KR20120082415A - 데이터 네트워크상의 여러 흐름을 포함하는 통신 세션의 감독 - Google Patents
데이터 네트워크상의 여러 흐름을 포함하는 통신 세션의 감독 Download PDFInfo
- Publication number
- KR20120082415A KR20120082415A KR1020127008474A KR20127008474A KR20120082415A KR 20120082415 A KR20120082415 A KR 20120082415A KR 1020127008474 A KR1020127008474 A KR 1020127008474A KR 20127008474 A KR20127008474 A KR 20127008474A KR 20120082415 A KR20120082415 A KR 20120082415A
- Authority
- KR
- South Korea
- Prior art keywords
- flow
- data
- signature
- parent
- session
- Prior art date
Links
- 238000004891 communication Methods 0.000 title claims abstract description 15
- 238000000034 method Methods 0.000 claims abstract description 25
- 238000012544 monitoring process Methods 0.000 claims abstract description 7
- 238000004590 computer program Methods 0.000 claims description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 238000011176 pooling Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1083—In-session procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/80—Responding to QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/18—Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 데이터 네트워크상의 통신 세션을 감독하는 방법에 관한 것으로서, 상기 세션은 제 1 프로토콜을 사용하며 부모 흐름이라고 하는 제 1 데이터 흐름을 포함하며, 상기 부모 흐름은 상기 세션에 대한 제 2 프로토콜을 사용하며 자식 흐름이라고 하는 제 2 데이터 흐름을 설정하는데 적합한 데이터를 포함하며, 자식 흐름을 설정하도록 하는 데이터에 대한 부모 흐름을 검색(13)하는 단계; 상기 데이터를 사용하여 부모키(parent key)라고 하는 서명을 발생(15)시키고 저장(17)하는 단계; 상기 데이터 네크워크에서 제 2 프로토콜을 사용하여 데이터 흐름을 감시(19)하는 단계; 상기 흐름의 각각에 대한 서명을 생성(21)하는 단계; 상기 흐름의 각각에 대한 상기 서명과 부모키를 비교(23)하는 단계; 및 상기 비교가 긍정이라면, 당해 데이터 흐름이 세션의 자식 흐름임을 결정(25)하는 단계를 포함한다.
Description
본 발명은 데이터 네트워크상의 통신 세션을 감독하는 방법에 관한 것으로서, 상기 세션은 제 1 프로토콜을 사용하며 부모 흐름이라고 하는 제 1 데이터 흐름을 포함하며, 상기 부모 흐름은 상기 세션에 대한 제 2 프로토콜을 사용하며 자식 흐름이라고 하는 제 2 데이터 흐름을 확립하도록 하는 데이터를 포함한다. 또한, 상기 감독 방법을 구현하기 위한 컴퓨터 프로그램 제품에 관한 것이다.
현재 네트워크 어플리케이션은 일반적으로 태스크(task)를 수행하기 위해 하나 이상의 세션 및 프로토콜을 사용한다.
예컨대, 영상회의에서 발생되는 영상 통화 동안, RTP 세션(Real Time Protocol)은 SIP 세션(Session Initiation Protocol)에 의해 초기화될 것이며, RTP 세션의 파라미터는 SIP 세션에 의해 교환되는 정보에 의존할 것이다.
예컨대, 방화벽과 같은 네트워크 모니터링 장치는 서로 다른 프로토콜의 세션들 사이의 연결을 확립하는데 상태 머신(state machine)을 사용한다.
이런 해결책은, 상태 머신의 동작이 각각의 새로운 네트워크 어플리케이션에 대해 정의되어야 하기 때문에, 이런 장치의 복잡성을 증가시키는 단점을 가진다. 또한, 서로 다른 흐름을 처리하는 것은 자원-집약적일 수 있어서, 이런 장치를 통해 이용가능한 대역폭을 제한하거나, 또는 비싼 머신을 개발하거나 모니터되는 데이터의 양을 제한할 필요가 있다.
따라서, 하드웨어 및 구현 자원의 관점에서 멀티-프로토콜 네트워크 어플리케이션을 더 효율적으로 모니터하는 감독 방법 및 시스템을 구비하는 것이 이점적이다.
