Claims (48)
1. Способ усовершенствованного управления программно-определяемой сетью, содержащей контроллер сети и передающей сетевой трафик с использованием одного или более сетевых протоколов, причем указанная сеть содержит устройства, по меньшей мере некоторые из которых принимают сетевой трафик посредством входного интерфейса и передают сетевой трафик посредством выходного интерфейса, а указанный способ включает этапы, согласно которым:1. A method for advanced management of a software-defined network containing a network controller and transmitting network traffic using one or more network protocols, said network comprising devices, at least some of which receive network traffic through an input interface and transmit network traffic through an output interface , and the specified method includes the steps according to which:
принимают сетевые метаданные от множества источников в системе обработки данных по меньшей мере в одном формате данных,receive network metadata from multiple sources in the data processing system in at least one data format,
обрабатывают указанные сетевые метаданные во время их передачи в указанной сети между сетевым устройством, которое сгенерировало эти сетевые метаданные, и устройством, которое выполнено с возможностью хранения указанных сетевых метаданных для извлечения из них необходимой информации, иprocess said network metadata during transmission on said network between a network device that generated this network metadata and a device configured to store said network metadata to extract necessary information from them, and
определяют информацию, относящуюся к приложениям, работающим в указанной сети, как результат выполнения этапа обработки сетевых метаданных, иdetermine information related to applications running on the specified network as a result of the processing stage of the network metadata, and
используют указанную информацию о приложениях для обеспечения возможности сетевому контроллеру осуществлять более эффективное управление указанной программно-определяемой сетью.use the specified application information to enable the network controller to more effectively manage the specified software-defined network.
2. Способ по п. 1, дополнительно включающий этапы, согласно которым:2. The method according to p. 1, further comprising the steps according to which:
определяют информацию, относящуюся к пользователям, представленным в указанной сети, как результат выполнения этапа обработки метаданных, иdetermine information related to users represented in the specified network as a result of the metadata processing step, and
используют указанную информацию о пользователях для обеспечения возможности сетевому контроллеру осуществлять более эффективное управление указанной программно-определяемой сетью.using the specified user information to enable the network controller to more effectively manage the specified software-defined network.
3. Способ усовершенствованного управления облачной виртуальной вычислительной средой, содержащей облачную операционную систему и контроллер облачной среды и передающей сетевой трафик с использованием одного или более сетевых протоколов, причем указанная сеть содержит устройства, по меньшей мере некоторые из которых принимают сетевой трафик посредством входного интерфейса и передают сетевой трафик посредством выходного интерфейса, причем указанный способ включает этапы, согласно которым:3. A method for advanced management of a cloud virtual computing environment comprising a cloud operating system and a cloud controller and transmitting network traffic using one or more network protocols, said network comprising devices, at least some of which receive network traffic through an input interface and transmit network traffic through an output interface, the method comprising the steps of:
принимают сетевые метаданные от множества источников в облачной виртуальной вычислительной среде по меньшей мере в одном формате данных,receiving network metadata from multiple sources in a cloud virtual computing environment in at least one data format,
обрабатывают указанные сетевые метаданные во время их передачи в указанной среде между сетевым устройством, которое сгенерировало указанные сетевые метаданные, и устройством, которое выполнено с возможностью хранения указанных сетевых метаданных для извлечения из них необходимой информации,process said network metadata during transmission in a specified environment between a network device that generated said network metadata and a device that is configured to store said network metadata to extract necessary information from them,
определяют информацию, относящуюся к приложениям, работающим в указанной среде, как результат выполнения этапа обработки метаданных иdetermine information related to applications running in the specified environment as a result of the metadata processing step and
используют указанную информацию о приложениях для обеспечения возможности контроллеру облачной среды осуществлять более эффективное управление указанной облачной виртуальной вычислительной средой.use the specified application information to enable the cloud controller to more effectively manage the specified cloud virtual computing environment.
