TW201138403A - Automatic address range detection for IP networks - Google Patents

Description

201138403 六、發明說明： 【發明所屬之技術領域】 本發明係關於自動偵測IP(網際網路協定）網路的位址範 圍。本發明提供自網路流量中的資料偵測Ip位置範圍，並自^ 以此位址範圍組.態裝置，以區分與此裝置運作的網路其内外IP 位址之方法、裝置及電腦程式。本發明亦提供監控流量、偵測 網路位址範圍、並接著適當的處理流量的自我組態網路裝置、。“ 【先前技術】 在IP網路中，TCP/IP(傳輸控制協定/網際網路協定)網路 統的每個網路内的裝置’係透過㈣的1?位址作辨識。封包:、 根據目的地裝置的ΠΜ立址，在網路十進行遞送。依照目前IP 、周路所實施的TCP/IP第四版系統，Ip位址係以32位元作表示， 通常是以四個十進位數，以句轉開的方式表示。（隨後IP第、六 =提供128位元的IP位址，但程序大致相同）。每個十進位數^ 255的值’作為32位TL的位址中四個連續的八 =其中-個區段的十進位數值。—個lp位址有效地包含二個^ 部份是用來辨識該網路中 中的裝置的1^址具有共通的前端部分。 此心μ侧來觸其網路，有效定義_財所有裝置的 2„即，若τ裝置的位址具有適當的網路位址字首， 分為許多子網路(subnet)，則網路^即屬於此網路。若網路被 割。在此情況，Π> 4立址會有關更可作進一步的分 網路位址加上子網路位址即係作為子網雜址之用。 每個裝置…址具有一個的位址範圍， ^ 3、、.罔路及子網路位址的前端部 201138403 分0 哀置可月匕基方、才夕因素需要區分網 純 要自整個内部網路資料流，筛選 =而 分此等資料流。此筛選或心== 況下，可能兩要斜跑J ’在資料流為主的流量監控情 需要自網路内管旦例如來自網路x的流量）、或者 ;：的細節 ㈣出網際網路流量，而僅㈣特定資料 IP位1前=要:;動:式進行組態’以區分網路内外的 置(例如路由器、交換===路的f址範圍程式化於任何裝 流。每當網路位址改變時路裝置）’以適當的處理資料 某網路區段時、或基於網路^如w網路的發展而新增或移除 於稱重組，即需要重複此作業。 【發明内容】 位址__賴娜路之 其資料流含置轉越網路邊界的每個資料流，

⑻來源與目二=源;目的地IP 向的方向資料中之_者；#者與⑻表示通過網路邊界的流 產生一樹狀資料結構，代表資料流中的π>位址，使樹的分 201138403 1£>位址的連續部分相關聯，且在樹中， Ί、通⑽的ip位址係、以至少—個共通節點作表示； 根據=流資料的至少一個子組中所代表的ίρ位址 率，分配樹中節點的權重； 生

rJ IP朽根=分配_重，辨識—節點，此節闕與網路的所有 址範最終前端錄部份相關聯，進而伽，J網路的心立 路其内自=1!址範圍組態裝置’以區分與此裝置運作的網 -««« 路的方法可自基本的資料流資料，自動_IP網 後猎此褒置可自動以該位址範圍作組態，以在隨 灸作業中區》内部與外部的ΙΡ位址。本發明 Γ*^ 心至少所處理的資料流相關的作業。本發 •二個麵(即網_ 路鬼罢张二I ώ其流資料。較佳實施例亦取得網 ^置所收到來自網路内以及轉回（咖ed baek)網路的資料 料流或内部f料流)的資料流㈣。在任何情況下， ，·士母個貝料流所取得的資济二 後者ϋ 以及表示經過網路邊界的流向的方向資料。在 ΐ=,，：向資料可為任何可區分離開網路的資卿^ 鮮、人網路的㈣流(進人資料流)的資料。不論是哪 IP::’ 會產生—樹狀資料結構來代表資料流資料中的 止。在Μ中的任何一個分支中，連續的節點係與ιρ位址的 6 201138403 連績部分相_，因此有效地縮窄了正位 前端部分的1?位址(即在共通ΙΡ位址範圍=3 = 點。接著’本發明根據資料流資料的至少 前端位址部份相關聯的節點。這決定了網路的“ m用於自動以偵測到的位址範圍組態裝置，以在‘後作業 ;=:γγ:ιρ位址。因此’本發明之實施例提供實用及 ^文的糸、4 ’供自動位址範圍組態。本系統 境需要區分網路内部及網路外部的Ιρ:= 免手動組恕，已如上述。 應^態’以偵測到的網路位址作組態的裝置可能是 次料:。#可能不是。此裝置處理自其處取得資料流資料的 鬥"L j而，特疋貫施例透過監控流量流、偵測網路位址範 Ξ路:Si根據測到的位址範圍，處理流量，進而得進行此 ':罔^置?自我組態。此裝置可為運作篩選或分類功能的交換 =纟$ ’例如替某賴為主的流量控制作業分類資料流(例 冬内部流量排在外部流量之前）、鱗㈣流為主的監控作業 此作業僅分析内戰外部㈣流搞選資韻。因此，某些實施 歹^含|£控網路中的資料流的步驟，以取得資料流資料。在其 :貫施例中’ ^流資料可取自網路裝置所處理的資料流，此 ^置係另-個以偵測到的位址範圍作自動組態的裝置。資料流 ^料可直接取自網路裝置、或透過自網路流量紀錄提取所需資 方式而間接取得。某些實施例係適用於網路流量紀錄的下 各分析’且制是針對有需要的資料流的事前祕流量紀錄資 201138403 料，如下詳述。 為了表示資料流資料中的IP位址而產生的樹狀資料结構， 型態Γ據需求而建立，例如根據字首樹、或基數或派 翠樹㈣匪㈣々此樹狀資料結構一般係已知個 邊緣來代表㈣結構巾_依性，如下詳述。在本之實施 例中’分配給節點的權重—般係取決於資料流資料^至少 份中所代表的ip位址的發生率。舉例而言，權^ ，㈣中心_發生辭作分配、或者n二 η:!特定子組(例如僅與進入或離開資料二 二刀二所使用的特定權重值及分配給節點的方法 ㈣的内㈣不同，且使用此特重來辨 何_。町__例描述本 資料處理能力的裝置、構件、或系統。再者， Γί;:Γ程式爾立程式、或可為大型程式的元 ’㈣實施於好比光碟的電腦可讀媒體、或供 運作二=:第二面向係提供—電腦程式，其包含導致電腦 當知「電^向所述的方法的程式碼手段。熟此技藝者 二—觸以最—般的方式作解釋，且包含任何具有 的電子龍。電腦程式 5、代碼或註釋的一组沪八沾紅乂士 卞仅仕 ⑻轉換成另m、代碼9 表達，導致電腦直接、或在 後，運作本方f Γ ^或釋後及/或⑻以不同的型態重製 201138403 本發明之一第三面向提供自動偵測ιρ網路的位址範圍的裝 置。本裝置包含儲存資料流資料的記憶體，針對由一網路裝置 轉越、.，罔路邊界的每個資料流，此資m料包含資料流的來源 與目的地IP位址中之—者以及⑻來源與目的地IP位址中之另 一者以及(b)表示流過網路邊界的方向的方向資料中之一者，本 裝置亦包含控制邏輯，係適用於： 產生一樹狀資料結構，代表資料流資料中的Ip位址，使樹 的/刀支中的連績節點係與一正位址的連續部分相關聯，且在樹 中’具有共通前端部分的IP位址係以至少一個共通節點作表示； 根據貧料流貢料的至少一個子組中所代表的Z p位„址的 率’分配樹中節點的權重； 根據所分配的權重，辨識一節點，此節點係與網路的 IP位址共通的最終前端位址部份相關聯，進而偵測網路 址範圍；以及 卟仇 以區分與此裝置運作的網路 以此IP位址範圍組態一裝置 其内外的IP位址。 本發明之一第四面向提供IP網路的自我組態網路裝 中此裝置係用於在網路邊界處理資料流。此裝置包合、，其 控制邏輯，以進行以下步驟： 。’思體與 監控資料流以取得資料流資料，針對裝置所轉越 的每個資料流，資料流資料包含資料流的來源與目的地逆遠界 中之一者以及(a)來源與目的地IP位址中之另一者以及位址 流過網路邊界的方向的方向資料中之一者； 表示 將此資料流資料儲存於記憶體； 產生一樹狀資料結構，代表資料流資料中的Ip位址， ’使樹 201138403 的分支中的連續節點係與一 IP位址的連續部分相關聯 中，具有共通前端部分的ip位址係以至少一個共通節點 才对 根據資料流資料的至少-個子組中所代表力立、^不； 率’分配樹中節點的權重； 的么生 根據所分配的權重，辨識一節點，此節點係與網 IP位址共通的最終前雜址部份相關聯，進、 址範圍；以及 同路的IP位 料流以此1p位址範圍組態一裝置’以根據IP位址範圍處理資 -般而言’在此參考本發明之—面向所述的特徵， 特徵可提供於本發明之另一面向的實施例。 “應 【實施方式】 將jJL!"實施本發明之—網路|置的簡化示意圖，纽干即 的作業所涉及的主要構件。在此 於标網路2的邊界的路由以。路由器]包含置係位 ㈡電路，—般係以3表示，負責 ： 將資料流轉越網路2與-或_^^ 1 一般作業中^ 般路由器邏輯，供控制路由器的 與位址範_‘ 其他7邏輯，在圖巾叫選模組6 由-實施自選:===而言，路 在本區網路2以網路監控6與7控制， 料流。—妒_ t ’、、’、的。卩知的方式運作，以篩選資 又。，空制器、5的控制邏輯可實施於硬體、軟體、 10 201138403 或其結合者。然而’在此範 ，態_1的處理器，以運作者ί ==导知適當的軟體。路由器〗更包含記憶二:ΐ; 存路由^業所產生的許多資料，如下詳述。 太々在Γ路系制運作中，路由器1係依照TCP/IP網路協定的 2 之自本區網路2或外部網路4的流量。再者，筛ΐ 為係用於篩選流置’並紀錄本區網路流 = :^^具體^’^選以可存取路由^所處理:^ 貝二二並係被組㈣師選出網際網路資料流(即由路m =區網路2的邊界的資料流），以流量資料的方式將剩餘的^ 料 的細節紀錄於記贿8。因此，㈣器6係適用於僅紀錄本 區 '内部㈣流的細節（即路由器^斤收到來自本區網路' ，裝置，並轉回網路2中的目的地裝置的資料流）。紀錄於妙 體8的流量資料會被周期性的傳至網路2中的網路監控系統沐 圖不）m般制於整理並轉網路2的流量紀錄。、 器6可根據習知轉框架(例如Iptable)建立而成，並適用錄 任何需要的流量資料，例如來源與目的地正位址、_: 地連接埠威、所傳輸的封包數、連線時間料。網路 餘 可依照習知技術(例如tcpdump、NetF1〇w網路協定、或^F、網 際網路卫程任務小組）標準網際網路協定f (IPFIX))收集並轉呈流量紀錄。 讯輸出 師選器6的基本作業係促進本區網路2與外部網路*之p 位址的區分。基於此因素，路由器〗係以網路2的逆位址範圍 進行組態。位址範圍係由網路位址的字首定義之，此字首:網 201138403 路2中所有衣置所共用的字首，且係與子網路 存於記憶體8，其中子網路位元遮罩表示在ip 罩—同儲 其網路位址字首的相同性的特定位元。藉此欲檢測 對-位址的㈣位元與記憶體8中 ^, 6透過比 以區分内部與外部Ρ彳紐。 ㈣似止子I，進而得 ...................... 2的適當位址範圍作組態，且必須隨著網路的變化、或 整後進行更新。在此實關巾，路由器丨係在學習模❼ 其中偵測其輕網路位址範H路由、^ :份。系統内的路由器1被啟動時，即會自動= 式。圖2的流賴描述確保自我_程序駐要步驟。&权 ，圖2的步驟1()的學習模式被初始化後，作業繼續進行到 巾選賴6對路由n 1所處理的所有流量進行於 I此等流量包含轉越本區網路2的邊界的網際網路資料流皿 2來f網！2内部並轉回網路2的内部資料流。針對每個資 ，抓篩選A 6提取預定的資料流資料’並將此資料流資料儲 存於記憶體8。此資料流資料_容係取決於欲運作定 範圍偵測方法’但至少包含每個資料流的來源及目的地IP位址 中的其中一者。以下描述資料流資料的特定範例，與使用此資 2的不同的位址範圍偵測方法。當已取得足夠的資料流資料 4，=如在預定作業期間之後，本作業繼續進行到步驟Η。在 =步2中，位址範圍偵測器7分析資料流資料，以產生一樹狀 貪料結構，此結構代表資料流資料中的IP位址。在此範例中， 所產生的結構係—個字首樹，以下範例將描述此樹中IP位址的 201138403 呈現。接著，於步驟]3M貞測 此等權重係77配㈣給子謂中的節點。 ㈣址m率有子組、或預定子組中所代表 步驟Η由偵测丄二 個愔7 Φ八1 析刀析方法的犯例將描述如下，但在 —網路2巾#/析使用分配給字首樹的節點的觀，辨識本區 1?位關純她字首。這定義了網路2的位址 /㈣^驟15，形成的字首與子網路鮮顧存於記憶體 體8的位二習模式終止，且正常筛選作業開始利用儲存於記憶 、 于百，區分内部及外部IP位址，進而區分本區及網 際網路資料流，供_選作業之用。 及、，周 一 Ώ 3、、、曰示簡易網路系統，其描述圖2的自我組態程序中 ^ ^位址範_測方法的作業。所示系統包含公司網路c， 其包含二個標示為網站與網站B的子網路。晴A係路由器上 的本區網路。圖中的網際網路(1)代表公司網路c外部的所有網 路。為了描述之便，假設在圖2的步驟11中篩選器6的學習模 式期間，路由器1處理以下一組簡單的資料流： 、

9.4.8.2 __目的地位土 士 128.178.12.34 128.178.12.34 9.4.8.2 128.lli.io 59 9.4.1.2 9.4.1.2 9.3.3.3 9.4.1.2 9.4.8.2 9.4.1.2 128.111.10.59 9.4.1.2 9.3.3.3 9.4.1.2 9.4.8.2 類型 轉呈網際網路流量(A到I) 反轉網際網路流量(I到A) 網際網路到網路伺服器(I到A) 回覆網際網路流量(A到I) 網站間請求(B到A) 網站間回覆(A到B) 本區流量(A到A) 本區流量(A到A) 201138403 在第一位址範圍偵測方法中，圖2的步驟u的 儲存的肓料流資料’係包含學習階段所監控的每個資 源與目的地ip位址。於步驟12，偵測器7產生字首樹，== 料流=貝料中的每個IP位址魏以節點與邊緣的—貝 圖情示替上述IP 4立址所產生的字首樹。圖中，每細2 = 表不其所代表的前端IP位址部份(即位址字首）， 的ΠΜ立址格式的方式作標示。在位址格式末端的％ 3 = 字，係表示^每個節點所定義的位址字首的位元遮罩的^卢。 因此，自根節點的左側分支開始（即一概念節點，為了一致ς 〇·〇.〇.〇/〇作標示）’第一個節點被標示為9〇細，且代表 第-個8位元位元組為十進位值9的位址字首 節^ 與母節點的字首相_，且第二錄元組軒進純 9·4。最後一個節點亦係與母節點的‘首 相關聯且:、第二個位元組的十進位值為】，表示一個 的位：：：為9.4.〗。因此’樹的分支中的連續節點 f址的，部分相_，並代表連續縮㈣心 流貧料中财的ΠΜ紐，料由_分絲示之，且有丘= 貝料/ML Μ料中的特殊IP位址時，即會結束。 在此第-方法中’偵測器7係依照以下方 =權=己=的步驟】3)。針對學習階段所監㈣ 個(即分支的末端)對應來源與目的地π位址的 流所取得的資料流資料中，每個分支所代表== 201138403 數。此範例所取得的計數係以圖4下方的數字列作表示。接*， 位址偵測态7自樹的葉端開始，朝根節點的方向運作，將I. 計數加入與分支中的每個節點相關聯的權重(初始㈣。或^的 利用較多的儲存成本，節點的權重可與葉端的計數―起遞二’ ，用成為一個獨立的步驟。在任一情況下每個母節點二 的榷重，鱗同其子節闕結合權重，即母節闕子樹的權重。 在樹的頂端，分配給根節點的權重代表整個樹的權重。權重的 結果係表示在圖中每個節點的上方。此等節點權重的考量顯 不，與一 IP位址的一既定部分相關聯的每個節點所分配到的權 重，係與資料流資料中正位址的相關位址部份的發生次數成正 偵、測器7以具有權重的卿識本區網路位址範圍的程序 2的步驟14)，係以下列演算法表示： / —根節點 while (weight(\)>weight(root node)/2) do l m2iX c= children(l)weight(c) done L — parent (l) 利用此演算法，偵測器7可在自根節點以下具有最重的節 點(0的分支中’辨識出第-節點，其權重不大於整個樹的權重 =一半。母節點⑹即係代表本區網路2的子樹的根節點。因此， 只際上，演异法自樹的上方向下運作，總會選擇具 的子樹。一旦到達一子樹其權重不大於整個樹的權重的一半 201138403 時，該子樹即在本區網路2内 網路的子樹的根節點L。此 f树的母節點係代表本區 份(在此為8位元的位元組個與最終的前端位址部 路2中所有π>網路共叫=的^點’而此部分係與本區網 首。因此，與節點ζ相關㈣刀，因此代表本區網路的位址字 範圍。將此分析應用到圖字首定義了本區網路的位址 點本區網路2係在圖中的^ Ρ辨雜重為10的節點係節 係以一個W址村為’網路2的位址範圍 上述方法的邏輯如下。封於 源及目的地IP 4立址中的其中 路貝抖流而言，來 另-個會其外部。對於一個本;輕網路2的内部，而 網路2内。在此假設學習階严& ’二個位址皆會在 ^ , ^ 皿拴本區與網際網路二個資料流， ，在本區網路2内的IP位址的資料流 ^^ =網路2之外的逆位址的發生次數。換言二= 内的正位址絲大於-半的f f料巾Ip位 ^ ’若學習階段未監控核·流，即僅監控網際網里 ，則内部與外部IP位址的發生次數將會相同。換句話說,、 區網路_IP位址將代麵好—半的倾流資射 生量。然而，只要字首樹不是剛好包含具有相同(最大)權重;^ 個鄰近子樹，上述方法仍可正確地辨識本區網路。雖然此簡單 的方法適用於許多情境，尤其是在同時監控内部與網際網路資 料流的情況，以下的第二位址範圍偵測方法克服了上述潛在「^ 衡樹」的問題。 料 在第二方法中’在圖2的步驟11由篩選器6所儲存的資 16 201138403 流資料僅包含學習階段中所監控的每個資料流的來源Ip位址。 此資料流資料亦包含每個資料流的方向資料。針對每個網際網 路貧料流，此方向資料表示越過本區網路2的邊界的資料流向， 即此資料流係進入資料流(進入網路2)或離開資料流(離開網路 2)碗比資料可透過監控資料封包進出路由器丨的特定;介面而取 得，且係提供於例如Netflow的方向攔位。在此範例中，方向資 料將内部資料流分類為進入及離開。於步驟12，偵測器7產生 字首樹，以代表資料流資料中的IP位址，在此被監控的資料流 的來源1P位址列示如上。此樹的產生方法係如同上述第一方 法’且係顯‘·示於圖5。 一 在第二方法中，偵測器7分配樹節點的權重（圖2的步驟 13) ’描述如下。對於學習階段所監控的每個資料流，若資料流 係一離開資料流，則對應此資料流的來源IP位址且位於樹葉的 δ十數裔，係以1遞增，若資料流係一進入資料流，則係以1遞 減。由於在此範例中，内部資料流係分類為進入與離開資料流， 因此在此情況下，計數器會以1遞增並以丨遞減，導致總遞增 為零。與在此所監控的資料流相關聯的計數值如下： 來源位址 類型 計數 9.4.8.2 轉呈網際網路流量(A到I) 離開 + 1 128.178.12.34反轉網際網路流量(I到A) 進入 -1 128.11U0.59網際網路到網站伺服器(1到A)進入 -1 9.4.1.2 回覆網際網路(A到I) 離開 + 1 9.3.3.3 網站間請求(B到A) 進入 -1 9.4.1.2 網站間回覆(A到B) 離開 + 1 9.4.8.2 本區流量(A到A) 離開/進入±1 201138403 9.4.1.2 本區流量(A到A) 離開/進入土1 此範例所取得的計數值係由圖5下方的數字列表示。在此 -個正的雜值代表在對應於離·㈣的㈣流資料的子組 中，分支所代表的來源IP位址^的發生次數。在此—個負的計數 值代表在對應於進人資料流的#料流㈣的子組中，分支所代 表的來源IP位址的發生次數。如上述，位址偵測器7接著自樹 葉開始，朝根節點的方向，將葉的計數加人與分支中每個節點 重(初始為零)。(若有需要，節點的權重可與葉的計 增):因此，每個母節點將收到—個等同於其子節點 二;的權重，即該母節點的子樹的權重，且分配給根節 斑離整個樹的權重。所形成㈣點權重財量顯示： 既定部分相關聯的每個節 金重係與忒子組中相關聯的位址部份的發生次 聯的每子組中—lp位址的—部份相關 離門次粗、、ά 不在離開貝料流子組)所分配到的權重，係與該 的正^。L的子組外相關聯的位址部份的發生次數成相反極性 的步驟 14)，H 2 ΐ扭重的樹辨識本區網路位址範圍（圖 )偏U 7貫施以下演算法： 1 -始於根節點 擇，具有正權重的子節點(其他的皆定義為負的） 硬直到找到不只一個具有正權重的子樹為止 目前 的即點(I)即為代表本區網路2的子樹的根。此節點

L 201138403 在此為8位元的位元組)係共通於本 位址字首。因此，'如戶位=相關聯的節點，因此代表本區網路的 t辨識第一節& /2斤不，透過自樹的根節點延伸而出的分支 部份板關聯，且具有即，係與離開貢料流的子組中的-1P位址 份相關聯的方4、不/、個子節點係與該子組的一 ΠΜ立址部 用於圖5的樹即：=路的1P位址範圍。將此分析應 2係在圖中的圓圈内。因此，如t+3的即點為節點乙，本區網路 個16位元位址字首為9.4的作^。’網路2的位址範圍係以一 下。自樹的根移動，只要是在具有正」 第二方法的邏輯如 重（即來源IP位址伤砂軔，只旻更在具有正權 朝本區網路的方的子樹中，則是 在本區網路的根節點交會Γk此“準區分子樹時’即已 财法已透過資料流採樣的方式作描述 然而 區T以不同的方式進行權重分配’只要採用的基 法中，權重主：:節點即可。舉例而言’在上述第二方 慮或甚至監控二與離開龍流。因此，無須考 入與離開資料分進 元旗幟)可僅分配給離開資料;的來;;== ==)給進入資料流的位址。上述演算法的步驟= 間早的根據有權重（有旗幟)的子節點…般而言’

夺’可根據對應離開資料流的資料流;料的子= 所代表的1?位址的發生率，將權重分配給節點。同樣的原則I 19 201138403 工使=監控的資料流的目的地位址。亦即，資料流資料可包 3母個被&控的麟流的目的地Ip位址，以及上述的方向資 =。接者，可根據對應進人資料流㈣料流資料的子組中所代 表的ip位址的發生率，分配權重給節點。 k - 1 上述實施例可在路由器！内自動自我 Ϊ時以選作業使用。學習模式可在第一次安裝路由 = 安裝的路由器1中安裂筛選功能時被啟動， ^手動組⑮°自我組態程序可根據需要作重複，舉例而 二，5 構中的改變可能影響本區位址範圍後。或者， 模式下運作，有效地在背景運作穩定的 因此，增加或歸網純段無需手mm 沭1 23二知例當可作許多潤飾或修改。舉例而言，在上 二县：二’圖4及5的子網路遮罩係多個8位元的位元 的長度。目此’子鱗鮮係與IP位祕式的位元纟且對齊。 的字，_於此等情境。然而’本發明之實施例亦 ^ 2立兀組'又有對齊的子網路遮罩的系統。在此情況下，可 Γΐϊ;或=樹作樹狀資料結構。此等樹狀結構修 然而，值得一提的是，此等樹可以逐位元 點，：匯集任何具有單-子節點的母節點與其子節 由不⑽二即代表的位址部份可有不同的長度，進而包容 所定義的不同的位元遮罩與網路位址範圍。 热此技蟄者當知產生舲括々 20 1 r , __ 树的'、、田郎程序。上述分配權重與辨識位 2 址粑圍的基本原則亦適用於此等實施例。 201138403 實施，發明的自動位址範圍偵測方法適用於任何網路裝 置，例如交換益、路由器、或其他交換點的裝置，此等裝置基 於某些需求需要區分本區與網際網路流量。此裝置可能需要分 類流量(例如基於流量控制或監控目的），而不是篩選流量丨。錦選 器或分類器可用於例如網路防火牆。除了資料流是内部或外部 育料流之外，篩選或分類規則當可根據有關資料流的進一步資 訊。在此的一範例係來源與目的地連接埠號碼，應用程式(例如 在防火牆系統中）可利用此號碼篩選或分類流量。若隨後處理需 要使用此連接埠號碼資訊的話，此資訊可紀錄為資料流資料， 並加入樹狀結構。 ' 雖然上述資料流資料係透過直接在路由器1中監控流量而 取得，但在其他實施例中，資料流資料可自另一網路裝置取得、 或自網路流量紀錄提取所需資料。某些實施例可應用於網路流 量紀錄的下線分析，具體地，係應用於針對有興趣的資料流的L 事剷篩選流量紀錄資料。一般流量紀錄可包含大量的資料，雖 然僅有一部份係供分析之用，例如來自特定網路的流量、或特 定網路的内部流量。因此，實施本發明的方法可用於處理資料 流資料的裝置，此等資料係取自流量紀錄，以辨識相關的網路 位址範圍，接著紀錄此位址範圍以供隨後分析之用，以辨識流 畺紀錄中相關的資料流。因此，此裝置可以網路流量資料的自 我組態篩選器運作。然而，若有需要的話，基本功能可分散於 流f紀錄分析系統中的不只一個裝置。在任何情況下，此事前 篩選系統可有效地自較一般的流量紀錄提取所需資料，並避免 手動組態網路區段，以主動地根據需求篩選流量。 201138403 熟此技藝者當知，以上所描述的範例實施例當可作許多改 變及潤飾，而不偏離本發明之範疇。 【圖式簡單說明】 a 本發明之較佳實施例將參考伴隨圖式，以範例方式作描 述，其中： 圖1係實施本發明之自我組態網路裝置的一示意方塊圖； 圖2表示圖1裝置中的自我組態程序的主要步驟； 圖3繪示一範例網路系統，以描述圖2之自我組態程序中 所使用的二個位址範圍偵測方法； 圖4繪示在第一位址範圍偵測程序中所產生的一樹狀資料 結構；以及 圖5繪示在第二位址範圍偵測程序中所產生的一樹狀資料 結構。 【主要元件符號說明】 1 裝置 2 本區網路 3 網路介面與交換電路 4 外部網路 5 控制器 6 篩選器 7 位址範圍偵測器 8 記憶體 22