하나 이상의 상기 단점을 극복하기 위해, 데이터 네트워크상의 통신 세션을 감독하는 방법으로서, 상기 세션은 제 1 프로토콜을 사용하며 부모 흐름이라고 하는 제 1 데이터 흐름을 포함하며, 상기 부모 흐름은 상기 세션에 대한 제 2 프로토콜을 사용하며 자식 흐름이라고 하는 제 2 데이터 흐름을 확립하도록 하는 데이터를 포함하며, 자식 흐름을 확립하도록 하는 데이터에 대한 부모 흐름을 검색하는 단계; 상기 데이터를 사용하여 부모키(parent key)라고 하는 서명을 발생시키고 저장하는 단계; 상기 데이터 네크워크에서 제 2 프로토콜을 사용하여 데이터 흐름을 감시하는 단계; 상기 흐름 각각에 대한 서명을 생성하는 단계; 상기 흐름 각각에 대한 상기 서명과 부모키를 비교하는 단계; 및 상기 비교가 긍정이라면, 해당 데이터 흐름이 세션의 자식 흐름임을 결정하는 단계를 포함한다.
적절한 서명으로 각 흐름을 정의하며 단순한 서명 비교를 수행함으로써, 컴퓨터에 의해 행해지도록 동작이 빠르고 단순하며, 상기 방법은 이점적으로 상태 머신을 정의할 필요 없이 쉽게 관련 흐름을 그룹화하도록 해준다.
단독으로 또는 결합하여 사용될 수 있는 본 발명의 특별한 특징 또는 이점은: 세션이 결정된 복수의 자식 흐름을 포함하며, 자식 흐름의 세트가 결정될 때까지 데이터 흐름이 감시되며; 자식 흐름은 세션에 대한 제 3 프로토콜을 사용하는 제 3 데이터 흐름을 확립하도록 하는 데이터를 포함하며, 서명은 이 데이터로부터 발생하고, 제 3 프로토콜을 사용하는 데이터 흐름이 세션에 해당하는 데이터 흐름이 결정될 때까지 감시되며; 상기 방법은 부모키가 발생하고 저장되는 부모 흐름을 각각 포함하는 복수의 세션을 모니터하며, 제 2 프로토콜을 사용하는 상기 흐름의 각각에 대해, 상기 흐름이 세션 중 하나의 자식 흐름인지를 결정하도록 서명이 부모키의 각각과 비교된다.
상기 방법은 이점적으로 다수의 부모 흐름, 자식 흐름 및 하나 이상의 부모 흐름 사이의 계승(inheritance)을 정의하는 임의의 타입의 트리 구조, 임의의 계승 레벨을 갖는 하나 이상의 자식 흐름에 적용됨을 유의해야 한다.
본 발명의 제 2 태양에서, 컴퓨터 프로그램 제품은 상기 프로그램이 컴퓨터에서 실행되는 경우, 상기 방법의 단계를 수행하기 위해 컴퓨터 판독가능한 매체에 저장되는 프로그램 코드를 포함한다.
본 발명의 제 3 태양에서, 데이터 네트워크상의 통신 세션을 감독하는 시스템으로서, 상기 세션은 제 1 프로토콜을 사용하며 부모 흐름이라고 하는 제 1 데이터 흐름을 포함하며, 상기 부모 흐름은 상기 세션에 대한 제 2 프로토콜을 사용하며 자식 흐름이라고 하는 제 2 데이터 흐름을 확립하도록 하는 데이터를 포함하며,자식 흐름을 확립하도록 하는 데이터에 대한 부모 흐름을 검색하기 위한 제 1 흐름 분석기; 이 데이터를 사용하여 부모키라고 하는 서명을 발생시키기 위한 제 1 서명 발생기; 서명을 저장하기 위한 메모리; ㄴ데이터 네크워크에서 제 2 프로토콜을 사용하여 데이터 흐름을 감시하기 위한 제 2 흐름 분석기; 이 흐름의 각각에 대한 제 2 서명 발생기; 이 흐름의 각각의 서명과 부모키를 비교하기 위한 비교기; 및 비교기의 결과가 긍정이라면, 세션의 자식 흐름으로써 서명에 해당하는 흐름을 태그하기 위한 태거(tagger)를 포함한다.
본 발명의 어느 실시예에서, 상기 시스템은 데이터 네트워크에 의해 연결된 적어도 2개의 장치를 포함하며, 제 1 장치는 적어도 메모리, 서명 비교기 및 태거를 포함하며, 제 2 장치는 적어도 제 1 흐름 분석기, 제 1 서명 발생기 및 발생된 신호를 제 1 장치로 전송하기 위한 인터페이스를 포함한다. 또한, 상기 시스템은 데이터 네트워크에 의해 제 1 장치와 연결된 적어도 하나의 제 3 장치를 포함하며, 제 3 장치는 적어도 제 2 흐름 분석기, 제 2 서명 발생기 및 발생된 신호를 제 1 장치로 전송하기 위한 인터페이스를 포함할 수 있다.
본 발명의 내용 중에 포함되어 있다.
본 발명은 단지 예로써 제공된 하기의 상세한 설명을 하고, 첨부된 도면을 참조함으로써 더 잘 이해될 것이다:
도 1은 데이터 네트워크의 개략도이다.
도 2는 본 발명의 일실시예에 따른 방법의 흐름도이다.
도 3은 본 발명의 일실시예에 따른 감독 시스템의 개략도이다.
도 4는 본 발명의 제 2 실시예에 따른 감독 시스템의 개략도이다.
도 1은 데이터 네트워크의 개략도이다.
도 2는 본 발명의 일실시예에 따른 방법의 흐름도이다.
도 3은 본 발명의 일실시예에 따른 감독 시스템의 개략도이다.
도 4는 본 발명의 제 2 실시예에 따른 감독 시스템의 개략도이다.
도 1을 참조하면, 디지털 데이터 네트워크(1)는 다수의 장치(3)와 상호연결된다. 감독 시스템(5)은 장치(3) 사이에 교환된 데이터 흐름을 캡처하도록 이런 네트워크에 연결된다.
시스템(5)은 네트워크(1) 상을 지나면서 통신 세션을 모니터한다. "세션" 또는 어플리케이션 세션은 소정의 네트워크 어플리케이션에 의해 발생된 데이터 교환의 세트이다.
예컨대, 잘 알려진 대로, 제 1 장치가 FTP 프로토콜을 사용하여 제 2 장치로 파일을 전송하고자 하는 경우, 제 1 장치 및 제 2 장치는 포트(21)에서 TCP 프로토콜을 사용하는 제 1 교환에서 시작한 후, 가변적이나 1024보다 큰 포트 번호에서 TCP 프로토콜을 사용하는 FTP-DATA를 사용하여 실제 파일을 전송하는 것에 동의한다. 이런 교환 모두가 함께 세션을 구성한다.
포트(21)의 제 1 TCP 교환 및 FTP-DATA를 이용하는 전송은 이하 서브 섹션 또는 단순히 데이터 흐름이라 할 것이다.
제 1 서브 섹션은 부모 서브 섹션 또는 부모 흐름이라고 할 것이며, 이는 두 장치 사이의 데이터 교환을 가능하게 하기 때문에 자식 서브 섹션 또는 자식 흐름이라 일컫는 제 2 서브 섹션을 확립하도록 한다.
섹션을 모니터하기 위해, 시스템(5)은 도 2에 도시된 다음의 방법을 적용한다.
전송된 데이터를 분석함에 의해, 시스템은 어플리케이션 섹션이 부모 흐름의 형태로 확립되었던 단계(11)에서 검출한다.
그 다음, 단계(13)에서, 시스템(5)은 자식 흐름을 확립하는데 사용하는 데이터를 찾아서 부모 흐름을 분석한다. 예컨대, FTP 섹션에서, 시스템(5)은 파일 전송이 발생할 포트 번호를 결정하도록 송신된 패킷을 분석할 것이다.
일단 이 데이터가 수집되면, 시스템(5)은 단계(15)에서 부모키라고 하는 서명을 발생시키도록 이 데이터를 사용한다. 예컨대, FTP 섹션에 대해, 시스템(5)은 소스 장치, 수신 장치 및 포트 번호의 IP 주소로부터 서명을 발생시킨다. 예컨대, 이런 서명은 이 데이터에 대한 해쉬값(hash value)이다.
이런 부모키는 단계(17)에서 시스템(5)에 저장된다.
그 다음, 시스템(5)은, 예컨대 흐름들이 자식 흐름과 호환되는 프로토콜을 이용하기 때문에, 자식 흐름에 대응할 수 있는 흐름들을 단계(19)에서 모니터한다.
이들 흐름의 각각에 대해, 단계(21)에서 서명을 계산한다. 이런 서명의 계산은 부모키 계산과 유사하다. 에컨대, FTP 세션에 대해, 두 장치의 IP 주소 및 포트 번호에 대한 해쉬키를 계산한다.
이런 서명은 단계(23)에서 부모키와 비교된다.
비교가 긍정이라면, 대응하는 흐름은 찾고 있는 자식 흐름이며, 이는 단계(25)이다.
명확성을 위해, 하기의 설명은 하나의 부모 흐름과 하나의 자식 흐름으로 제한된다. 그러나, 상기 방법은 다수의 부모 흐름 및 자식 흐름으로 일반화된다.
따라서, 세션이 하나의 부모 흐름과 다수의 자식 흐름으로 구성된다면, 시스템은 필요로 하는 많은 부모키를 계산하며, 모든 자식 흐름이 발견될 때까지 모든 흐름을 모니터한다.
반대로, 여러 세션, 따라서 여러 부모 흐름이 병렬로 모니터될 수 있다.
그 다음, 흐름 서명의 비교는 대응하는 부모키가 있을 때까지 모든 부모키에 대해 이루어지므로, 관련된 세션을 정의한다. 대응하는 키가 없다면, 이는 흐름이 모니터된 세션의 어디에도 속하지 않음을 의미한다.
또한, 상기 방법은 다수의 계층 레벨을 포함하는 세션에 쉽게 적용될 수 있으며, 이는 자식 흐름이 다른 흐름을 확립하기 위한 데이터를 포함하고 그 후 그 자식 흐름인 이런 다른 흐름에 대한 부모 흐름으로써 작용함을 의미한다. 자식 흐름에 의해 수행된 연결 데이터에 기반하여, 시스템은 잠재적 자식 흐름의 서명이 비교되는 부모키를 정의한다.
상기 방법의 정확한 구현은 소기의 기술적 특징 및 프로세싱 시스템의 용량에 따라 서로 다른 형태를 취할 수 있다.
예컨대, 부모키의 세트는 세션 이름인 속성을 갖는 정렬된 인덱스의 벡터에 대응할 수 있다. 일단 흐름의 서명이 계산되면, 부모키(들)에 대한 검색과 비교 및 세션으로의 흐름의 할당은 그 후 인덱스-기반 연산에 대응하는데, 이는 자원 및 속도의 면에서 매우 효율적인 컴퓨터 연산이다. 또한, 이는 다수의 세션에 대한 감독 연산을 풀링(pooling)하도록 한다.
따라서, 감독 시스템(5)은, 도 3에 도시된 대로, 자식 흐름을 확립하도록 하는 데이터에 대한 부모 흐름을 검색하기 위한 제 1 흐름 분석기(31); 상기 데이터를 사용하여 부모키라고 하는 서명을 발생시키기 위한 제 1 서명 발생기(33); 상기 서명을 저장하기 위한 메모리(35); 상기 데이터 네크워크에서 제 2 프로토콜을 사용하여 데이터 흐름을 감시하기 위한 제 2 흐름 분석기(37); 상기 흐름의 각각에 대한 제 2 서명 발생기(39); 상기 흐름의 각각의 상기 서명과 부모키를 비교하기 위한 비교기(41); 및 비교기의 결과가 긍정이라면, 상기 세션의 자식 흐름으로써 서명에 해당하는 흐름을 태그하기 위한 태거(43)를 포함한다.
이런 감독 시스템은 전용 전자 회로로써 또는 프로그램이 컴퓨터상에 실행되는 경우 감독 방법의 단계를 구현하는 컴퓨터-판독가능한 매체에 저장된 프로그램 코드를 포함하는 컴퓨터 프로그램을 갖는 컴퓨터를 상세히 프로그래밍하여 구현될 수 있다. 특히, 이런 컴퓨터는 네트워크상의 전송, 키 및 서명을 발생시키는 프로세서에 연결된 랜덤 액세스 메모리, 및 예컨대, 서명 생성 규칙이 저장된 하드디스크 드라이브일 수 있는 비휘발성 메모리를 리슨(listen)할 수 있게 하는 네트워크 인터페이스를 포함한다.
이런 시스템의 특별히 관심을 끄는 하나의 실시예는, 도 4처럼, 시스템을 여러 분산된 장치로 나눈 것으로 구성된다. 흐름에 매우 근접하여 설치된 제 1 일련의 장치(50)는 흐름 분석기(31, 37) 및 서명 발생기(33, 39)를 포함한다. 그 다음, 각각은, 인터페이스(52)에 연결된 통신 인터페이스(56)에 부가하여, 서명을 저장하는 비휘발성 메모리(35), 서명 비교기(41) 및 태거(43)를 포함하는 중앙 장치(54)와의 통신 인터페이스(52)를 포함한다. 또한, 이런 태거는 흐름이 생산되는 곳에 근접하여 흐름을 태그하기 위해 제 1 장치(50)에서 발견될 수 있다.
본 발명은 도면 및 상기 상세한 설명에서 도시되고 기술되었다. 많은 변형의 실시예가 가능하다.
특히, 감독 시스템은, 흐름을 감시하고 부모 흐름 및 자식 흐름 모두에 대한 서명을 발생시킬 수 있는, 단지 단일의 흐름 분석기 및 단일의 서명 발생기를 포함할 수 있다. 또는, 속도를 증가시키기 위해, 프로토콜의 타입만큼 많은 상기 구성들이 있을 수 있다.
청구항에서, "포함하다"란 용어는 다른 구성요소를 배제하는 것은 아니며, 부정관사 "a"는 복수의 의미를 배제하는 것은 아니다.
Claims (8)
- 데이터 네트워크상의 통신 세션을 감독하는 방법으로서,
상기 세션은 제 1 프로토콜을 사용하며 부모 흐름이라고 하는 제 1 데이터 흐름을 포함하며, 상기 부모 흐름은 상기 세션에 대한 제 2 프로토콜을 사용하며 자식 흐름이라고 하는 제 2 데이터 흐름을 확립하도록 하는 데이터를 포함하며,
자식 흐름을 확립하도록 하는 데이터에 대한 부모 흐름을 검색(13)하는 단계;
상기 데이터를 사용하여 부모키(parent key)라고 하는 서명을 발생(15)시키고 저장(17)하는 단계;
상기 데이터 네크워크에서 제 2 프로토콜을 사용하여 데이터 흐름을 감시(19)하는 단계;
상기 흐름 각각에 대한 서명을 생성(21)하는 단계;
상기 흐름 각각에 대한 상기 서명과 부모키를 비교(23)하는 단계; 및
상기 비교가 긍정이라면, 해당 데이터 흐름이 세션의 자식 흐름임을 결정(25)하는 단계를 포함하는 데이터 네트워크상의 통신 세션의 감독 방법. - 제 1 항에 있어서,
상기 세션은 결정된 복수의 자식 흐름을 포함하며, 자식 흐름의 세트가 결정될 때까지 상기 데이터 흐름이 감시되는 데이터 네트워크상의 통신 세션의 감독 방법. - 제 1 항 또는 제 2 항에 있어서,
상기 자식 흐름은 상기 세션에 대한 제 3 프로토콜을 사용하는 제 3 데이터 흐름을 확립하도록 하는 데이터를 포함하며, 서명은 상기 데이터를 사용하여 발생하고, 제 3 프로토콜을 사용하는 데이터 흐름이 세션에 해당하는 데이터 흐름이 결정될 때까지 감시되는 데이터 네트워크상의 통신 세션의 감독 방법. - 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
상기 방법은 부모키가 발생하고 저장되는 부모 흐름을 각각 포함하는 복수의 세션을 모니터하며, 제 2 프로토콜을 사용하는 상기 흐름의 각각에 대해, 상기 흐름이 상기 세션 중 하나의 자식 흐름인지를 결정하도록 서명이 부모키의 각각과 비교되는 데이터 네트워크상의 통신 세션의 감독 방법. - 프로그램이 컴퓨터에서 실행되는 경우, 제 1 항 내지 제 4 항 중 어느 한 항에 따른 방법의 단계를 수행하기 위해 컴퓨터 판독가능한 매체에 저장되는 프로그램 코드를 포함하는 컴퓨터 프로그램 제품.
- 데이터 네트워크상의 통신 세션을 감독하는 시스템으로서,
상기 세션은 제 1 프로토콜을 사용하며 부모 흐름이라고 하는 제 1 데이터 흐름을 포함하며, 상기 부모 흐름은 상기 세션에 대한 제 2 프로토콜을 사용하며 자식 흐름이라고 하는 제 2 데이터 흐름을 확립하도록 하는 데이터를 포함하며,
자식 흐름을 확립하도록 하는 데이터에 대한 부모 흐름을 검색하기 위한 제 1 흐름 분석기(31);
상기 데이터를 사용하여 부모키라고 하는 서명을 발생시키기 위한 제 1 서명 발생기(33);
상기 서명을 저장하기 위한 메모리(35);
상기 데이터 네크워크에서 제 2 프로토콜을 사용하여 데이터 흐름을 감시하기 위한 제 2 흐름 분석기(37);
상기 흐름의 각각에 대한 제 2 서명 발생기(39);
상기 흐름의 각각의 상기 서명과 부모키를 비교하기 위한 비교기(41); 및
비교기의 결과가 긍정이라면, 상기 세션의 자식 흐름으로써 서명에 해당하는 흐름을 태그하기 위한 태거(43)를 포함하는 데이터 네트워크상의 통신 세션의 감독 시스템. - 제 6 항에 있어서,
상기 시스템은 데이터 네트워크에 의해 연결된 적어도 2개의 장치를 포함하며, 제 1 장치는 적어도 메모리, 서명 비교기 및 태거를 포함하며, 제 2 장치는 적어도 제 1 흐름 분석기, 제 1 서명 발생기 및 발생된 신호를 제 1 장치로 전송하기 위한 인터페이스를 포함하는 데이터 네트워크상의 통신 세션의 감독 시스템. - 제 7 항에 있어서,
상기 시스템은 데이터 네트워크에 의해 제 1 장치와 연결된 적어도 하나의 제 3 장치를 포함하며, 제 3 장치는 적어도 제 2 흐름 분석기, 제 2 서명 발생기 및 발생된 신호를 제 1 장치로 전송하기 위한 인터페이스를 포함하는 데이터 네트워크상의 통신 세션의 감독 시스템.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0956161A FR2949934B1 (fr) | 2009-09-09 | 2009-09-09 | Surveillance d'une session de communication comportant plusieurs flux sur un reseau de donnees |
| FR0956161 | 2009-09-09 | ||
| PCT/FR2010/051823 WO2011030045A1 (fr) | 2009-09-09 | 2010-09-01 | Surveillance d'une session de communication comportant plusieurs flux sur un reseau de donnees |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20120082415A true KR20120082415A (ko) | 2012-07-23 |
| KR101703805B1 KR101703805B1 (ko) | 2017-02-07 |
Family
ID=42079062
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020127008474A KR101703805B1 (ko) | 2009-09-09 | 2010-09-01 | 데이터 네트워크상의 여러 흐름을 포함하는 통신 세션의 감독 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US20120166666A1 (ko) |
| EP (1) | EP2476237A1 (ko) |
| JP (1) | JP5696147B2 (ko) |
| KR (1) | KR101703805B1 (ko) |
| CN (1) | CN102714652B (ko) |
| CA (1) | CA2773247A1 (ko) |
| FR (1) | FR2949934B1 (ko) |
| SG (1) | SG179043A1 (ko) |
| WO (1) | WO2011030045A1 (ko) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9246687B2 (en) * | 2007-02-28 | 2016-01-26 | Broadcom Corporation | Method for authorizing and authenticating data |
| US10320749B2 (en) * | 2016-11-07 | 2019-06-11 | Nicira, Inc. | Firewall rule creation in a virtualized computing environment |
| WO2018141392A1 (en) * | 2017-02-02 | 2018-08-09 | NEC Laboratories Europe GmbH | Firewall support for multipath connections |
| US10834011B2 (en) * | 2017-06-29 | 2020-11-10 | Itron Global Sarl | Packet servicing priority based on communication initialization |
| FR3089373B1 (fr) * | 2018-12-03 | 2020-11-27 | Thales Sa | Procédé et dispositif de mesure d’un paramètre représentatif d’un temps de transmission dans un tunnel de communication chiffré |
| CN111198807B (zh) * | 2019-12-18 | 2023-10-27 | 中移(杭州)信息技术有限公司 | 数据流分析方法、装置、计算机设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050220095A1 (en) * | 2004-03-31 | 2005-10-06 | Sankaran Narayanan | Signing and validating Session Initiation Protocol routing headers |
| US20050286494A1 (en) * | 2004-06-29 | 2005-12-29 | Michael Hollatz | Method and apparatus for dynamic VoIP phone protocol selection |
| US20060291450A1 (en) * | 2004-12-31 | 2006-12-28 | Sridhar Ramachandran | Methods and Apparatus for Forwarding IP Calls Through A Proxy Interface |
Family Cites Families (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7212522B1 (en) * | 1998-09-30 | 2007-05-01 | Cisco Technology, Inc. | Communicating voice over a packet-switching network |
| US6680933B1 (en) * | 1999-09-23 | 2004-01-20 | Nortel Networks Limited | Telecommunications switches and methods for their operation |
| US6816455B2 (en) * | 2001-05-09 | 2004-11-09 | Telecom Italia S.P.A. | Dynamic packet filter utilizing session tracking |
| US8004971B1 (en) * | 2001-05-24 | 2011-08-23 | F5 Networks, Inc. | Method and system for scaling network traffic managers using connection keys |
| EP1500156B1 (en) * | 2002-03-14 | 2007-09-12 | QuestAir Technologies Inc. | Hydrogen recycle for solid oxide fuel cell |
| US6856991B1 (en) * | 2002-03-19 | 2005-02-15 | Cisco Technology, Inc. | Method and apparatus for routing data to a load balanced server using MPLS packet labels |
| FI20020882A0 (fi) * | 2002-05-08 | 2002-05-08 | Stonesoft Oyj | Toisiinsa liittyvien yhteyksien käsittely palomuurissa |
| TWI222144B (en) * | 2002-07-23 | 2004-10-11 | Nanya Technology Corp | Test device for detecting the overlay shift between active area and deep trench capacitor in DRAM and the detection method thereof |
| US7953841B2 (en) * | 2002-08-22 | 2011-05-31 | Jds Uniphase Corporation | Monitoring an RTP data stream based on a phone call |
| US8296452B2 (en) * | 2003-03-06 | 2012-10-23 | Cisco Technology, Inc. | Apparatus and method for detecting tiny fragment attacks |
| US7020130B2 (en) * | 2003-03-13 | 2006-03-28 | Mci, Inc. | Method and apparatus for providing integrated voice and data services over a common interface device |
| US20070050777A1 (en) * | 2003-06-09 | 2007-03-01 | Hutchinson Thomas W | Duration of alerts and scanning of large data stores |
| US20050023801A1 (en) * | 2003-07-31 | 2005-02-03 | Adley Finley | Fin-ray tote-a-load |
| GB0321426D0 (en) * | 2003-09-12 | 2003-10-15 | Ericsson Telefon Ab L M | Data sharing in a multimedia communication system |
| US20050182836A1 (en) * | 2004-02-17 | 2005-08-18 | Johnson Teddy C. | Method for transparently auditing employee and contractor FTP usage |
| US7586851B2 (en) * | 2004-04-26 | 2009-09-08 | Cisco Technology, Inc. | Programmable packet parsing processor |
| US7624446B1 (en) * | 2005-01-25 | 2009-11-24 | Symantec Corporation | Efficient signature packing for an intrusion detection system |
| US7580356B1 (en) * | 2005-06-24 | 2009-08-25 | Packeteer, Inc. | Method and system for dynamically capturing flow traffic data |
| JP4073931B2 (ja) * | 2005-08-08 | 2008-04-09 | 株式会社ソニー・コンピュータエンタテインメント | 端末、通信装置、通信確立方法および認証方法 |
| JP2007068093A (ja) * | 2005-09-02 | 2007-03-15 | Nippon Telegraph & Telephone East Corp | Ip電話故障区間切り分けシステム及び方法 |
| US8274979B2 (en) * | 2005-12-30 | 2012-09-25 | Telecom Italia S.P.A. | Method and system for secure communication between a public network and a local network |
| WO2007085763A1 (fr) * | 2006-01-25 | 2007-08-02 | France Telecom | Systeme de fiabilisation de transmission de donnees multidiffusees |
| US8010689B2 (en) * | 2006-05-22 | 2011-08-30 | Mcafee, Inc. | Locational tagging in a capture system |
| DE602006014667D1 (de) * | 2006-06-23 | 2010-07-15 | Nippon Office Automation Co Lt | Protokoll- und Sitzunganalysator |
| JP2011503912A (ja) * | 2006-12-01 | 2011-01-27 | ソーナス ネットワークス, インコーポレイテッド | ネットワークのサービス妨害攻撃に対する防御のための情報選別及び監視制限 |
| US7940657B2 (en) * | 2006-12-01 | 2011-05-10 | Sonus Networks, Inc. | Identifying attackers on a network |
| US9917844B2 (en) * | 2006-12-17 | 2018-03-13 | Fortinet, Inc. | Detection of undesired computer files using digital certificates |
| US7706291B2 (en) * | 2007-08-01 | 2010-04-27 | Zeugma Systems Inc. | Monitoring quality of experience on a per subscriber, per session basis |
| US8413111B2 (en) * | 2008-10-02 | 2013-04-02 | Actiance, Inc. | Techniques for dynamic updating and loading of custom application detectors |
| US8578491B2 (en) * | 2008-12-11 | 2013-11-05 | Alcatel Lucent | Network based malware detection and reporting |
| KR20120019475A (ko) * | 2009-05-08 | 2012-03-06 | 세이블 네트웍스 인코포레이티드 | 데이터 통신 세션을 제어하기 위한 방법 및 장치 |
| US8068504B2 (en) * | 2009-05-18 | 2011-11-29 | Tresys Technology, Llc | One-way router |
-
2009
- 2009-09-09 FR FR0956161A patent/FR2949934B1/fr active Active
-
2010
- 2010-09-01 WO PCT/FR2010/051823 patent/WO2011030045A1/fr active Application Filing
- 2010-09-01 KR KR1020127008474A patent/KR101703805B1/ko active IP Right Grant
- 2010-09-01 US US13/394,444 patent/US20120166666A1/en not_active Abandoned
- 2010-09-01 EP EP10763796A patent/EP2476237A1/fr not_active Withdrawn
- 2010-09-01 CN CN201080051601.5A patent/CN102714652B/zh active Active
- 2010-09-01 JP JP2012528417A patent/JP5696147B2/ja active Active
- 2010-09-01 CA CA2773247A patent/CA2773247A1/fr not_active Abandoned
- 2010-09-01 SG SG2012016234A patent/SG179043A1/en unknown
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050220095A1 (en) * | 2004-03-31 | 2005-10-06 | Sankaran Narayanan | Signing and validating Session Initiation Protocol routing headers |
| US20050286494A1 (en) * | 2004-06-29 | 2005-12-29 | Michael Hollatz | Method and apparatus for dynamic VoIP phone protocol selection |
| US20060291450A1 (en) * | 2004-12-31 | 2006-12-28 | Sridhar Ramachandran | Methods and Apparatus for Forwarding IP Calls Through A Proxy Interface |
Also Published As
| Publication number | Publication date |
|---|---|
| FR2949934B1 (fr) | 2011-10-28 |
| JP2013504915A (ja) | 2013-02-07 |
| KR101703805B1 (ko) | 2017-02-07 |
| CN102714652A (zh) | 2012-10-03 |
| SG179043A1 (en) | 2012-04-27 |
| US20120166666A1 (en) | 2012-06-28 |
| WO2011030045A1 (fr) | 2011-03-17 |
| FR2949934A1 (fr) | 2011-03-11 |
| CN102714652B (zh) | 2016-01-20 |
| CA2773247A1 (fr) | 2011-03-17 |
| EP2476237A1 (fr) | 2012-07-18 |
| JP5696147B2 (ja) | 2015-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10355949B2 (en) | Behavioral network intelligence system and method thereof | |
| KR101703805B1 (ko) | 데이터 네트워크상의 여러 흐름을 포함하는 통신 세션의 감독 | |
| US11190428B2 (en) | Method and system for managing network nodes that implement a logical multi-node application | |
| WO2021052379A1 (zh) | 一种数据流类型识别方法及相关设备 | |
| CN108989136B (zh) | 业务端到端性能监控方法及装置 | |
| Di Mauro et al. | Availability evaluation of multi-tenant service function chaining infrastructures by multidimensional universal generating function | |
| Hireche et al. | Deep data plane programming and AI for zero-trust self-driven networking in beyond 5G | |
| JP2016528630A (ja) | アプリケーションアウェアネットワーク管理 | |
| Shahzadi et al. | Machine learning empowered security management and quality of service provision in SDN-NFV environment | |
| CN105939284B (zh) | 报文控制策略的匹配方法及装置 | |
| US20190319923A1 (en) | Network data control method, system and security protection device | |
| Elsayed et al. | Dealing with COVID-19 network traffic spikes [cybercrime and forensics] | |
| US11128546B2 (en) | Dynamic bypass tunnel instantiation based on analytical health risk heatmap | |
| KR20220074819A (ko) | 효율적인 서브그래프 검출을 위한 그래프 스트림 마이닝 파이프라인 | |
| CN104219221A (zh) | 一种网络安全流量生成方法和系统 | |
| US12047269B2 (en) | End-to-end flow visibility in a data network including service appliances | |
| CN106549969B (zh) | 数据过滤方法及装置 | |
| Zuccaro et al. | Distributed control in virtualized networks | |
| WO2015176516A1 (zh) | 一种业务流程的跟踪方法及装置 | |
| MOHAMMED et al. | AUTONOMOUS SYSTEM FOR NETWORK MONITORING AND SERVICE CORRECTION, IN IMS ARCHITECTURE. | |
| Yuan et al. | Harvesting unique characteristics in packet sequences for effective application classification | |
| Gill et al. | SP4: Scalable programmable packet processing platform | |
| Moraney et al. | Efficient detection of flow anomalies with limited monitoring resources | |
| JP2015032985A (ja) | 通信制御装置、通信制御方法、および通信制御システム | |
| Boonyopakorn | Applying Data Analytics to Findings of User Behaviour Usage in Network Systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20200129 Year of fee payment: 4 |