法および装置、コンピュータプログラム、ならびに情報記憶手段 | |
| US20210152481A1 (en) | System and methods to filter out noisy application signatures to improve precision of first packet classification | |
| WO2021072744A1 (en) | Improved voice over internet protocol (voip) call quality |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220620 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230720 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230814 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231101 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231127 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231226 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7412363 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |