KR101234327B1 - 고속 네트워크들에 대한 트래픽 분석 - Google Patents
고속 네트워크들에 대한 트래픽 분석 Download PDFInfo
- Publication number
- KR101234327B1 KR101234327B1 KR1020077028561A KR20077028561A KR101234327B1 KR 101234327 B1 KR101234327 B1 KR 101234327B1 KR 1020077028561 A KR1020077028561 A KR 1020077028561A KR 20077028561 A KR20077028561 A KR 20077028561A KR 101234327 B1 KR101234327 B1 KR 101234327B1
- Authority
- KR
- South Korea
- Prior art keywords
- analysis
- analyzer
- level
- packets
- analyzer circuit
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Transition And Organic Metals Composition Catalysts For Addition Polymerization (AREA)
Abstract
본 발명은 통신 링크 상의 트래픽 분석 시스템을 제공하는바, 이 시스템은 다수의 링크들에 의해 서로 연결된 분석기 회로들을 구비하고 있으며, 여기서 각각의 분석기 회로는 통신 링크의 데이터 전송속도보다 낮은 데이터 전송속도를 가지며, 패킷들에 대해 각각 상이한 레벨의 분석을 수행하도록 구성된다. 제 1 분석기 회로에 의해 제 1 분석 레벨에서 분석된 패킷들로부터 추출된 정보는 제 2 분석 레벨로 전달되며, 제 2 분석 레벨에서는 제 2 분석기 회로에 의한 분석이 수행되고, 이 경우 제 2 분석기 회로에 의해 수행되는 추가 분석은 제 1 분석기 회로에 의해 수행된 분석에 따라 달라진다. 이러한 시스템 및 관련 방법은, 컴퓨터 네트워크들에 대한 효율적이고 실용적이며 개선된 트래픽 흐름 분석들을 가능하게 하여 고속의 과중한 트래픽 흐름을 평가할 수 있을 뿐만 아니라 새로게 개발되는 기술에 대한 개선된 프로토콜 분석을 가능하게 한다.
Description
본 발명은 컴퓨터 네트워크들에 관한 것이며, 특히 고속 접속 링크들에 대한 트래픽 흐름 분석에 관한 것이다.
트래픽 흐름 조사는 모니터링 및 분류를 위해 많은 처리 시간과 처리 능력을 필요로 하며, 트래픽 데이터(특히, 인터넷 트래픽 데이터)의 양과 속도 양쪽 모두는 엄청나게 증가하고 있다. 트래픽 흐름 분석을 위한 시스템들은 매우 빈번하게 여러 장애들과 부딪히게 되는데, 이러한 장애들은, 네트워크 트래픽의 의미 있고 신뢰가능하고, 그리고 유용한 분류 및 처리의 획득을 위해 요구되는 다양한 유형의 과중한 처리 때문에 트래픽 흐름의 통행 수준에서 발생한다.
데이터 네트워크 상에서의 트래픽의 분류는 그 분류에 따라 각각의 트래픽 흐름에 대해 채택될 동작에 관한 결정을 가능하게 한다. 즉, 데이터 패킷이 적절하게 처리될 수 있기 이전에, 트래픽 흐름의 분류는 네트워크 구성요소들로 하여금 데이터 패킷 내에 포함된 정보 및 데이터 패킷들의 다양한 특성에 따라 데이터 패킷들을 분류할 수 있도록 한다. 따라서, 정확하고 효율적인 데이터 처리는 패킷 분류의 신뢰가능한 방법들에 크게 의존한다. 패킷이 분류된 후에, 네트워크 구성요소들은 해당 패킷들을 어떻게 적절히 운용 및 처리할 것인지를 결정할 수 있다.
예를 들면, 방화벽에서, 보안 시스템 설정은 특정 전송을 막기 위해 프로토콜 속성의 인식에 일반적으로 의존하고 있으며, 그리고 서비스 품질(QoS)을 관리하기 위한 장치들에서, 이러한 장치들은 다양한 시나리오들을 설명하는 복잡한 규칙에 따라 데이터에 우선순위를 할당한다. 접속들 내에서 전달되는 데이터 패킷들과 이러한 시나리오들 간의 통신은 이러한 접속들을 분류하기 위한 기술들을 사용한다.
네트워크들을 제어 및 관리하는 동작들은 이러한 네트워크들 상의 디지털 데이터 스트림들을 생성하는 다양한 송신기들과 수신기들 간의 접속들의 분류를 필요로 한다. 이것은 강력하고 신뢰가능한 분류 방법들 및 이에 따른 트래픽 분석을 요구한다.
또한, 패킷들의 분석 및 분류는 종종, 프로토콜에 의해 실행되는 시맨틱 데이터 스트림에 사용된 프로토콜 명칭들 및 파라미터 명칭들의 순서화된 시퀀스 를 결정하는 것과 같이, 프로토콜 속성들을 구성하는 복잡한 태스크(task)와 관련한다. 상이한 프로토콜들을 인식할 그러한 그래프 또는 지식기반을 구축하는 것은, 프로토콜 변형들 및 새로운 의존성 링크들의 수뿐만 아니라 패킷 통신 네트워크들에 사용된 새로운 프로토콜들의 수의 증가로 인해 매우 어려운 태스크이다.
전형적으로, 데이터 패킷 관찰 태스크는, 예를 들어, 이러한 데이터 패킷들을 생성하고 접속들이 통과하는 프록시 서버와 같은 네트워크의 노드에 할당된다. 따라서, 기존의 트래픽 흐름 분석들은 일반적으로, 도 1에 도시된 것과 같은 컴퓨터 네트워크 시스템들 내에서 수행된다. 다양한 컴퓨터들 간의 고속 트래픽(예를 들어, 패킷들 또는 데이터그램들)을 분석하기 위한 트래픽 분석 시스템은 통신 링크(200)를 사용하여 제 2 네트워크(110)에 연결되는 제 1 네트워크(100)를 포함한다. 링크(200)는 제 1 네트워크(100)와 제 2 네트워크(110) 간의 어느 한쪽 방향 또는 양방향의 트래픽 흐름을 측정 및 분석하는 분석기(300)에 의해 분석된다. 네트워크(100)와 네트워크(110) 간의 트래픽은 보통 비지니스 네트워크들에서는 1Gbps이나 운영자의 네트워크의 코어에서는 수십 Gbps로 높을 수 있다.
상술한 바와 같이, 트래픽이 과중한 네트워크들에서 모든 트래픽을 정확하고 정밀하게 계속 분석하는 것은 어려운 일이다. 분석기(300)의 분석 및 측정 능력은 동시 흐름들의 수(N)(예를 들어, 트래픽 흐름 크기)와 각각의 흐름의 처리량(throughput)(T)(예를 들어, 트래픽 흐름 속도)에 의해 결정된다. N은 등록된 애플리케이션들의 콘텍스트(context)를 관리하는데 필요한 메모리의 양에 직접 영향을 미치고, 반면 T는 패킷들의 중대한 손실 없이 분석을 수행하는데 필요한 처리 능력에 직접 영향을 미친다. T는 시간의 경과에 따라 처리될 패킷들의 양을 정의하고, 그리고 결과적으로 각 패킷들에 할당될 수 있는 처리의 양을 정의한다.
공지된 시스템들에서, 각각의 패킷이 흐름의 상태에 기여하여 N과 관련되어 있는 크기의 데이터의 구조를 부담시키는 한, 처리의 양은 흐름(N)의 증가에 비례하여 증가한다. 따라서, 명백해지는 것으로, 소정의 물질 구조가 그 고유의 성능 및 구성과 관련된 동작상황을 제공하는바, 이것은 D를 감소시킴으로써 N을 증가시키는 것 혹은 N을 감소시킴으로써 D를 증가시키는 것을 가능하게 한다. 다시 말하면, N×D는 거의 일정하게 유지된다.
그러나, 기존의 컴퓨터 네트워크들의 현실 및 발전에 있어서는, N과 T 양쪽 모두가 동시에 비례하여 증가한다. 즉, 네트워크 트래픽의 크기와 속도는 더 이상 반비례하지 않고, N과 T 양쪽 모두 증가한다. 여기에 부가되는 것으로, 모니터링 및 분석을 위해 남겨진 트래픽 흐름의 방대함과 복잡성이 있다.
따라서, 컴퓨터 네트워크들에 대한 효율적이고 실용적이며 개선된 트래픽 흐름 분석들을 수행하여 예를 들어, VoIP(Voice over IP) 애플리케이션들과 같은 새로운 기술들에 대한 개선된 프로토콜 분석을 수행할 뿐 아니라 고속의 과중한 트래픽 흐름을 평가할 수 있도록 새로운 방법 및 시스템이 개발될 필요가 있다.
따라서, 본 발명의 목적은 통신 링크 상의 트래픽 분석을 위한 트래픽 분석 시스템을 제공하는 것이며, 이 트래픽 분석 시스템은 다수의 링크들에 의해 서로 연결되는 분석기 회로들을 구비하고 있으며, 여기서, 각각의 분석기 회로는 통신 링크의 데이터 전송속도보다 낮은 데이터 전송속도를 가지며, 패킷들에 대해 각각 상이한 레벨의 분석을 수행하도록 구성된다. 제 1 분석기 회로에 의해 제 1 분석 레벨에서 분석된 패킷들로부터 추출된 정보는 제 2 분석 레벨로 전달되며, 제 2 분석 레벨에서는 제 2 분석기 회로에 의한 분석이 수행되고, 제 2 분석기 회로에 의해 수행되는 추가 분석은 제 1 분석기 회로에 의해 수행된 분석에 따라 달라진다.
다음과 같은 특징들 중 하나 이상의 특징이 또한 포함될 수 있다.
본 발명의 일 실시형태에서, 각각 상이한 레벨의 분석을 수행하도록 구성된 제 1 분석기 회로와 제 2 분석기 회로는, 제 1 분석기 회로와 제 2 분석기 회로에 의해 수행된 분석에 의해 제공되는 상태 정보를 수신하기 위한 공통 메모리를 포함한다.
또 다른 실시형태에서, 각각 상이한 레벨의 분석을 수행하도록 구성된 제 1 분석기 회로와 제 2 분석기 회로는, 하위 레벨 분석기 회로와 상위 레벨 분석기 회로를 각각 포함하며, 여기서 하위 레벨 분석기 회로는 명시적(explicit) 레벨의 분석을 수행하도록 구성되고, 상위 레벨 분석기 회로는 암묵적(implicit) 레벨의 분석을 수행하도록 구성된다.
또 다른 실시형태에서, 명시적 레벨의 분석은, 패킷 헤더(packet header)가, 패킷 서명(packet signature)을 포뮬레이트(formulate)하기 위한 유용한 정보를 충분히 식별시키는 프로토콜(protocol)들을 인식하도록 구성된다.
더욱이, 본 발명은 또한, 다양한 네트워크들을 연결하는 통신 링크 상에서 패킷들의 분석을 수행함으로써 네트워크 트래픽 흐름을 조사하는 방법을 제공하는바, 이 방법은, 분석기 회로들을 구비한 트래픽 분석 시스템 내에서 연속하는 분석 레벨들을 설정하고, 상기 분석기 회로들은 상이한 계층들에서 각각 상이한 레벨의 분석을 수행하도록 구성되고, 그리고 상기 분석기 회로들은 링크들에 의해 서로 연결되며, 분석기 회로들 각각은 통신 링크의 데이터 전송속도보다 낮은 데이터 전송속도를 갖는다. 이 방법은 또한 분석기 회로들에 의해 분석된 상기 패킷들을 전달하는바, 그 전달 방식은 제 1 분석기 회로에 의해 제 1 분석 레벨에서 분석된 패킷들로부터 추출된 정보가 다음 분석 레벨인 제 2 분석 레벨로 전달로 전달되는 방식으로 이루어지며, 제 2 분석 레벨에서는 제 2 분석기 회로에 의한 분석이 수행되며, 이 방법은 후속하는 제 2 분석기 회로에 의해 수행되는 분석을 위해 제 1 분석기 회로에 의해 수행된 분석을 사용한다.
본 발명의 다른 특징들은 종속항에서 더 기재된다.
개선된 시스템 및 방법의 이러한 실시형태들 및 다른 실시형태들이 다음의 상세한 설명, 도면 및 특허청구범위로부터 명백하게 될 것이다.
도 1은 전형적인 트래픽 분석 시스템을 도식적으로 나타낸 도면이다.
도 2는 본 발명에 따른 일 실시예를 도식적으로 나타낸 도면이다.
도 3은 본 발명의 또 다른 실시예를 도식적으로 나타낸 도면이다.
도 2를 참조하면, 트래픽 분석 시스템(10)은 도 1의 트래픽 분석 시스템의 분석기(300)를 대체하는 계층적 분석기(310)를 포함한다.
계층적 분석기(310)는 제 1 네트워크(100')와 제 2 네트워크(110') 간의 통신 링크(200')를 통해 지나가는 트래픽 흐름에 대한 연속하는 분석 층을 정의한다. 결과적으로, 계층적 분석기(310)는 트래픽 흐름에 대한 제 1 레벨의 분석을 수행하고, 제 2 레벨의 분석은 분석기들(320a-320n)에 의해 수행되며, 제 3 레벨의 분석은 분석기들(330i-330j)에 의해 수행된다. 트래픽 분석 시스템(10)은, 통신 링크(200') 상의 패킷들의 흐름 크기 및 속도에 따라, 트래픽을 적절히 분석 및 분류하는데 필요한 만큼 많은 레벨들을 가질 수 있다.
계층적 분석기(310)와 분석기들(320a-320n)은 링크들(202a-202n)에 의해 연결되고, 그리고 통신 링크(200')를 통해 지나가는 패킷들의 수는 링크들(202a-202n)를 통해 지나가는 패킷들의 수보다 크다.
예를 들어, 제 1 분석 레벨에서, 계층적 분석기(310)는 제 1 레벨의 분류를 수행하는바, 즉, 패킷 유형, 헤더 식별부 등에 따라 패킷들을 분류하기 위한 제 1 동작을 수행한다. 또한, 계층적 분석기(310)는 패턴 인식 기술 혹은 패턴 매칭(pattern matching)과 같은 명시적 유형의 프로토콜 분석을 수행할 수 있다.
이러한 명시적 프로토콜들 중 하나가 이더넷 프로토콜(Ethernet protocol)인바, 여기서 이더넷 패킷 헤더는 프로토콜 스택 내의 후속하는 프로토콜이, 예를 들어, LLC 프로토콜인지 아니면 IP 프로토콜인지(가능하게는 그 버전(version)과 함께)를 특정한다. 유사하게, IP 프로토콜 하의 패킷 헤더는 프로토콜 스택 내의 후속하는 프로토콜이 TCP 프로토콜인지 아니면 UDP 프로토콜인지 아니면 ICMP 프로토콜인지를 특정한다. 비록 제 1 레벨의 분석이 명시적 유형의 프로토콜 분석에 속할 수 있지만, 반드시 이러한 것에만 한정되는 것은 아니다.
일단 하위 레벨에서 수행되는 제 1 레벨의 분석이 계층적 분석기(310)에 의해 수행되면, 제 2 레벨 분석기들, 즉 분석기들(320a-320n)은 제 1 레벨의 계층적 분석기(310)에 의해 행해진 이전의 분류에 따라 패킷들을 더 조사한다. 다시 말하면, 분석기들(320a-320n)은 상위 레벨에서 암묵적 유형의 분석을 수행한다(암묵적 프로토콜의 존재를 인식한다는 의미임). 프로토콜이 명확하게 (프로토콜 스택에서 해당 프로토콜에 선행하는) 프로토콜 헤더에 의해 용이하게 식별가능하지 않을 때, 이 프로토콜은 암묵적이라고 지칭된다. 포인트캐스트(Pointcast) 또는 카자(Kazaa)와 같은 수많은 애플리케이션 레벨의 프로토콜들이 이러한 경우에 해당하는바, 접속의 프로토콜 스택에서의 그 사용은, 일반적으로 사전 교섭(prior negotiations)에 의해 확립된 이들의 접속 콘텍스트에 따라 달라지는데, 이러한 사전 교섭은 접속 주변을 지나가는 패킷들의 흐름을 따르는 실시간 스캐닝(real-time scanning)으로 컴파일(compile)하기 어려운 것이다. 예를 들어, HTTP 프로토콜, 텔넷(Telnet) 프로토콜, FTP 프로토콜과 같은 특정의 공지된 프로토콜들은 명시적 프로토콜과 암묵적 프로토콜의 경계에 있다. 이러한 프로토콜들은, TCP 프로토콜 헤더에 표시된 예약 포트 번호가 목적지 표시자(이것은 운송되는 프로토콜을 명확하게 식별할 수 있게 하는바, 예를 들어, 번호 80은 HTTP 프로토콜에 대응하고, 번호 23은 텔넷 프로토콜에 대응하며, 번호 21은 FTP 프로토콜에 대응함)를 제공할 때, 명시적인 것으로 고려될 수 있다. 클라이언트 스테이션은, 예를 들어, TCP 하에서, 포트 번호 80을 사용하여, (서버 스테이션이 클라이언트 스테이션에 응답할 수 있게 하는) 피어 접속(peer connection)에 동적 포트 번호를 할당함으로써, 서버 스테이션과의 HTTP 쿼리 접속(query connection)을 확립한다. 서버 스테이션의 응답을 클라이언트 스테이션에 전송하기 위한 피어 접속을 통한 HTTP 프로토콜의 명시적 성질은, 쿼리 접속의 콘텍스트와 관련된 포트 번호의 동적 할당을 통해 약화된다. 또한, 클라이언트 스테이션이, HTTP 쿼리 접속을 위해 포트 번호 80과는 다른 포트 번호를 서버 스테이션과 사전에 교섭하는 것을 막는 것은 하나도 없다. 이러한 경우에, HTTP 프로토콜은 명시적이라기보다는 암묵적이다. 이것은 다른 프로토콜들에 대해서도 적용되며 기술은 이런 상황에 대처할 수 있다.
이후, 제 2 레벨의 분석은 제 1 레벨의 분석에 의해 제공된 정보 등을 보강한다. 후속적으로, 제 3 레벨 분석기들(330i-330j)과 같은 추가적 분석 레벨들이 부가됨으로써, 분석기들(330i-330j)은 이전의 제 2 분석 레벨에서 수행된 분석을 이용하게 되는바, 이러한 이전 레벨의 분석을 자기 자신의 추가적 분석을 사용하여 보강한다.
또한, 제 1 레벨의 분석의 또 다른 예로서, IP 소스, IP 목적지 주소(destination address)들, 운송 코드(transport code), 소스 포트(source port), 및 목적지 포트(destination port)에 관한 해쉬 키(hash key)를 계산하고, 그리고 애플리케이션 포트들을 사용하여 분류가 행해지는 제 2 레벨의 분석을 위해 패킷들을 분석기들(320a-320n)로 전달하고, 그리고 트래픽 흐름의 시맨틱 인식(semantic recognition)에 속하는 제 3 레벨의 분류를 수행하는 태스크는 분석기들(330i-330j)에 맡김으로써, 제 1 레벨의 계층적 분석기(310)가 제 1 레벨의 분석을 행하는 것을 고려할 수 있다. 예를 들어, 흐름의 시맨틱 인식은, WO 2004/017595에 설명된 바와 같이, 트래픽으로부터 중요한 패킷 요소들을 획득하기 위해 프로토콜 그래프와, 그리고 프로토콜과 관련된 모듈러 자가식별 메카니즘(modular self-identifying mechanism)을 사용하는 것을 포함할 수 있다.
또한 도 2를 참조하면, 트래픽 분석 시스템(10)의 모든 분석기들은 수행된 분석들과 관련된 상태 정보를 저장하는 공통 메모리(400)를 공유할 수 있다. 예를 들어, 상술한 시나리오에서, 분석기들(320a-320n)과 분석기들(330i-330j)이 공통 메모리(400)를 공유하는 것이 필요할 것이다. 사실, 분석기들(310, 320a-320n, 330i-330j)과, 그리고 서로 다른 후속의 레벨들로부터의 모든 분석기들이 동일한 메모리(400)를 공유하는 것이 필요할 것이다. 일 예는, 분석 태스크의 분할이 각각의 센서로부터의 리소스(resource)들의 사용 통계에 의존하는 때이다.
이제 도 3을 참조하면, 또 다른 트래픽 분석 시스템(20)이 제시되는바, 여기서, 계층적 레벨의 분석은, PC 컴퓨터들과 같은 수 개의 CPU들을 조합시킴으로써, 혹은 병렬 처리 아키텍처(parallel processing architecture)(예를 들어, 네트워크 프로세서)를 사용함으로써, 혹은 보다 광범위하게는 연속하는 분석 계층들의 조직화 및 관련 데이터의 공유를 가능하게 하는 임의의 다른 유형의 메카니즘을 사용함으로써, 독립된 처리 유닛들을 사용해서 구현된다.
도 3은, (고성능 통신 버스(900)를 통해 메모리(600), 저장 모듈(700) 및 종래의 마이크로프로세서(800)에 연결되는) 네트워크 프로세서(500)(기본 프로세서(elementary processor)들(510a-510x)의 집합체임)를 통해 지나가는 통신 링크(200") 상의 양방향 데이터 트래픽을 보여준다.
또한, 도 3에 예시된 바와 같이, 계층적 분석을 위한 양방향 데이터 트래픽을 분석할 때, 통신 링크(200")는 유입 패킷들(1000)을 유입단(205)에서 수신한다. 이러한 유입 패킷들(1000)은 먼저, 단계(210)에서, 기본 프로세서들(510a-510x) 중 하나에 의해 분석된다. 그 다음에, 유입 패킷들(1000)은, 단계(220)에서, 메모리(600)에 복사된다. 그 다음에, 예를 들어, 필요하다면, 유입 패킷들(1000)은, 단계(230)에서, 그 출력단(215)에서 통신 링크(200")에 복제된다. 이것은, 예를 들어, 수동적 분석이 모니터링 목적으로 수행되는 경우이다(하지만, 방화벽 애플리케이션들과 같은 다른 애플리케이션을 가지는 경우는 아님). 이와 병행하여, 동일한 단계들이 다른 패킷들에 대해 수행된다. 그 다음에, 메모리(600)에 저장된 패킷들(1000)은, 단계(240)에서, 종래의 마이크로프로세서(800)에 의해 처리되는바, 이 마이크로프로세서(800)는, 단계(250)에서, 패킷들을 분석하고 상태 정보를 저장 모듈(700)에 기입한다. 분석의 이러한 부분은 모든 패킷들이 아닌, 단지 일부 패킷만을 포함한다. 추가적으로, 모든 유입 패킷들(1000)을 분석하는 것은 병렬로 수행될 수 있고, 그리고 상기 복사 및 상기 복제뿐만 아니라 종래의 마이크로프로세서(800)를 사용하는 패킷들의 상기 처리와는 독립적으로 수행될 수 있다.
예를 들어, 종래의 마이크로프로세서(800)는, 패킷들을 신속하게 식별하고 트래픽 흐름에 관한 유용한 시맨틱 정보(semantic information)(예를 들어, 사용된 프로토콜들의 순서화된 시퀀스의 단계별 구성에 의한 네트워크 접속의 분류와 같은 것)를 추출하기 위해, 서로 다른 프로토콜들을 분석하는 것 및 서로 다른 프로토콜들의 콘텍스트 내의 패킷들을 분석하는 것(예를 들어, 암묵적 프로토콜 대 명시적 프로토콜)에 속하는 분석을 수행할 수 있다.
Claims (10)
- 복수의 네트워크들을 연결하는 통신 링크(200') 상의 패킷들의 트래픽 분석을 수행하는 트래픽 분석 시스템(traffic analyzing system)(10)으로서,상기 트래픽 분석 시스템은 복수의 링크들(202a-202n)에 의해 서로 연결된 복수의 분석기 회로들(310; 320a-320n; 330i-330j)을 포함하고, 상기 복수의 분석기 회로들 각각은 상기 통신 링크의 데이터 전송속도보다 낮은 데이터 전송속도를 가지며,상기 복수의 분석기 회로들은 상기 통신 링크를 따라 이동하는 패킷들에 대해 각각 상이한 레벨의 분석을 수행하도록 되어 있고, 제 1 분석기 회로에 의해 제 1 분석 레벨에서 분석된 패킷들로부터 추출된 정보는 제 2 분석 레벨로 전달되며, 상기 제 2 분석 레벨에서는 적어도 두 개의 제 2 분석기 회로들에 의한 분석이 병렬로 수행되고, 상기 제 2 분석기 회로들에 의해 병렬로 수행되는 분석은 상기 제 1 분석기 회로에 의해 수행된 분석에 따라 달라지며,상기 제 1 분석기 회로와 상기 제 2 분석기 회로는 각각 상이한 레벨의 분석을 수행하도록 되어 있고, 상기 제 1 분석기 회로는 하위 레벨 분석기 회로를 포함하며, 상기 제 2 분석기 회로는 상위 레벨 분석기 회로를 포함하고, 상기 하위 레벨 분석기 회로는 명시적 레벨(explicit level)의 분석을 수행하도록 되어 있고, 상기 상위 레벨 분석기 회로는 암묵적 레벨(implicit level)의 분석을 수행하도록 되어 있는 것을 특징으로 하는 트래픽 분석 시스템.
- 제1항에 있어서,각각 상이한 레벨의 분석을 수행하도록 되어 있는 상기 제 1 분석기 회로와 상기 제 2 분석기 회로는, 상기 제 1 분석기 회로와 상기 제 2 분석기 회로에 의해 수행된 분석에 의해 제공되는 상태 정보(state information)를 수신하기 위한 공통 메모리(common memory)(400)를 포함하는 것을 특징으로 하는 트래픽 분석 시스템.
- 삭제
- 제1항에 있어서,상기 명시적 레벨의 분석은, 패킷 헤더(packet header)가 패킷 서명(packet signature)을 포뮬레이트(formulate)하기 위한 유용한 정보를 충분히 식별시키는 프로토콜(protocol)들을 인식하도록 되어 있는 것을 특징으로 하는 트래픽 분석 시스템.
- 복수의 네트워크들을 연결하는 통신 링크(200') 상의 패킷들의 분석을 수행함으로써 네트워크의 트래픽 흐름(traffic flow)을 조사하는 방법으로서,- 복수의 분석기 회로들(310; 320a-320n; 330i-330j)을 포함하는 트래픽 분석 시스템(10) 내에 연속하는 분석 레벨들을 설정하는 단계와, 여기서 상기 복수의 분석기 회로들은, 상이한 계층들에서 각각 상이한 레벨의 분석을 수행하도록 되어 있으며 아울러 복수의 링크들(202a-202n)에 의해 서로 연결되어 있고, 상기 복수의 분석기 회로들 각각은 상기 통신 링크의 데이터 전송속도보다 낮은 데이터 전송속도를 가지며;- 상기 복수의 분석기 회로들에 의해 분석된 패킷들을 전달하는 단계와, 여기서 상기 전달의 방식은 제 1 분석기 회로에 의해 제 1 분석 레벨에서 분석된 패킷들로부터 추출된 정보가 다음 분석 레벨인 제 2 분석 레벨로 전달되는 방식으로 이루어지고, 상기 제 2 분석 레벨에서는 적어도 두 개의 제 2 분석기 회로들에 의한 분석이 병렬로 수행되며; 그리고- 상기 제 2 분석기 회로들에 의해 병렬로 수행되는 분석을 위해 상기 제 1 분석기 회로에 의해 수행된 분석을 사용하는 단계를 포함하여 구성되며,상기 제 1 분석기 회로와 상기 제 2 분석기 회로는 각각 상이한 레벨의 분석을 수행하도록 되어 있고, 상기 제 1 분석기 회로는 하위 레벨 분석기 회로를 포함하며, 상기 제 2 분석기 회로는 상위 레벨 분석기 회로를 포함하고, 상기 하위 레벨 분석기 회로는 명시적 레벨의 분석을 수행하도록 되어 있고, 상기 상위 레벨 분석기 회로는 암묵적 레벨의 분석을 수행하도록 되어 있는 것을 특징으로 하는 네트워크의 트래픽 흐름을 조사하는 방법.
- 제5항에 있어서,상기 연속하는 분석 레벨들을 설정하는 단계는,패킷들의 소스 주소(source address) 또는 서명을 해쉬 코딩(hash coding)함으로써 패킷들을 분류하여 상기 제 1 분석 레벨에서 상기 제 1 분석기 회로에 의해 수행된 분석을 정의하는 것과, 그리고상기 분류된 패킷들을 상기 제 2 분석 레벨의 상기 제 2 분석기 회로들로 전달하는 것을 포함하는 것을 특징으로 하는 네트워크의 트래픽 흐름을 조사하는 방법.
- 제5항 또는 제6항에 있어서,상기 제 1 분석 레벨과 상기 제 2 분석 레벨에서 수행된 분석에 근거하여 상기 트래픽 흐름의 시맨틱 인식(semantic recognition)을 제공하는 단계를 더 포함하는 것을 특징으로 하는 네트워크의 트래픽 흐름을 조사하는 방법.
- 시스템 내에서, 복수의 네트워크들을 연결하는 통신 링크(200") 상의 트래픽 분석을 수행하기 위해 네트워크의 트래픽 흐름을 조사하는 방법으로서,여기서, 상기 시스템은 제1항 또는 제2항 또는 제4항에 기재된 트래픽 분석 시스템이고, 통신 버스(900)를 통해 연결되는, 네트워크 프로세서(500), 메모리(600), 저장 모듈(700)을 더 포함하며, 상기 네트워크 프로세서(500)는 기본 프로세서(elementary processor)들(510a-510x)의 집합체이고, 상기 방법은,- 상기 통신 링크의 유입단(incoming end)(205)에 도착한 유입 패킷들(1000)을 상기 기본 프로세서들(510a-510x) 중 적어도 하나의 기본 프로세서에 의해 분석(210)하는 단계와;- 상기 패킷들을 상기 메모리에 복사(220)하는 단계와; 그리고- 상기 패킷들을 분석하고 상기 저장 모듈에 상태 정보를 기입(250)하기 위해 프로세서를 사용하여 상기 메모리에 저장된 상기 패킷들을 처리(240)하는 단계를 포함하여 구성되며,상기 복사하는 단계 및 상기 처리하는 단계와는 독립적으로 상기 유입 패킷들 모두에 대한 분석이 병렬로 수행되는 것을 특징으로 하는 네트워크의 트래픽 흐름을 조사하는 방법.
- 제8항에 있어서,상기 네트워크 프로세서는 병렬 처리 아키텍처(parallel processing architecture)를 포함하는 것을 특징으로 하는 네트워크의 트래픽 흐름을 조사하는 방법.
- 제8항에 있어서,상기 패킷들을 상기 통신 링크의 출력 링크(215)로 복제(230)하는 단계를 더 포함하며, 상기 복제하는 단계와는 독립적으로 상기 유입 패킷들 모두에 대한 분석이 병렬로 수행되는 것을 특징으로 하는 네트워크의 트래픽 흐름을 조사하는 방법.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP05291044.5 | 2005-05-13 | ||
| EP05291044A EP1722509B1 (en) | 2005-05-13 | 2005-05-13 | Traffic analysis on high-speed networks |
| PCT/EP2006/005329 WO2006120040A1 (en) | 2005-05-13 | 2006-05-12 | Traffic analysis on high-speed networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20080007672A KR20080007672A (ko) | 2008-01-22 |
| KR101234327B1 true KR101234327B1 (ko) | 2013-02-18 |
Family
ID=35170109
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020077028561A KR101234327B1 (ko) | 2005-05-13 | 2006-05-12 | 고속 네트워크들에 대한 트래픽 분석 |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US7729279B2 (ko) |
| EP (1) | EP1722509B1 (ko) |
| JP (1) | JP4782827B2 (ko) |
| KR (1) | KR101234327B1 (ko) |
| CN (1) | CN101176306B (ko) |
| AT (1) | ATE428238T1 (ko) |
| CA (1) | CA2607607C (ko) |
| DE (1) | DE602005013754D1 (ko) |
| ES (1) | ES2323244T3 (ko) |
| WO (1) | WO2006120040A1 (ko) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100726352B1 (ko) * | 2006-03-28 | 2007-06-08 | 중앙대학교 산학협력단 | 통신량 증감에 따른 네트워크 트래픽의 분석시스템과 이를이용한 분석방법 |
| JP4126707B2 (ja) * | 2006-07-28 | 2008-07-30 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 情報システムの状態を解析する技術 |
| US8396945B2 (en) * | 2006-09-11 | 2013-03-12 | Alcatel Lucent | Network management system with adaptive sampled proactive diagnostic capabilities |
| FR2961985B1 (fr) | 2010-06-23 | 2013-06-28 | Qosmos | Dispositif de collecte de donnees pour la surveillance de flux dans un reseau de donnees |
| US8792491B2 (en) | 2010-08-12 | 2014-07-29 | Citrix Systems, Inc. | Systems and methods for multi-level quality of service classification in an intermediary device |
| US8638795B2 (en) | 2010-08-12 | 2014-01-28 | Citrix Systems, Inc. | Systems and methods for quality of service of encrypted network traffic |
| US8990380B2 (en) | 2010-08-12 | 2015-03-24 | Citrix Systems, Inc. | Systems and methods for quality of service of ICA published applications |
| US8737204B2 (en) | 2011-05-02 | 2014-05-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Creating and using multiple packet traffic profiling models to profile packet flows |
| US20130148513A1 (en) * | 2011-12-08 | 2013-06-13 | Telefonaktiebolaget Lm | Creating packet traffic clustering models for profiling packet flows |
| US8953451B2 (en) * | 2012-06-14 | 2015-02-10 | The Boeing Company | Apparatus, methods, and systems for character set surveying of network traffic |
| US9692654B2 (en) | 2014-08-19 | 2017-06-27 | Benefitfocus.Com, Inc. | Systems and methods for correlating derived metrics for system activity |
| SG11201701570RA (en) * | 2014-09-02 | 2017-03-30 | Nasdaq Inc | Data packet processing methods, systems, and apparatus |
| FR3043872B1 (fr) | 2015-11-12 | 2019-05-24 | Qosmos Tech | Analyse asynchrone d'un flux de donnees |
| FR3083659B1 (fr) | 2018-07-06 | 2020-08-28 | Qosmos Tech | Identification de protocole d'un flux de donnees |
| CN112235160B (zh) * | 2020-10-14 | 2022-02-01 | 福建奇点时空数字科技有限公司 | 一种基于协议数据深层检测的流量识别方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050083935A1 (en) * | 2003-10-20 | 2005-04-21 | Kounavis Michael E. | Method and apparatus for two-stage packet classification using most specific filter matching and transport level sharing |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5590116A (en) * | 1995-02-09 | 1996-12-31 | Wandel & Goltermann Technologies, Inc. | Multiport analyzing, time stamp synchronizing and parallel communicating |
| RU2226529C2 (ru) * | 1997-12-19 | 2004-04-10 | Шеринг Акциенгезельшафт | Производные ортоантраниламида в качестве антикоагулянтов, фармацевтическая композиция и способ лечения |
| US6724729B1 (en) * | 1998-12-30 | 2004-04-20 | Finisar Corporation | System analyzer and method for synchronizing a distributed system |
| US7539749B2 (en) * | 2000-04-20 | 2009-05-26 | Amdocs (Israel) Ltd. | Method and apparatus for session reconstruction |
| US20020161881A1 (en) * | 2001-04-30 | 2002-10-31 | Adtran, Inc. | Array-configured packet analyzer |
| US7203173B2 (en) * | 2002-01-25 | 2007-04-10 | Architecture Technology Corp. | Distributed packet capture and aggregation |
| FR2842970B1 (fr) * | 2002-07-29 | 2005-03-18 | Qosmos | Procede de reconnaissance et d'analyse de protocoles dans des reseaux de donnees |
| US7894533B2 (en) * | 2002-09-11 | 2011-02-22 | Tektronix, Inc. | Analyzing a transport stream |
| JP2004201028A (ja) * | 2002-12-18 | 2004-07-15 | Ntt Docomo Inc | パケット分析装置、パケット分析方法、パケット分析プログラム |
| WO2006081215A2 (en) * | 2005-01-24 | 2006-08-03 | Daintree Networks Pty.Ltd. | Network analysis system and method |
-
2005
- 2005-05-13 DE DE602005013754T patent/DE602005013754D1/de active Active
- 2005-05-13 ES ES05291044T patent/ES2323244T3/es active Active
- 2005-05-13 EP EP05291044A patent/EP1722509B1/en active Active
- 2005-05-13 AT AT05291044T patent/ATE428238T1/de active
-
2006
- 2006-05-12 US US11/914,058 patent/US7729279B2/en active Active
- 2006-05-12 CA CA2607607A patent/CA2607607C/en active Active
- 2006-05-12 JP JP2008510522A patent/JP4782827B2/ja active Active
- 2006-05-12 CN CN2006800165101A patent/CN101176306B/zh active Active
- 2006-05-12 WO PCT/EP2006/005329 patent/WO2006120040A1/en active Application Filing
- 2006-05-12 KR KR1020077028561A patent/KR101234327B1/ko active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050083935A1 (en) * | 2003-10-20 | 2005-04-21 | Kounavis Michael E. | Method and apparatus for two-stage packet classification using most specific filter matching and transport level sharing |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4782827B2 (ja) | 2011-09-28 |
| DE602005013754D1 (de) | 2009-05-20 |
| US7729279B2 (en) | 2010-06-01 |
| US20080198759A1 (en) | 2008-08-21 |
| EP1722509A1 (en) | 2006-11-15 |
| JP2008541587A (ja) | 2008-11-20 |
| ES2323244T3 (es) | 2009-07-09 |
| CA2607607C (en) | 2015-11-24 |
| KR20080007672A (ko) | 2008-01-22 |
| CN101176306A (zh) | 2008-05-07 |
| CN101176306B (zh) | 2010-09-15 |
| ATE428238T1 (de) | 2009-04-15 |
| CA2607607A1 (en) | 2006-11-16 |
| WO2006120040A1 (en) | 2006-11-16 |
| EP1722509B1 (en) | 2009-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101234327B1 (ko) | 고속 네트워크들에 대한 트래픽 분석 | |
| KR101234326B1 (ko) | 분산 트래픽 분석 | |
| Sarhan et al. | Data Inspection in SDN Network | |
| EP2630585B1 (en) | Aggregating multiple functions into a single platform | |
| JP4025569B2 (ja) | ポリシーベースネットワーク制御方法 | |
| CN106105115A (zh) | 网络环境中由服务节点始发的服务链 | |
| US20130294449A1 (en) | Efficient application recognition in network traffic | |
| Bremler-Barr et al. | Openbox: Enabling innovation in middlebox applications | |
| JP2021529470A (ja) | データストリームのプロトコルの識別 | |
| Shah et al. | Implementation and performance analysis of firewall on open vSwitch | |
| Khin et al. | Reducing Packet-In Messages in OpenFlow Networks | |
| Silva et al. | A modular traffic sampling architecture: bringing versatility and efficiency to massive traffic analysis | |
| Pacheco et al. | A wearable Machine Learning solution for Internet traffic classification in Satellite Communications | |
| Bolodurina et al. | Development models and intelligent algorithms for improving the quality of service and security of multi-cloud platforms | |
| Kellaway | Accelerating the SCION IP Gateway using programmable data planes | |
| Li et al. | Programmable network traffic classification with OpenFlow extensions | |
| Gallego-Madrid et al. | Fast traffic processing in multi-tenant 5G environments: A comparative performance evaluation of P4 and eBPF technologies | |
| Pereira et al. | Improving traffic classification and policing at application layer | |
| İpek et al. | Enhancing Video Transmission with Machine Learning based Routing in Software-Defined Networks | |
| Al-Saadi | Optimizing flow routing using network performance analysis | |
| Dhanapani et al. | Service Function Chaining on SDN/NFV based programmable data plane | |
| Xin et al. | Based on Edge Node Network Service Recognition Research | |
| Kumar et al. | Model Survey on Policy Making for Software Defined Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20160125 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20170125 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20180125 Year of fee payment: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20190125 Year of fee payment: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20200129 Year of fee payment: 8 |