RU2014124009A - Метод и система потоковой передачи данных для обработки сетевых метаданных - Google Patents

Метод и система потоковой передачи данных для обработки сетевых метаданных Download PDF

Info

Publication number
RU2014124009A
RU2014124009A RU2014124009A RU2014124009A RU2014124009A RU 2014124009 A RU2014124009 A RU 2014124009A RU 2014124009 A RU2014124009 A RU 2014124009A RU 2014124009 A RU2014124009 A RU 2014124009A RU 2014124009 A RU2014124009 A RU 2014124009A
Authority
RU
Russia
Prior art keywords
network
metadata
network metadata
specified
policy
Prior art date
Application number
RU2014124009A
Other languages
English (en)
Inventor
Вильям Джи. ФРИДМАН
Александр ВЕЛЕДНИЦКИЙ
Original Assignee
Нетфлоу Лоджик Корпорэйшн
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Нетфлоу Лоджик Корпорэйшн filed Critical Нетфлоу Лоджик Корпорэйшн
Publication of RU2014124009A publication Critical patent/RU2014124009A/ru

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

1. Метод обработки сетевых метаданных, генерируемых в сеть, передающую сетевой трафик с использованием одного или более сетевых протоколов, сеть, включающая в себя устройства, из которых, по крайней мере, некоторые получают сетевой трафик через входной интерфейс и передают сетевой трафик через выходной интерфейс, причем метод включает в себя следующие этапы:получение сетевых метаданных от нескольких источников в системе обработки данных, по крайней мере, в одном формате данных;определение типа или характера указанных сетевых метаданных;обработка упомянутых сетевых метаданных для извлечения из них полезной информации; ипреобразование, по крайней мере, части указанных сетевых метаданных в один или более различные форматы данных, используемые в указанной системе обработки данных для других метаданных системы, в ответ, по крайней мере, частично, на результаты упомянутого определяющего этапа.2. Метод по п.1, отличающийся тем, что указанный этап обработки выполняется во время передачи упомянутых сетевых метаданных по рассматриваемой сети между сетевым устройством, которое сгенерировало эти сетевые метаданные и устройством, которое может хранить указанные сетевые метаданные.3. Метод по п.2, отличающийся тем, что этап обработки достигается путем применения по крайней мере одной политики, управляющей обработкой сетевых метаданных.4. Метод по п.3, отличающийся тем, что, по крайней мере, одна указанная политика применяется для обнаружения трафика по рассматриваемой сети, указывающего на потенциальную угрозу безопасности.5. Метод по п.4, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:сравнение источника вхо

Claims (80)

1. Метод обработки сетевых метаданных, генерируемых в сеть, передающую сетевой трафик с использованием одного или более сетевых протоколов, сеть, включающая в себя устройства, из которых, по крайней мере, некоторые получают сетевой трафик через входной интерфейс и передают сетевой трафик через выходной интерфейс, причем метод включает в себя следующие этапы:
получение сетевых метаданных от нескольких источников в системе обработки данных, по крайней мере, в одном формате данных;
определение типа или характера указанных сетевых метаданных;
обработка упомянутых сетевых метаданных для извлечения из них полезной информации; и
преобразование, по крайней мере, части указанных сетевых метаданных в один или более различные форматы данных, используемые в указанной системе обработки данных для других метаданных системы, в ответ, по крайней мере, частично, на результаты упомянутого определяющего этапа.
2. Метод по п.1, отличающийся тем, что указанный этап обработки выполняется во время передачи упомянутых сетевых метаданных по рассматриваемой сети между сетевым устройством, которое сгенерировало эти сетевые метаданные и устройством, которое может хранить указанные сетевые метаданные.
3. Метод по п.2, отличающийся тем, что этап обработки достигается путем применения по крайней мере одной политики, управляющей обработкой сетевых метаданных.
4. Метод по п.3, отличающийся тем, что, по крайней мере, одна указанная политика применяется для обнаружения трафика по рассматриваемой сети, указывающего на потенциальную угрозу безопасности.
5. Метод по п.4, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
сравнение источника входящего сетевого трафика с заранее составленным списком контролируемых запрещенных устройств на указанной сети;
если IP-адрес назначения находится в заранее составленном списке запрещенных устройств, то сохранение IP-адреса / порта источника, а также IP-адреса / порта назначения в списке потенциальных оповещений, наряду с числом байтов и пакетов, зарегистрированных в записи входного NetFlow;
изучение выходных записей с целью определения совпадений IP-адреса / порта источника и IP-адреса / порта назначения в списке потенциальных оповещений;
если совпадение найдено, то обработка такого совпадения, как признака ответа внутреннего хоста на внешний одноранговый запрос; и
генерация предупреждающего сообщения, своевременно информирующего о потенциальной инфекции ботнета.
6. Метод по п.4, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
сбор информации о внутренних сетевых устройствах, общающихся с внешними сетевыми устройствами; указанная информация включает в себя список IP-адресов и протоколов общающихся устройств;
применение метода группового анализа потоков для определения моделей связи между взаимодействующими устройствами;
выявления аномальных экземпляров связей между взаимодействующими устройствами по наличию небольших непересекающихся моделей в наборе всех вычисленных моделей;
своевременная генерация предупреждающего сообщения для информировании о потенциальной инфекции ботнета при обнаружении хотя бы одной аномальной модели связи.
7. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется для целей идентификации всплесков трафика в рассматриваемой сети.
8. Метод по п.7, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
Сравнение источника входящего сетевого трафика с заранее составленным списком контролируемых устройств в рассматриваемой сети;
если IP-адрес источника обнаруживается в заранее определенном списке устройств, то сохранение IP-адреса источника в базе данных в памяти вместе с количеством байтов и пакетов, зарегистрированных в записи входного NetFlow;
с заранее установленной периодичностью проверка данных в оперативной памяти и идентификация устройств, которые превысили порог, заданный администратором сети;
генерация предупреждающего сообщения для своевременного информирования о всплеске трафика.
9. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется с целью повышения надежности захвата трафика NetFlow в рассматриваемой сети.
10. Метод по п.9, отличающийся тем, что, по крайней мере, одна рассматриваемая политика включает в себя следующие этапы:
прием одного или нескольких сообщений NetFlow по ненадежному сетевому транспортному протоколу;
опционное преобразование упомянутых принятых сообщений NetFlow в один или несколько других форматов, помимо NetFlow, с другой особенностью NetFlow или в том же формате, что и полученный NetFlow;
отправка упомянутых полученных или преобразованных сообщений к нескольким конечным точкам по ненадежному сетевому транспортному протоколу, по крайней мере, к одной конечной точке по надежному сетевому транспортному протоколу, или, по крайней мере, к одной точке по ненадежному сетевому транспортному протоколу и, по крайней мере, к одной конечной точке по надежному сетевому транспортному протоколу.
11. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется с целью уменьшения количества сообщений NetFlow, поступающих на устройство, которое хранит упомянутые сетевые метаданные, по рассматриваемой сети.
12. Метод по п.11, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
прием нескольких сообщений NetFlow;
выявление сходства в упомянутых принятых сообщениях NetFlow;
объединение информации в полученных сообщениях NetFlow, определенных как аналогичные в одно или несколько сообщений NetFlow;
отбрасывание сообщений NetFlow, информация из которых была консолидирована; и
отправка консолидированного сообщения NetFlow в устройство, которое хранит сетевые метаданные в рассматриваемой сети.
13. Метод по п.12, отличающийся тем, что упомянутый этап пересылки консолидированного сообщения NetFlow осуществляется после прохождения заданного периода времени.
14. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется с целью определить, когда сетевой интерфейс на рассматриваемой сети стал неработоспособным.
15. Метод по п.14, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
установление порогового периода времени, в течение которого отсутствие идентификатора интерфейса в поступающих сетевых метаданных означает нерабочее состояние указанного сетевого интерфейса, упомянутый установленный пороговый период времени варьируется в зависимости от временных и географических критериев;
мониторинг сетевых метаданные, связанных с упомянутым сетевым интерфейсом;
генерация предупреждающего сообщения для своевременного информирования о неработоспособном состоянии указанного сетевого интерфейса, если сетевые метаданные, связанные с указанным сетевым интерфейсом не могут быть обнаружены в течение времени, превышающего упомянутый пороговый период.
16. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется с целью измерения задержки в сети, используя сетевой метаданные в рассматриваемой сети.
17. Метод по п.16, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
установление порогового периода времени, в течение которого сетевое устройство, запросившее службу на сервере доменных имен (DNS), должно получить ответ от упомянутой службы DNS;
мониторинг сетевых метаданных, описывающих связь между сетевыми устройствами и службой DNS;
вычисление времени между указанным запросом сетевого устройства в службу DNS и получением ответа от этой службы DNS;
сравнения упомянутого истекшего времени с указанным пороговым периодом времени; и
генерация предупреждающего сообщения о чрезмерной задержке в сети.
18. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется с целью обеспечения реального времени видимости сети для каждого типа приложений по множеству устройств в указанной сети.
19. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется с целью получения списка наиболее активных хостов в течение определенного периода времени в рассматриваемой сети.
20. Метод по п.19, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
прием нескольких сообщений сетевых метаданных;
идентификация сетевых метаданных, связанных с отдельными хостами сети;
агрегирование сетевых метаданных для каждого идентифицированного хоста;
выбор списка настраиваемого размера сетевых хостов, которые создали наибольшее количество сетевых подключений; и
предоставление упомянутого списка сетевых хостов, которые создали наибольшее количество сетевых подключений.
21. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется с целью получения списка устройств в сети с наибольшим списком нарушений управления доступом в течение определенного периода времени.
22. Метод по п.21, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
прием нескольких сообщений, содержащих сетевые метаданные;
указанные метаданные содержат информацию о списке нарушений контроля доступа;
выбор подмножества упомянутых сообщений, так что каждое сообщение содержит данные о не менее чем одном списке нарушений управления доступом;
агрегирование указанного подмножества сообщений для указанного сетевого устройства;
сортировка указанного подмножества агрегированных сообщений в порядке убывания, так что сетевые устройства с большим количеством нарушений контроля доступа стоят в головной части списка;
извлечения задаваемого количества записей из головной части указанного отсортированного списка; и
генерация предупреждающего сообщения для своевременного информирования сетевых устройств с наибольшим количеством нарушений контроля доступа, найденных в указанных записях в головной части указанного списка.
23. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется с целью вычисления среднего размера сетевых пакетов, которые прошли через сетевое устройство через точно определяемый входной интерфейс и выходной интерфейс в течение точно определенного интервала времени.
24. Метод по п.23, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
прием нескольких сообщений, содержащих сетевые метаданные;
указанные метаданные содержат информацию о количестве пакетов и числе байтов, прошедших только через входной интерфейс и только через выходной интерфейс;
агрегирование указанной информации по различным парам интерфейсов;
вычисление текущего среднего размера сетевых пакетов, передаваемых через каждую отдельную пару интерфейсов;
отчетность в виде своевременной информации о среднем размере сетевых пакетов, которые проходили между, по крайней мере, частью указанных различных пар сетевых интерфейсов.
25. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется с целью идентификации устройств в сети, являющихся основными потребителями пропускной способности сети в течение точно определенного интервала времени.
26. Метод по п.25, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
прием нескольких сообщений сетевых метаданных;