4. Способ по п. 3, согласно которому дополнительно:4. The method according to p. 3, according to which additionally:
определяют информацию, относящуюся к пользователям, представленным в указанной среде, как результат выполнения этапа обработки метаданных иdetermine information related to users represented in the specified environment as a result of the metadata processing step and
используют указанную информацию о пользователях для обеспечения возможности контроллеру облачной среды осуществлять более эффективное управление указанной облачной виртуальной вычислительной средой.use the specified user information to enable the cloud controller to more efficiently manage said cloud virtual computing environment.
5. Способ обеспечения доступа по запросу к сетевым метаданным, связанным с идентифицированным потенциально опасным сетевым событием, в сети, в которой устройства передают сетевой трафик с использованием одного или более сетевых протоколов, причем указанная сеть содержит устройства, по меньшей мере некоторые из которых принимают сетевой трафик посредством входного интерфейса и передают сетевой трафик посредством выходного интерфейса, а указанный способ включает этапы, согласно которым:5. A method for providing on-demand access to network metadata associated with an identified potentially dangerous network event in a network in which devices transmit network traffic using one or more network protocols, said network comprising devices, at least some of which accept network traffic through the input interface and transmit network traffic through the output interface, and the specified method includes the steps according to which:
обрабатывают сетевые метаданные потоковым способом согласно настроенному набору политик обработки сетевых метаданных,process network metadata in a streaming manner according to a configured set of network metadata processing policies,
сохраняют индексированную по времени совокупность сетевых метаданных в запоминающем устройстве с быстрым доступом к данным в течение определенного периода времени,save time-indexed set of network metadata in a storage device with quick access to data for a certain period of time,
идентифицируют потенциально опасное сетевое событие иidentify a potentially dangerous network event and
получают набор сетевых метаданных, связанных во времени с указанным идентифицированным потенциально опасным сетевым событием, из указанной индексированной по времени совокупности иreceive a set of network metadata associated in time with the identified identified potentially dangerous network event from the specified time-indexed set and
выполняют анализ для соотнесения указанного набора сетевых метаданных с указанным идентифицированным потенциально опасным сетевым событием для получения дополнительных характеристик указанного идентифицированного потенциально опасного сетевого события.perform an analysis to correlate the specified set of network metadata with the identified identified potentially dangerous network event to obtain additional characteristics of the specified identified potentially dangerous network event.
6. Способ по п. 5, дополнительно включающий этап, согласно которому удаляют выбранные сетевые метаданные из запоминающего устройства с быстрым доступом к данным для облегчения поступления в него новых сетевых метаданных.6. The method according to claim 5, further comprising the step of removing the selected network metadata from a memory device with quick access to data to facilitate the entry of new network metadata into it.
7. Способ определения ведомых узлов ботнета в соединенном с сетью устройстве, согласно которому:7. A method for determining slave nodes of a botnet in a network-connected device, according to which:
используют линейный алгоритм кластерного анализа для классификации исходящего трафика в сети, причем этот линейный алгоритм кластерного анализа учитывает частоту сеансов связи с ведущими узлами сети в идентифицируемых географических местах и модели передачи данных, такие как, без ограничения, тип приложения, пропускная способность, количество пакетов данных в потоке, средний размер пакета данных в каждом потоке и скорость трафика,they use a linear cluster analysis algorithm to classify outgoing traffic in the network, and this linear cluster analysis algorithm takes into account the frequency of communication sessions with leading network nodes in identifiable geographical locations and data transfer models, such as, without limitation, application type, bandwidth, number of data packets per stream, average data packet size in each stream and traffic speed,
идентифицируют, на основании результата выполнения этапа использования, исходящий трафик в указанной сети, который не представляет собой часть общей модели трафика в этой сети,identify, based on the result of the implementation phase of the use, outgoing traffic in the specified network, which is not part of the overall traffic model in this network,
сообщают предупредительный сигнал, если исходящий трафик в указанной сети не представляет собой часть общей модели траффика в этой сети.report a warning signal if outgoing traffic in the specified network does not constitute part of the overall traffic model in this network.
8. Система для усовершенствованного управления программно-определяемой сетью, содержащей контроллер сети и передающей сетевой трафик с использованием одного или более сетевых протоколов, причем указанная сеть содержит устройства, по меньшей мере некоторые из которых принимают сетевой трафик посредством входного интерфейса и передают сетевой трафик посредством выходного интерфейса, и генерируют сетевые метаданные, относящиеся к указанному сетевому трафику, а указанная система управления содержит:8. A system for advanced management of a software-defined network comprising a network controller and transmitting network traffic using one or more network protocols, said network comprising devices, at least some of which receive network traffic through an input interface and transmit network traffic through an output interface, and generate network metadata related to the specified network traffic, and the specified control system contains:
по меньшей мере один входной интерфейс для приема сетевых метаданных от множества источников в программно-определяемой сети по меньшей мере в одном формате данных,at least one input interface for receiving network metadata from multiple sources in a software-defined network in at least one data format,
обрабатывающее устройство для обработки указанных сетевых метаданных во время их передачи в указанной сети между сетевым устройством, которое сгенерировало указанные сетевые метаданные, и устройством, которое выполнено с возможностью хранения указанных сетевых метаданных для извлечения из них необходимой информации,a processing device for processing the specified network metadata during transmission in the specified network between the network device that generated the specified network metadata and the device that is configured to store the specified network metadata to extract the necessary information from them,
причем обрабатывающее устройство определяет информацию, относящуюся к приложениям, работающим в указанной сети, и использует эту информацию о приложениях для обеспечения возможности контроллеру сети осуществлять более эффективное управление указанной программно-определяемой сетью.moreover, the processing device determines the information related to the applications running in the specified network, and uses this information about the applications to enable the network controller to carry out more efficient management of the specified software-defined network.
9. Система по п. 8, в которой обрабатывающее устройство определяет информацию, относящуюся к пользователям, представленным в указанной сети, как результат выполнения этапа обработки метаданных, и использует указанную информацию о пользователях для обеспечения возможности контроллеру сети эффективно управлять указанной программно-определяемой сетью.9. The system of claim 8, in which the processing device determines information related to users represented in the specified network as a result of the metadata processing step and uses the specified user information to enable the network controller to effectively manage the specified software-defined network.
10. Система для усовершенствованного управления облачной виртуальной вычислительной средой, содержащей облачную операционную систему и контроллер облачной среды, который передает сетевой трафик с использованием одного или более сетевых протоколов, причем указанная сеть содержит устройства, по меньшей мере некоторые из которых принимают сетевой трафик посредством входного интерфейса и передают сетевой трафик посредством выходного интерфейса, а указанная система управления дополнительно содержит:10. A system for advanced management of a cloud virtual computing environment comprising a cloud operating system and a cloud controller that transmits network traffic using one or more network protocols, said network comprising devices, at least some of which receive network traffic through an input interface and transmit network traffic through the output interface, and the specified control system further comprises:
интерфейс для приема сетевых метаданных от множества источников в указанной облачной виртуальной вычислительной среде по меньшей мере в одном формате данных,an interface for receiving network metadata from multiple sources in said cloud virtual computing environment in at least one data format,
обрабатывающее устройство для обработки указанных сетевых метаданных во время их передачи в указанной среде между сетевым устройством, которое сгенерировало эти сетевые метаданные, и устройством, которое выполнено с возможностью хранения указанных сетевых метаданных для извлечения из них необходимой информации,a processing device for processing the specified network metadata during transmission in the specified environment between the network device that generated this network metadata and a device that is configured to store the specified network metadata to extract the necessary information from them,
причем обрабатывающее устройство определяет информацию, относящуюся к приложениям, работающим в указанной среде, как результат выполнения этапа обработки метаданных и использует указанную информацию о приложениях для предоставления возможности контроллеру облачной среды осуществлять более эффективное управление указанной облачной виртуальной вычислительной средой.moreover, the processing device determines information related to applications running in the specified environment as a result of the metadata processing step and uses the specified application information to enable the cloud controller to more effectively manage the specified cloud virtual computing environment.
11. Система по п. 10, в которой обрабатывающее устройство определяет информацию, относящуюся к пользователям, представленным в указанной среде, как результат выполнения этапа обработки метаданных и использует указанную информацию о пользователях для обеспечения возможности контроллеру облачной среды осуществлять более эффективное управление указанной облачной виртуальной вычислительной средой.11. The system of claim 10, wherein the processing device determines information related to users represented in the specified environment as a result of the metadata processing step and uses the specified user information to enable the cloud controller to more efficiently manage the specified cloud virtual computing Wednesday.
12. Система для обеспечения доступа по запросу к сетевым метаданным, относящимся к идентифицированному потенциально опасному сетевому событию, в сети, в которой устройства передают сетевой трафик с использованием одного или более сетевых протоколов, причем указанная сеть содержит устройства, по меньшей мере некоторые из которых принимают сетевой трафик посредством входного интерфейса и передают сетевой трафик посредством выходного интерфейса, а указанная система содержит:12. A system for providing on-demand access to network metadata related to an identified potentially dangerous network event in a network in which devices transmit network traffic using one or more network protocols, said network comprising devices, at least some of which receive network traffic through the input interface and transmit network traffic through the output interface, and the specified system contains:
обрабатывающее устройство для обработки сетевых метаданных потоковым способом согласно настроенному набору политик обработки сетевых метаданных,a processing device for processing network metadata in a streaming manner according to a customized set of network metadata processing policies,
запоминающее устройство с быстрым доступом к данным для хранения индексированной по времени совокупности сетевых метаданных в течение определенного периода времени,a fast data access storage device for storing time-indexed aggregate network metadata for a certain period of time,
причем обрабатывающее устройство определяет потенциально опасное сетевое событие и обеспечивает получение набора сетевых метаданных, связанных во времени с указанным идентифицированным потенциально опасным сетевым событием, из указанной индексированной по времени совокупности иmoreover, the processing device determines a potentially dangerous network event and provides a set of network metadata associated in time with the identified identified potentially dangerous network event from the specified time-indexed population and
анализирующее устройство для выполнения анализа для соотнесения указанного набора сетевых метаданных с указанным идентифицированным потенциально опасным сетевым событием для получения дополнительных характеристик указанного идентифицированного потенциально опасного сетевого события.an analysis device for performing an analysis to correlate the specified set of network metadata with the identified identified potentially dangerous network event to obtain additional characteristics of the identified identified potentially dangerous network event.
13. Система по п. 12, дополнительно содержащая устройство управления памятью для удаления выбранных сетевых метаданных из запоминающего устройства с быстрым доступом к данным для облегчения поступления в него новых сетевых метаданных.13. The system of claim 12, further comprising a memory management device for deleting selected network metadata from a memory device with quick access to data to facilitate new network metadata being received therein.
14. Система для определения ведомых узлов ботнета в соединенном с сетью устройстве, содержащая:14. A system for determining slave nodes of a botnet in a device connected to the network, comprising:
обрабатывающее устройство для использования линейного алгоритма кластерного анализа для классификации исходящего трафика в сети,a processing device for using a linear cluster analysis algorithm to classify outgoing traffic in a network,
причем указанный алгоритм кластерного анализа учитывает частоту сеансов связи с ведущими узлами сети в идентифицируемых географических местах и модели передачи данных, такие как, без ограничения, тип приложения, частота передачи, количество пакетов в потоке, средний размер пакета в каждом потоке и скорость трафика,wherein said cluster analysis algorithm takes into account the frequency of communication sessions with leading network nodes in identifiable geographical locations and data transmission models, such as, without limitation, application type, transmission frequency, number of packets in a stream, average packet size in each stream, and traffic speed,
анализирующее устройство, которое идентифицирует исходящий трафик в указанной сети, который не представляет собой часть общей модели трафика в указанной сети, на основании результатов применения указанного алгоритма кластерного анализа, иan analyzing device that identifies outgoing traffic in the specified network, which is not part of the overall traffic model in the specified network, based on the results of applying the specified cluster analysis algorithm, and
устройство генерирования предупредительных сигналов для сообщения предупредительного сигнала, если исходящий трафик в указанной сети не представляет собой часть общей модели трафика в этой сети.an alarm generating device for alerting if the outgoing traffic in the indicated network is not part of the overall traffic model in this network.