идентификация сетевых метаданных, связанных с отдельными хостами;
агрегирования сетевых метаданных для каждого идентифицированного хоста;
выбор списка настраиваемого размера сетевых хостов, которые произвели наибольший объем сетевого трафика; и
предоставление указанного списка сетевых хостов, которые произвели наибольший объем сетевого трафика.
27. Метод по п.26, отличающийся тем, что, по крайней мере, одна политика применяется с целью идентификации устройств в сети, являющихся основными потребителями пропускной способности сети, по сетевому устройству по протоколу сети, с задаваемым интервалом времени.
28. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется с целью выявления активности в сети выше базового уровня такой активности.
29. Метод по п.28, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы работы в течение задаваемого периода времени в режиме обучения для установления базового состояния предположительно нормальных параметров по отношению к характеристике условий сети, представляющих интерес для администратора указанной сети, и работа в режиме мониторинга для уведомления указанного администратора в случае, когда активность в рассматриваемой сети превышает упомянутый базовый уровень по предварительно определяемым уровням.
30. Метод по п.29, отличающийся тем, что, базовое состояние содержит информацию, относящуюся к одному или более сетевым атрибутам из группы, состоящей из: количества одновременных потоков, скорости глобальных пакетов, глобальная производительность, скорость создания новых потоков, количество отправленных SYN-пакетов, количество полученных SYN-пакетов, количество сбросов связи, средняя длительность потока, дисперсия длительности потока и время суток.
31. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется с целью дедупликации потоковой информации, предоставляемой экспортерами потока.
32. Метод по п.31, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
- получение записи потока, содержащей IP-адреса общающихся конечных точек и IP-адрес устройства, предоставившего запись потока;
- отметка времени получения упомянутой записи;
- поддержание в памяти информации об IP-адресах общающихся конечных точек, IP-адресов устройств создания потока, и время последнего наблюдения связи; указанная информация является показателем частоты, по крайней мере, для некоторых линий связи, используемых упомянутым устройством создания потока;
- выбор, на основе указанной информации в памяти, устройства создания потока с самой высокой частотой использования, среди других устройств создания потоков, которые создают указанный поток, и назначение указанного устройства создания потока с самой высокой частотой использования в качестве авторитетного источника информации о связи между упомянутыми конечными точками сети;
- в случае, если более чем одно устройство создания потока имеет одинаковую высокую частоту использования, отраженную в указанной информации в памяти, то дальнейшее устранение неоднозначности указанного авторитетного источника информации о связи между упомянутыми сетевыми конечными точками выполняется на основе критериев, выбранных из группы, состоящей из: времени, когда устройства создания потока создали указанный поток, счетчика времени существования, указанного в записях потока, представленных устройствами создания потока, и IP-адреса следующего хопа, сообщенного в записях потока, предоставленных устройствами создания потока;
- отправка для дальнейшей обработки потоковой записи о связи между указанными общающимися конечными точками, полученной от авторитетного устройства создания потока; и
- отбрасывание потоковых записей о связи между упомянутыми общающимися конечными точками, полученных от других устройств создания потока.
33. Метод по п.31, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
сбор списка смежных узлов, связанных с IP-адресами и индексами интерфейса из сетевых метаданных, пересекающих рассматриваемую сеть;
создание компьютерной модели, представляющей устройства и топологию указанной сети из указанного списка смежных узлов;
статистическое определение устройств, которые первоначально были источниками сетевых метаданных, относящихся к конкретному потоку сетевого трафика в рассматриваемой сети; и
дедупликация информации сетевых метаданных, которые могут быть сгенерированы последующими сетевыми устройствами для отображения потока такого же сетевого трафика через упомянутые последующие устройства.
34 Метод по п.1, дополнительно содержащий этапы, на которых происходит:
переадресация полученных сетевых метаданных к последующим потребителям или коллектору сетевых метаданных при сохранении, по крайней мере, одного их формата.
35 Метод по п.1, дополнительно содержащий этапы, на которых:
переадресации преобразованный метаданные по сети на выходе потребителя или коллектора сетевых метаданных указанный один или более различных форматов данных.
36. Метод по п.1, отличающийся тем, что упомянутый этап определения включает в себя подтверждение, по крайней мере, одного утверждения, относящегося к достоверности принятых сетевых метаданных.
37. Метод по п.1, отличающийся тем, что упомянутый этап преобразования включает в себя преобразование упомянутых принятых сетевых метаданных в общий формат данных.
38. Метод по п.1, отличающийся тем, что указанный этап определения включает в себя поиск переходного идентификатора, присвоенного рассматриваемым сетевым метаданным.
39. Метод по п.38, отличающийся тем, что переходный идентификатор сетевых метаданных динамически связан с постоянным идентификатором, присвоенным рассматриваемым сетевым метаданным.
40. Метод по п.39, отличающийся тем, что постоянный идентификатор сетевых метаданных дополнительно связан с одной или несколькими политиками.
41. Метод по п.40, отличающийся тем, что указанный этап обработки включает в себя применение одной или нескольких политик к упомянутым сетевым метаданным.
42. Метод по п.1, отличающийся тем, что указанный этап определения включает в себя классификацию упомянутых сетевых метаданных.
43. Метод по п.42, отличающийся тем, что, указанный этап классификации достигается применением, по крайней мере, одной политики, управляющей обработкой сетевых метаданных.
44. Метод по п.43, отличающийся тем, что, по крайней мере, одна политика основана на содержимом упомянутых сетевых метаданных.
45. Метод по п.43, отличающийся тем, что, по крайней мере, одна политика имеет критерий времени.
46. Метод по п.43, отличающийся тем, что, по крайней мере, одна политика реализуется путем присоединения динамически загружаемого программного модуля.
47. Метод по п.46, отличающийся тем, что указанный динамически загружаемый программный модуль представляет собой двоичный исполняемый модуль.
48. Метод по п.43, отличающийся тем, что применение, по крайней мере, одной политики производит дополнительные сетевые метаданные, производные от обработанных сетевых метаданных.
49. Метод по п.48, отличающийся тем, что указанные дополнительные сетевые метаданные находятся в том же формате, что и обрабатываемые сетевые метаданные.
50. Метод по п.48, отличающийся тем, что указанные дополнительные сетевые метаданные находятся в формате, отличном от формата обрабатываемых сетевых метаданных.
51. Метод по п.43, отличающийся тем, что применение, по крайней мере, одной политики преобразует содержимое сетевых метаданных.
52. Метод по п.1, отличающийся тем, что упомянутый этап преобразования сетевых метаданных включает в себя применение правила преобразования.
53. Метод по п.52, отличающийся тем, что правило преобразования основано на содержимом рассматриваемых сетевых метаданных.
54. Метод по п.52, отличающийся тем, что правило преобразования является правилом преобразования по умолчанию.
55. Метод по п.52, отличающийся тем, что правило преобразования реализуется путем добавления динамически загружаемого программного модуля.
56. Метод по п.55, отличающийся тем, что динамически загружаемый программный модуль представляет собой двоичный исполняемый модуль.
57. Метод по п.2, отличающийся тем, что упомянутый этап переадресации полученных сетевых метаданных изменяет указатель происхождения сетевых метаданных.
58. Метод по п.2, отличающийся тем, что упомянутый этап переадресации принятых сетевых метаданных не изменяет указатель происхождения указанных сетевых метаданных.
59. Метод по п.3, дополнительно включающий этап аутентификации переадресованных преобразованных сетевых метаданные.
60. Метод по п.59, отличающийся тем, что указанный этап аутентификации реализует аутентификацию, которая является криптографически стойкой.
61. Метод по п.59, отличающийся тем, что указанный этап аутентификации осуществляет аутентификацию, которая не является криптографически стойкой.
62. Метод классификации сетевых метаданных включает в себя следующие этапы:
вычисление уникального идентификатора инвариантного определения сетевых метаданных;
связывание хотя бы одного правила обработки с упомянутым уникальным идентификатором сетевых метаданных;
хранение упомянутого уникального идентификатора определения сетевых метаданных в первом информационном контейнере;
сохранение упомянутого, по крайней мере, одного правила обработки в указанном первом информационном контейнере;
ассоциирование, по крайней мере, одного правила обработки с указанным уникальным идентификатором определения сетевых метаданных в указанном первом информационном контейнере;
прием первого пакета информации, содержащей определение сетевых метаданных и первого переходного идентификатора сетевых метаданных из однозначно определенного источника;
определение местоположения инвариантного определения сетевых метаданных в упомянутом первом пакете;
вычисление уникального идентификатора инвариантного определения сетевых метаданных, соответствующего определению сетевых метаданных в упомянутом первом пакете;
определение местоположения упомянутого уникального идентификатора инвариантного определения сетевых метаданных в первом информационном контейнере;
хранение упомянутого первого переходного идентификатора сетевых метаданных и упомянутого идентификатора источника во втором информационном контейнере;
ассоциирование первого переходного идентификатора сетевых метаданных во втором информационном контейнер с указанным уникальным идентификатором определения сетевых метаданных в первом информационном контейнере;
получение второго пакета информации, содержащего сетевые метаданные, упомянутый первый переходный идентификатор сетевых метаданных и упомянутый идентификатор источника;
определение местоположения первого переходного идентификатора сетевых метаданных и упомянутого идентификатора источника во втором информационном контейнере;
использование указанной ассоциации во втором информационном контейнере для обнаружения уникального идентификатора определения сетевых метаданных в первом информационном контейнере;
использованием упомянутой ассоциации уникального идентификатора сетевых метаданных в первом информационном контейнере для обнаружения указанного правила обработки; и
выполнение указанного правила обработки для классификации сетевых метаданных.
63. Метод по п.62, дополнительно включающий в себя:
получение третьего пакета информации, содержащего определение сетевых метаданных, и второй переходный идентификатор сетевых метаданных от указанного однозначно определенного источника;
определение местоположения инвариантного определения сетевых метаданных в упомянутом третьем пакете;
вычисление уникального идентификатора инвариантного определения сетевых метаданных, соответствующего определению сетевых метаданных в упомянутом третьем пакете;
определение местоположения упомянутого уникального идентификатора определения сетевых метаданных в первом информационном контейнере;
хранение указанного второго переходного идентификатора сетевых метаданных и упомянутого идентификатора источника во втором информационном контейнере;
ассоциирование второго переходного идентификатора сетевых метаданных во втором информационном контейнере с указанным уникальным идентификатором определения сетевых метаданных в первом информационном контейнере;
определение местоположения первого переходного идентификатор асетевых метаданных с использованием указанного идентификатора источника во втором информационном контейнере;
удаление первого переходного идентификатора сетевых метаданных и упомянутого идентификатора источника из второго контейнера;
получение четвертого информационного пакета, содержащего сетевые метаданные, упомянутого второго переходного идентификатора сетевых метаданных и упомянутого идентификатора источника;
определение местоположения указанного второго переходного идентификатора сетевых метаданных и упомянутого идентификатора источника во втором информационном контейнере;
использование указанной ассоциации во втором информационном контейнере для нахождения уникального идентификатора определения сетевых метаданных в первом информационном контейнере;
использование указанной ассоциации уникального идентификатора сетевых метаданных в первом информационном контейнере для обнаружения указанного правила обработки; и
выполнение указанного правила обработки для классификации сетевых метаданных.
64. Метод по п.62, отличающийся тем, что упомянутый этап удаления указанного первого переходного идентификатора сетевых метаданных и указанного идентификатора источника из второго контейнера выполняется путем применения алгоритма старения для элементов, хранящихся во втором контейнере.
65. Метод по п.62, отличающийся тем, что упомянутый этап вычисления уникального идентификатора инвариантного определения сетевых метаданных включает в себя вычисление хэш-значения инвариантного определения сетевых метаданных.
66. Метод по п.65, отличающийся тем, что указанное хеш-значение вычисляется с использованием криптографически стойкого алгоритма.
67. Метод по п.65, отличающийся тем, что указанное хеш-значение вычисляется с использованием криптографически нестойкого алгоритма.
68. Метод по п.62, отличающийся тем, что указанное правило обработки является политикой, управляющей обработкой сетевых метаданных.
69. Метод по п.68, отличающийся тем, что политика основана, по крайней мере, частично на содержимом рассматриваемых сетевых метаданных.
70. Метод по п.68, отличающийся тем, что политика имеет критерий времени.
71. Метод избирательного уменьшения объема сетевых метаданных, доставляемых в SIEM-систему по сети, включает в себя:
идентификация пакетов сетевых метаданных, которые содержат, по крайней мере, частично, избыточные метаданные; и обработка указанных пакетов сетевых метаданных, которые содержат, по крайней мере, частично, избыточные метаданные для объединения указанных пакетов в меньшем количестве пакетов, сохраняя при этом интересующие метаданные.
72. Система для обработки сетевых метаданных включает в себя:
сетевой узел, адаптированный для приема сетевых метаданных от нескольких источников, по крайней мере, одного формата данных;
модуль обработки для определения типа или характера указанных сетевых метаданных;
модуль обработки для обработки указанных сетевых метаданных для извлечения полезной информации из них; и
модуль обработки для преобразования, по крайней мере, части указанных сетевых метаданных в один или более различных форматов данных в ответ, по крайней мере частично, на результаты указанного определения этапа.
73. Система для классификации сетевых метаданных включает в себя:
процессор для вычисления уникального идентификатора инвариантного определения сетевых метаданных;
процессор для связывания хотя бы одного правила обработки с указанным уникальным идентификатором сетевых метаданных;
процессор для хранения упомянутого уникального идентификатора определения сетевых метаданных в первом информационном контейнере;
процессор для хранения, по крайней мере, одного правила обработки в упомянутом первом информационном контейнере;
процессор для связывания указанного, по крайней мере, одного правила обработки с указанным уникальным идентификатором определения сетевых метаданных в указанном первой информационном контейнере;
процессор для приема первого пакета информации, содержащей определение сетевых метаданных и переходный идентификатор сетевых метаданных;
процессор для размещения инвариантного определения сетевых метаданных в упомянутом первом пакете;
процессор для вычисления уникального идентификатора инвариантного определения сетевых метаданных, соответствующий определению сетевых метаданных в упомянутом первом пакете;
процессор для локализации упомянутого уникального идентификатора определения сетевых метаданных в первом информационном контейнере;
процессор для хранения указанного переходного идентификатора сетевых метаданных во втором информационном контейнере;
процессор для связывания упомянутого переходного идентификатора сетевых метаданных во втором информационном контейнер с указанным уникальным идентификатором определения сетевых метаданных в первом информационном контейнере;
процессор для получения второго пакета информации, содержащей сетевые метаданные и упомянутый переходный идентификатор сетевых метаданных;
процессор для локализации упомянутого переходного идентификатора сетевых метаданных во втором информационном контейнере;
процессор для использования указанной ассоциации во втором информационном контейнере для нахождения уникального идентификатора определения сетевых метаданных в первом информационном контейнере;
процессор для использования указанной ассоциации уникального идентификатора сетевых метаданных в первом информационном контейнере для обнаружения указанного правила обработки; и
процессор для выполнения указанного правила обработки для классификации сетевых метаданных.
74. Сетевая система включает в себя:
локальную сеть, включающую в себя:
несколько устройств в рассматриваемой сети, которые генерируют первую совокупность сетевых метаданных в формате syslog;
средство мониторинга сети, которое выполнено с возможностью приема данных syslog;
несколько устройств в рассматриваемой сети, которые генерируют вторую совокупность сетевых метаданных в формате, отличающемся от формата данных syslog;
первое средство обработки сетевых метаданных, способное преобразовывать, по крайней мере, частей указанной второй совокупности сетевых метаданных в формат syslog; и
средства коммуникации для подачи преобразованного выхода упомянутой обработки первого средства обработки сетевых метаданных в качестве входа в упомянутое устройство мониторинга сети.
75. Сетевая система по п.74, отличающаяся тем, что первое средство обработки сетевых метаданных включает в себя способ обработки, по крайней мере, частей указанной второй совокупности сетевых метаданных, до преобразования указанных, по крайней мере, частей упомянутой второй совокупности сетевых метаданных в формат Syslog.
76. Сетевая система по п.75, отличающаяся тем, что процессор содержит классификатор, который способен определить тип сообщений, включенных в упомянутую вторую совокупность сетевых метаданных.
77. Сетевая система по п.75, отличающаяся тем, что, процессор содержит модуль политики, который способен избирательно обрабатывать каждое сообщение в указанной второй совокупности сетевых метаданных, по крайней мере, частично на основе определения типа указанным классификатором.
78. Сетевая система по п.77, отличающаяся тем, что упомянутый модуль политики применяет одну или несколько политик для каждого сообщения, по крайней мере, частично на основе определения типа указанным классификатором.
79. Сетевая система по п.74, дополнительно содержащая удаленную подсеть, которая содержит:
несколько устройств в указанной удаленной подсети, которые генерируют третью совокупность сетевых метаданных в формате Syslog;
несколько устройств в рассматриваемой подсети, которые генерируют четвертую совокупность сетевых метаданных в формате, отличающемся от формата данных Syslog; и
второе средство обработки сетевых метаданных, способный преобразовывать, по крайней мере, части указанной четвертой совокупности сетевых метаданных в формат Syslog; и
средство коммуникации для подачи преобразованного выхода упомянутого второго средства обработки вторая сетевых метаданных в качестве входа в упомянутое средство мониторинга сети.
80. Метод повышения надежности передачи сообщений NetFlow по WAN из ответвлений сети отделений в первичную сеть включает в себя:
преобразование, по крайней мере, части сообщений NetFlow, генерируемых в указанном ответвлении сети в сообщения Syslog; и
использование сетевого протокола, более надежного, чем UDP, для передачи преобразованных упомянутых сообщений Syslog из указанного ответвления сети на сервер указанной первичной сети.
RU2014124009A 2011-11-07 2012-11-06 Метод и система потоковой передачи данных для обработки сетевых метаданных RU2014124009A (ru)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US201161556817P 2011-11-07 2011-11-07
US61/556,817 2011-11-07
US201261699823P 2012-09-11 2012-09-11
US61/699,823 2012-09-11
US13/669,235 2012-11-05
US13/669,235 US9392010B2 (en) 2011-11-07 2012-11-05 Streaming method and system for processing network metadata
PCT/US2012/063749 WO2013070631A1 (en) 2011-11-07 2012-11-06 A streaming method and system for processing network metadata

Publications (1)

Publication Number Publication Date
RU2014124009A true RU2014124009A (ru) 2016-02-10

Family

ID=48224692

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2014124009A RU2014124009A (ru) 2011-11-07 2012-11-06 Метод и система потоковой передачи данных для обработки сетевых метаданных

Country Status (8)

Country Link
US (2) US9392010B2 (ru)
EP (1) EP2777226B1 (ru)
JP (1) JP2015502060A (ru)
KR (1) KR20140106547A (ru)
CN (1) CN104115463B (ru)
CA (1) CA2854883A1 (ru)
RU (1) RU2014124009A (ru)
WO (1) WO2013070631A1 (ru)

Families Citing this family (165)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9654505B2 (en) 2009-06-22 2017-05-16 Citrix Systems, Inc. Systems and methods for encoding the core identifier in the session identifier
US8601556B2 (en) 2009-06-22 2013-12-03 Citrix Systems, Inc. Systems and methods for handling SSL session not reusable across multiple cores
US9392010B2 (en) * 2011-11-07 2016-07-12 Netflow Logic Corporation Streaming method and system for processing network metadata
US9843488B2 (en) 2011-11-07 2017-12-12 Netflow Logic Corporation Method and system for confident anomaly detection in computer network traffic
US8976661B2 (en) * 2012-01-11 2015-03-10 Nec Laboratories America, Inc. Network self-protection
US8805163B2 (en) * 2012-01-20 2014-08-12 Comcast Cable Communications, Llc Network storage device and method
KR102007732B1 (ko) * 2012-04-18 2019-08-07 한국전자통신연구원 시간기반 정책을 통한 트래픽 제어 방법
US9912638B2 (en) * 2012-04-30 2018-03-06 Zscaler, Inc. Systems and methods for integrating cloud services with information management systems
US9112804B2 (en) * 2012-05-31 2015-08-18 International Business Machines Corporation Network congestion notification preservation and modification during transmission of network data between physical network and virtual network
US9332053B2 (en) * 2012-06-15 2016-05-03 Tekelec, Inc. Methods, systems, and computer readable media for load balancing stream control transmission protocol (SCTP) messages
CA2886058A1 (en) * 2012-09-28 2014-04-03 Level 3 Communications, Llc Identifying and mitigating malicious network threats
US9438488B2 (en) * 2012-11-09 2016-09-06 Citrix Systems, Inc. Systems and methods for appflow for datastream
US20150029871A1 (en) * 2013-07-24 2015-01-29 Cisco Technology, Inc. Service level agreement validation via service traffic sample-and-replay
TW201505411A (zh) * 2013-07-31 2015-02-01 Ibm 用於規則式安全防護設備之規則解譯方法及設備
US9680916B2 (en) * 2013-08-01 2017-06-13 Flowtraq, Inc. Methods and systems for distribution and retrieval of network traffic records
US9444914B2 (en) 2013-09-16 2016-09-13 Annapurna Labs Ltd. Configurable parser and a method for parsing information units
KR20150032018A (ko) 2013-09-17 2015-03-25 삼성전자주식회사 전자 장치 및 전자 장치의 정보 전송 방법, 정보 전송 시스템
CN104518921A (zh) * 2013-09-30 2015-04-15 宁夏先锋软件有限公司 一种适合不同标准及输出展示形式多样的网络监控系统
US20160254959A1 (en) * 2013-10-11 2016-09-01 Hewlett Packard Enterprise Development Lp Provisioning a network for network traffic during a session
US20150113133A1 (en) 2013-10-21 2015-04-23 Nyansa, Inc. System and method for observing and controlling a programmable network using closed loop control
US9755942B2 (en) * 2013-10-25 2017-09-05 Vmware, Inc. Method and system for monitoring conditions in a dynamic network environment
CN103561018A (zh) * 2013-10-30 2014-02-05 蓝盾信息安全技术股份有限公司 一种面向大数据应用平台的入侵检测的实时分析系统
US9794278B1 (en) * 2013-12-19 2017-10-17 Symantec Corporation Network-based whitelisting approach for critical systems
CN103680143B (zh) * 2013-12-30 2015-09-23 北京世纪高通科技有限公司 一种交通信息处理方法和装置
WO2015121864A1 (en) * 2014-02-16 2015-08-20 B.G. Negev Technologies And Applications Ltd., At Ben-Gurion University A system and method for integrating legacy flow-monitoring systems with sdn networks
WO2015138516A1 (en) * 2014-03-11 2015-09-17 Vectra Networks, Inc. Method and system for detecting external control of compromised hosts
US9846718B1 (en) * 2014-03-31 2017-12-19 EMC IP Holding Company LLC Deduplicating sets of data blocks
NZ768365A (en) * 2014-04-01 2022-04-29 Endace Tech Limited Hash tag load balancing
CN106663040A (zh) * 2014-05-01 2017-05-10 网络流逻辑公司 用于计算机网络业务中的信任异常检测的方法及系统
US9531715B1 (en) * 2014-05-07 2016-12-27 Skyport Systems, Inc. Method and system for protecting credentials
US9647882B1 (en) * 2014-05-29 2017-05-09 Amazon Technologies, Inc. Network topology assisted device provisioning
CN105207881B (zh) * 2014-06-10 2018-12-28 阿里巴巴集团控股有限公司 一种消息发送方法和设备
US10027562B2 (en) * 2014-09-12 2018-07-17 Cisco Technology, Inc. Detecting network services based on network flow data
US9276955B1 (en) 2014-09-17 2016-03-01 Fortinet, Inc. Hardware-logic based flow collector for distributed denial of service (DDoS) attack mitigation
US9852003B2 (en) 2014-10-31 2017-12-26 Rovi Guides, Inc. Systems and methods for generating a unique fingerprint aggregating set of unique tracking identifiers throughout request/response processing
CN105681250B (zh) * 2014-11-17 2019-04-02 中国信息安全测评中心 一种僵尸网络分布式实时检测方法和系统
US10986131B1 (en) 2014-12-17 2021-04-20 Amazon Technologies, Inc. Access control policy warnings and suggestions
US10122757B1 (en) 2014-12-17 2018-11-06 Amazon Technologies, Inc. Self-learning access control policies
CN104539595B (zh) * 2014-12-17 2018-04-10 南京晓庄学院 一种集威胁处理和路由优化于一体的sdn架构及工作方法
CN107888617A (zh) * 2014-12-17 2018-04-06 蔡留凤 软件定义的网络架构的工作方法
CN107835199A (zh) * 2014-12-17 2018-03-23 朱保生 适于解决网络安全的sdn系统的工作方法
US9917738B2 (en) * 2015-01-13 2018-03-13 Accenture Global Services Limited Intelligent device data router
JP5862811B1 (ja) * 2015-02-02 2016-02-16 日本電信電話株式会社 評価装置、評価方法、及びプログラム
US10043030B1 (en) 2015-02-05 2018-08-07 Amazon Technologies, Inc. Large-scale authorization data collection and aggregation
US10291506B2 (en) * 2015-03-04 2019-05-14 Fisher-Rosemount Systems, Inc. Anomaly detection in industrial communications networks
US9858438B2 (en) * 2015-03-26 2018-01-02 International Business Machines Corporation Managing digital photograph metadata anonymization
US20160285704A1 (en) * 2015-03-27 2016-09-29 Iosif Gasparakis Technologies for dynamic network analysis and provisioning
US9998477B2 (en) * 2015-03-31 2018-06-12 Comcast Cable Communications, Llc Digital content access control
US10110496B2 (en) * 2015-03-31 2018-10-23 Juniper Networks, Inc. Providing policy information on an existing communication channel
US10367838B2 (en) * 2015-04-16 2019-07-30 Nec Corporation Real-time detection of abnormal network connections in streaming data
US10235676B2 (en) * 2015-05-12 2019-03-19 The Toronto-Dominion Bank Systems and methods for accessing computational resources in an open environment
US10291726B2 (en) 2015-05-12 2019-05-14 Equinix, Inc. Network field unit for a cloud-based services exchange
JP6433378B2 (ja) * 2015-05-29 2018-12-05 キヤノン株式会社 情報処理装置、情報処理方法、及びコンピュータプログラム
US10536357B2 (en) * 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US9917753B2 (en) 2015-06-12 2018-03-13 Level 3 Communications, Llc Network operational flaw detection using metrics
US10063446B2 (en) * 2015-06-26 2018-08-28 Intel Corporation Netflow collection and export offload using network silicon
US10084816B2 (en) * 2015-06-26 2018-09-25 Fortinet, Inc. Protocol based detection of suspicious network traffic
KR101688635B1 (ko) * 2015-07-01 2016-12-21 한국전자통신연구원 플로우 기반 트래픽 저장 장치 및 방법
CN105187393B (zh) * 2015-08-10 2018-05-22 济南大学 一种移动终端恶意软件网络行为重构方法及其系统
US10643181B2 (en) * 2015-08-18 2020-05-05 Satish Ayyaswami System and method for a big data analytics enterprise framework
US9916459B2 (en) 2015-08-21 2018-03-13 International Business Machines Corporation Photograph metadata encryption
US10721098B2 (en) 2015-08-28 2020-07-21 Vmware, Inc. Optimizing connectivity between data centers in a hybrid cloud computing system
US10721161B2 (en) * 2015-08-28 2020-07-21 Vmware, Inc. Data center WAN aggregation to optimize hybrid cloud connectivity
US20170070562A1 (en) 2015-09-06 2017-03-09 Jeremy Lynn Littlejohn Method for denominating move groups of applications
US10193824B2 (en) * 2015-09-06 2019-01-29 RISC Networks, LLC Systems and methods for intelligent application grouping
US9934395B2 (en) 2015-09-11 2018-04-03 International Business Machines Corporation Enabling secure big data analytics in the cloud
US10063451B2 (en) * 2015-09-28 2018-08-28 Juniper Networks, Inc. Providing application metadata using export protocols in computer networks
DK3151152T3 (en) * 2015-09-30 2020-06-15 Secure Nok Tech As Non-intrusive software agent for monitoring and detection of cyber security events and cyber-attacks in an industrial control system
EP3378208B1 (en) * 2015-11-17 2021-09-29 Hewlett Packard Enterprise Development LP Handling network threats
WO2017086990A1 (en) 2015-11-20 2017-05-26 Hewlett Packard Enterprise Development Lp Determining violation of a network invariant
CN105553689B (zh) * 2015-12-03 2018-12-28 中国科学院信息工程研究所 一种openflow消息中流规则等价快速判定方法
US9967178B1 (en) * 2015-12-15 2018-05-08 Juniper Networks, Inc. Flow record size reduction
US10140267B1 (en) * 2015-12-28 2018-11-27 EMC IP Holding Company LLC Efficient operation of GRC processing platforms
CA3028273C (en) * 2016-02-25 2019-09-24 Sas Institute Inc. Cybersecurity system
US10296748B2 (en) 2016-02-25 2019-05-21 Sas Institute Inc. Simulated attack generator for testing a cybersecurity system
US10673719B2 (en) 2016-02-25 2020-06-02 Imperva, Inc. Techniques for botnet detection and member identification
US10268527B2 (en) * 2016-03-22 2019-04-23 Tata Consultancy Services Limited Systems and methods for generating real time events
US10193741B2 (en) 2016-04-18 2019-01-29 Nyansa, Inc. System and method for network incident identification and analysis
US10230609B2 (en) 2016-04-18 2019-03-12 Nyansa, Inc. System and method for using real-time packet data to detect and manage network issues
US10200267B2 (en) 2016-04-18 2019-02-05 Nyansa, Inc. System and method for client network congestion detection, analysis, and management
US10491528B2 (en) 2016-10-27 2019-11-26 Hewlett Packard Enterprise Development Lp Selectively monitoring a network of network function chains based on probability of service level agreement violation
US10148549B2 (en) 2016-10-31 2018-12-04 Servicenow, Inc. System and method for identifying components of a computer network based on component connections
US11546266B2 (en) * 2016-12-15 2023-01-03 Arbor Networks, Inc. Correlating discarded network traffic with network policy events through augmented flow
US10652278B2 (en) 2016-12-19 2020-05-12 Forescout Technologies, Inc. Compliance monitoring
JP7069173B2 (ja) * 2016-12-30 2022-05-17 ビットディフェンダー ネザーランズ ビー.ブイ. 高速分析のためにネットワーク・トラフィックを準備するシステム
US10038671B2 (en) * 2016-12-31 2018-07-31 Fortinet, Inc. Facilitating enforcement of security policies by and on behalf of a perimeter network security device by providing enhanced visibility into interior traffic flows
US10592664B2 (en) 2017-02-02 2020-03-17 Cisco Technology, Inc. Container application security and protection
JP6551434B2 (ja) * 2017-02-10 2019-07-31 日本電気株式会社 データ分析システム、記録装置、データ分析装置、データ管理方法、データ分析方法及びプログラム
US10389594B2 (en) * 2017-03-16 2019-08-20 Cisco Technology, Inc. Assuring policy impact before application of policy on current flowing traffic
US10447713B2 (en) 2017-04-26 2019-10-15 At&T Intellectual Property I, L.P. Internet traffic classification via time-frequency analysis
JP6938205B2 (ja) * 2017-05-02 2021-09-22 アライドテレシスホールディングス株式会社 アクセス制御システム
JP7250703B2 (ja) 2017-05-18 2023-04-03 パロ アルト ネットワークス,インコーポレイテッド 相関関係駆動型脅威の評価と修復
US10958623B2 (en) * 2017-05-26 2021-03-23 Futurewei Technologies, Inc. Identity and metadata based firewalls in identity enabled networks
CN107368527B (zh) * 2017-06-09 2020-06-30 东南大学 基于数据流的多属性索引方法
US20180375762A1 (en) * 2017-06-21 2018-12-27 Microsoft Technology Licensing, Llc System and method for limiting access to cloud-based resources including transmission between l3 and l7 layers using ipv6 packet with embedded ipv4 addresses and metadata
US10447598B2 (en) * 2017-07-17 2019-10-15 Qualcomm Incorporated User datagram protocol (UDP) receive offloading
RU2665919C1 (ru) * 2017-07-17 2018-09-04 Акционерное общество "Лаборатория Касперского" Система и способ определения DDoS-атак при некорректной работе сервисов сервера
US10601849B2 (en) * 2017-08-24 2020-03-24 Level 3 Communications, Llc Low-complexity detection of potential network anomalies using intermediate-stage processing
US10903985B2 (en) 2017-08-25 2021-01-26 Keysight Technologies Singapore (Sales) Pte. Ltd. Monitoring encrypted network traffic flows in a virtual environment using dynamic session key acquisition techniques
US10992652B2 (en) 2017-08-25 2021-04-27 Keysight Technologies Singapore (Sales) Pte. Ltd. Methods, systems, and computer readable media for monitoring encrypted network traffic flows
US10586051B2 (en) * 2017-08-31 2020-03-10 International Business Machines Corporation Automatic transformation of security event detection rules
US11750622B1 (en) 2017-09-05 2023-09-05 Barefoot Networks, Inc. Forwarding element with a data plane DDoS attack detector
CN109698814B (zh) * 2017-10-23 2021-06-15 中国电信股份有限公司 僵尸网络发现方法及僵尸网络发现装置
US10666494B2 (en) 2017-11-10 2020-05-26 Nyansa, Inc. System and method for network incident remediation recommendations
US11190544B2 (en) 2017-12-11 2021-11-30 Catbird Networks, Inc. Updating security controls or policies based on analysis of collected or created metadata
JP6898846B2 (ja) * 2017-12-28 2021-07-07 株式会社日立製作所 異常原因特定支援システムおよび異常原因特定支援方法
US11223534B2 (en) 2017-12-29 2022-01-11 Virtual Instruments Worldwide, Inc. Systems and methods for hub and spoke cross topology traversal
US20190205153A1 (en) 2017-12-29 2019-07-04 Virtual Instruments Corporation System and method of dynamically assigning device tiers based on application
CN108270778B (zh) * 2017-12-29 2020-11-20 中国互联网络信息中心 一种dns域名异常访问检测方法及装置
US10574575B2 (en) * 2018-01-25 2020-02-25 Cisco Technology, Inc. Network flow stitching using middle box flow stitching
US10798015B2 (en) * 2018-01-25 2020-10-06 Cisco Technology, Inc. Discovery of middleboxes using traffic flow stitching
US10999167B2 (en) 2018-04-13 2021-05-04 At&T Intellectual Property I, L.P. Varying data flow aggregation period relative to data value
US11108812B1 (en) 2018-04-16 2021-08-31 Barefoot Networks, Inc. Data plane with connection validation circuits
WO2019215735A1 (en) * 2018-05-07 2019-11-14 Cyber Sec Bi Ltd. Network data clustering
US11709946B2 (en) 2018-06-06 2023-07-25 Reliaquest Holdings, Llc Threat mitigation system and method
US10855711B2 (en) 2018-06-06 2020-12-01 Reliaquest Holdings, Llc Threat mitigation system and method
US10938685B2 (en) 2018-07-24 2021-03-02 Cisco Technology, Inc. Secure traffic visibility and analytics for encrypted traffic
CN109040229A (zh) * 2018-07-30 2018-12-18 佛山市甜慕链客科技有限公司 一种网络监控方法及系统
US10893030B2 (en) 2018-08-10 2021-01-12 Keysight Technologies, Inc. Methods, systems, and computer readable media for implementing bandwidth limitations on specific application traffic at a proxy element
JP7347428B2 (ja) * 2018-08-15 2023-09-20 ソニーグループ株式会社 ネットワーク監視システム、ネットワーク監視方法、及びプログラム
US10659301B2 (en) 2018-08-24 2020-05-19 Cisco Technology, Inc. Configuring container attribute data on network switches to enable networking functionality
CN109474602A (zh) * 2018-11-27 2019-03-15 武汉虹旭信息技术有限责任公司 一种海量数据的安全审计系统及其方法
US10999202B2 (en) 2018-11-30 2021-05-04 Oracle International Corporation Methods, systems, and computer readable media for distributing Sigtran connections among signal transfer point (STP) message processors
JP7079721B2 (ja) * 2018-12-05 2022-06-02 アラクサラネットワークス株式会社 ネットワーク異常検知装置、ネットワーク異常検知システム及びネットワーク異常検知方法
CN112840623B (zh) * 2019-01-22 2023-02-03 华为技术有限公司 数据报文传输方法及节点
US11115278B2 (en) * 2019-02-25 2021-09-07 Cisco Technology, Inc. Learning by inference from brownfield deployments
JP6904600B2 (ja) * 2019-02-27 2021-07-21 Necフィールディング株式会社 データ取得装置、クライアントサーバシステム、データ取得方法、及び、プログラム
CN111628900B (zh) * 2019-02-28 2023-08-29 西门子股份公司 基于网络协议的模糊测试方法、装置和计算机可读介质
US10887380B2 (en) * 2019-04-01 2021-01-05 Google Llc Multi-cluster ingress
US10999159B2 (en) * 2019-04-04 2021-05-04 Cisco Technology, Inc. System and method of detecting application affinity using network telemetry
US11082434B2 (en) 2019-04-06 2021-08-03 International Business Machines Corporation Inferring temporal relationships for cybersecurity events
CN111859028A (zh) * 2019-04-30 2020-10-30 伊姆西Ip控股有限责任公司 创建用于流式存储的索引的方法、设备和计算机程序产品
US11132109B2 (en) * 2019-05-08 2021-09-28 EXFO Solutions SAS Timeline visualization and investigation systems and methods for time lasting events
USD926809S1 (en) 2019-06-05 2021-08-03 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
USD926810S1 (en) 2019-06-05 2021-08-03 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
USD926782S1 (en) 2019-06-06 2021-08-03 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
USD926200S1 (en) 2019-06-06 2021-07-27 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
USD926811S1 (en) 2019-06-06 2021-08-03 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
CN110519273B (zh) * 2019-08-28 2021-11-02 杭州迪普科技股份有限公司 入侵防御方法和装置
JP7376288B2 (ja) * 2019-09-10 2023-11-08 アズビル株式会社 特定装置および特定方法
US11621970B2 (en) * 2019-09-13 2023-04-04 Is5 Communications, Inc. Machine learning based intrusion detection system for mission critical systems
JP7290168B2 (ja) * 2019-09-30 2023-06-13 日本電気株式会社 管理装置、ネットワーク監視システム、判定方法、通信方法、及びプログラム
CN110752895A (zh) * 2019-10-22 2020-02-04 盛科网络(苏州)有限公司 以太网报文的编程方法和装置
US11190417B2 (en) * 2020-02-04 2021-11-30 Keysight Technologies, Inc. Methods, systems, and computer readable media for processing network flow metadata at a network packet broker
US11323381B2 (en) * 2020-04-16 2022-05-03 Juniper Networks, Inc. Dropped packet detection and classification for networked devices
EP3896906B1 (en) 2020-04-16 2024-04-24 Juniper Networks, Inc. Dropped packet detection and classification for networked devices
US11855861B2 (en) 2020-05-28 2023-12-26 Axellio Inc. High performance packet capture and analytics architecture
CN113810242A (zh) * 2020-06-16 2021-12-17 中盈优创资讯科技有限公司 系统日志分析方法及装置
US10860717B1 (en) 2020-07-01 2020-12-08 Morgan Stanley Services Group Inc. Distributed system for file analysis and malware detection
US11061879B1 (en) 2020-07-01 2021-07-13 Morgan Stanley Services Group Inc. File indexing and retrospective malware detection system
US10990676B1 (en) 2020-07-01 2021-04-27 Morgan Stanley Services Group Inc. File collection method for subsequent malware detection
CN111817905B (zh) * 2020-09-07 2020-12-15 腾讯科技(深圳)有限公司 一种网络配置方法、相关装置及存储介质
CN111935175B (zh) * 2020-09-14 2020-12-29 华芯生物科技(武汉)有限公司 一种检测设备的数据加密传输方法
US11576072B2 (en) 2020-09-21 2023-02-07 Oracle International Corporation Methods, systems, and computer-readable media for distributing S1 connections to mobility management entities (MMEs) and N2 connections to access and mobility management functions (AMFs)
US11956628B2 (en) * 2020-11-23 2024-04-09 Cisco Technology, Inc. Openroaming for private communication systems
CN112468486B (zh) * 2020-11-24 2023-05-02 北京天融信网络安全技术有限公司 Netflow数据去重方法、装置、电子设备及存储介质
CN113194043B (zh) * 2021-03-18 2022-09-02 成都深思科技有限公司 一种nat环境下的网络流量分类方法
US20220384061A1 (en) * 2021-05-25 2022-12-01 Optiks Solutions, Inc. System and method for secure healthcare professional communication
CN113507395B (zh) * 2021-06-21 2023-02-03 华东师范大学 一种网络数据流的状态追踪装置
US20230015789A1 (en) * 2021-07-08 2023-01-19 Vmware, Inc. Aggregation of user authorizations from different providers in a hybrid cloud environment
CN114201955A (zh) * 2021-11-29 2022-03-18 北京智美互联科技有限公司 互联网流量平台监测方法和系统
CN114384792B (zh) * 2021-12-10 2024-01-02 浙江大学 一种安全冗余的plc通信控制系统
WO2024015259A1 (en) * 2022-07-12 2024-01-18 Mango Slushy, Inc. Streaming complex endpoint events
CN116048822B (zh) * 2023-04-03 2023-07-07 成都新西旺自动化科技有限公司 一种高吞吐的并行日志存储系统及方法

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001052178A1 (en) * 2000-01-13 2001-07-19 Digimarc Corporation Authenticating metadata and embedding metadata in watermarks of media signals
US7127743B1 (en) * 2000-06-23 2006-10-24 Netforensics, Inc. Comprehensive security structure platform for network managers
US7707305B2 (en) 2000-10-17 2010-04-27 Cisco Technology, Inc. Methods and apparatus for protecting against overload conditions on nodes of a distributed network
US20040117658A1 (en) * 2002-09-27 2004-06-17 Andrea Klaes Security monitoring and intrusion detection system
WO2005050385A2 (en) * 2003-11-13 2005-06-02 Commvault Systems, Inc. System and method for performing integrated storage operations
US7996427B1 (en) * 2005-06-23 2011-08-09 Apple Inc. Unified system for accessing metadata in disparate formats
US8688790B2 (en) * 2005-07-01 2014-04-01 Email2 Scp Solutions Inc. Secure electronic mail system with for your eyes only features
US20070033190A1 (en) * 2005-08-08 2007-02-08 Microsoft Corporation Unified storage security model
JP4512196B2 (ja) * 2005-10-20 2010-07-28 アラクサラネットワークス株式会社 異常トラヒックの検出方法およびパケット中継装置
US7653633B2 (en) 2005-11-12 2010-01-26 Logrhythm, Inc. Log collection, structuring and processing
JP4346096B2 (ja) * 2006-02-22 2009-10-14 日本電信電話株式会社 トラフィックデータ集約装置およびトラフィックデータ集約方法
US7633944B1 (en) 2006-05-12 2009-12-15 Juniper Networks, Inc. Managing timeouts for dynamic flow capture and monitoring of packet flows
US7797335B2 (en) * 2007-01-18 2010-09-14 International Business Machines Corporation Creation and persistence of action metadata
US8011010B2 (en) * 2007-04-17 2011-08-30 Microsoft Corporation Using antimalware technologies to perform offline scanning of virtual machine images
US9014047B2 (en) 2007-07-10 2015-04-21 Level 3 Communications, Llc System and method for aggregating and reporting network traffic data
US8250590B2 (en) * 2007-07-13 2012-08-21 International Business Machines Corporation Apparatus, system, and method for seamless multiple format metadata abstraction
US8359320B2 (en) * 2007-10-31 2013-01-22 At&T Intellectual Property I, Lp Metadata repository and methods thereof
WO2010028279A1 (en) 2008-09-05 2010-03-11 Arcsight, Inc. Storing log data efficiently while supporting querying
US20100071065A1 (en) 2008-09-18 2010-03-18 Alcatel Lucent Infiltration of malware communications
CN101686235B (zh) * 2008-09-26 2013-04-24 北京神州绿盟信息安全科技股份有限公司 网络异常流量分析设备和方法
US8954957B2 (en) 2009-07-01 2015-02-10 Riverbed Technology, Inc. Network traffic processing according to network traffic rule criteria and transferring network traffic metadata in a network device that includes hosted virtual machines
CN101610174B (zh) * 2009-07-24 2011-08-24 深圳市永达电子股份有限公司 一种日志事件关联分析系统与方法
US8910212B2 (en) * 2010-09-29 2014-12-09 Verizon Patent And Licensing Inc. Multiple device storefront for video provisioning system
US9392010B2 (en) * 2011-11-07 2016-07-12 Netflow Logic Corporation Streaming method and system for processing network metadata
US20140075557A1 (en) * 2012-09-11 2014-03-13 Netflow Logic Corporation Streaming Method and System for Processing Network Metadata
US8688703B1 (en) * 2011-12-22 2014-04-01 Emc Corporation Metadata cache supporting multiple heterogeneous systems
US20140074894A1 (en) * 2012-09-13 2014-03-13 Clo Virtual Fashion Inc. Format conversion of metadata associated with digital content

Also Published As

Publication number Publication date
CN104115463A (zh) 2014-10-22
WO2013070631A1 (en) 2013-05-16
EP2777226A1 (en) 2014-09-17
CA2854883A1 (en) 2013-05-16
US20170013001A1 (en) 2017-01-12
KR20140106547A (ko) 2014-09-03
JP2015502060A (ja) 2015-01-19
CN104115463B (zh) 2017-04-05
EP2777226A4 (en) 2015-10-14
US20130117847A1 (en) 2013-05-09
EP2777226B1 (en) 2019-08-28
US10079843B2 (en) 2018-09-18
US9392010B2 (en) 2016-07-12

Similar Documents

Publication Publication Date Title
RU2014124009A (ru) Метод и система потоковой передачи данных для обработки сетевых метаданных
US10904203B2 (en) Augmenting network flow with passive DNS information
US10547674B2 (en) Methods and systems for network flow analysis
CN109951477B (zh) 一种基于威胁情报检测网络攻击的方法和装置
KR101295708B1 (ko) 트래픽 수집장치, 트래픽 분석장치, 시스템 및 그 분석방법
TW201703465A (zh) 網路異常偵測技術
CN114584401B (zh) 一种面向大规模网络攻击的追踪溯源系统及方法
CN108270699B (zh) 报文处理方法、分流交换机及聚合网络
US9942122B2 (en) Fast packet retrieval based on flow ID and metadata
US10855549B2 (en) Network data processing driver for a cognitive artificial intelligence system
US20170295193A1 (en) Adaptive anomaly context description
TWM594841U (zh) 封包擷取分析裝置及具有該封包擷取分析裝置之網路資安系統
CN108206788B (zh) 一种流量的业务识别方法及相关设备
Gharakheili et al. iTeleScope: Softwarized network middle-box for real-time video telemetry and classification
CN112929376A (zh) 一种流量数据的处理方法、装置、计算机设备和存储介质
JP2016167799A (ja) ネットワークモニタリング方法及び装置、並びにパケットフィルタリング方法及び装置
US20160248652A1 (en) System and method for classifying and managing applications over compressed or encrypted traffic
CN112055007B (zh) 一种基于可编程节点的软硬件结合威胁态势感知方法
US9398040B2 (en) Intrusion detection system false positive detection apparatus and method
WO2017196842A1 (en) Monitoring network traffic to determine similar content
Oudah et al. Using burstiness for network applications classification
CN114020734A (zh) 一种流量统计去重方法及装置
TWI544764B (zh) 垃圾郵件判定方法及其郵件伺服器
CN108183892B (zh) 报文处理方法及装置
TWI666568B (zh) 在Netflow上以會話型式之P2P殭屍網路偵測方法

Legal Events

Date Code Title Description
FA92 Acknowledgement of application withdrawn (lack of supplementary materials submitted)

Effective date: 20170418