Claims (1)

1. 201138403 七、申請專利範圍： 1. 一種自動偵測一網際網路協定(IP)網路的位址 方法包括： ㈤J乃忐’该 取得資料流資料，針對由—網路裝置轉越網路邊 次 料流，該資料流資料包含㈣料流的來源與目的地ίρ位 二 者’以及(a)該來源與該目的地ιρ位 / · 路邊界之流向的方向資料中之一者；$者_)表7^過該網 —大資料結構，代表該資料流資料中的該ιρ位址，使 :及在中2續節點’係與—ΙΡ位址的連續部分相關聯， 作表示了 、有共通前端部分的π位址係以至少-共通節點 概資料的至少—子財所代表的前位址 率，刀配權重給該樹中的節點； 〜根據該分配_重，職與最終的前端位址部份 即點，該部分係與該網路中所有的Ιρ位址丘通八:〜 網路的該IP位址範圍；以及 /、 、D刀’以偵測該 自動以該IP位址範圍組態—裝置，以區分盘 網路的内部及外部IP位址。 、、置運作的该 專利顧第1項所述之方法，該方法包含針對該網财 流資料。㈣並轉_網路的每個倾流，取得該資料 如申請專利範圍第1或2項所述之方法，1中. 以及 該資料流㈣包含該每個資料流的該來源與目的地ΙΡ位址 23 S 201138403 分配==資料流資料中所代表瞻位址的該發生率 4.如申請專利範圍第3項所述之方法，其中： 每U所刀配到的一權重，鑛該資料流資料中該正位址 的該相關位址部份的該發生率成正比；以及 足’周路的4 IP位址範圍的制，係透過在自該樹_根節點 之最重節點的該分支中，辨識第—節點，該節點的權重不大於該 樹的該權重的一半。 5H青專利範圍第1或2項所述之方法，其中： 該資料流資料包含該每個倾流的該來源1?佩，以及轉越 該網路邊界之資料流的該方向資料；以及 根據對應離開該網路的資料流_資料流資料的—子組中所 代表的该IP位址的發生率，分配權重給節點。 6. 如申請專利範圍第項所述之方法，其中： 該貢料流資料包含該每個資料流的該目的地正位址，以及轉 越該網路邊界的資料流的該方向資料；以及 根據對應進人翻路的f料流的該f料流f料的—子組中所 代表的該IP位址的發生率，分配權重給節點。 7. 如申清專利範圍第5或6項所述之方法，其中與該子組中一圧 位址的一部份相關聯的每個節點，係分配一第一極性的一權重， 該權重係與該子組中該相關聯的位址部份的該發生率成正比，以 及與不在5彡子組中之—ip位址的—部份相關聯的每個節點，係分 24 201138403 配相反極性的一權會，兮 份的該發生率成正比， 與該子組外部之該相_位址部 次如申請專利範圍第5至〇項 —， 的該ip位址谢貞測係透過 ^所述之方法，其中該網路 伸自該樹之該根節點的—分〜1點’該第一節點係位於延 位址部份相關聯’以及該：：節點係與該子組令的一 ίΡ 組中之-IP位址部份相關聯。…、、有不只—個子節點與該子 9.如任-前述請求項所述之 量以取得該資料流資料。 〃方法包含監控該網路中之流 川·如任一前述請求項所述 自動組雖該IP 玄方法包含以該位址_ 量。 職中的—網路妓，以根據該IP位址範圍處理= •如曱請專利範圍第u!8項之任 作於越該網路邊界的該網路裝二該方法:含法係 工相喊置中的流量以取得該資料流資料；以及 該1p位址範圍組態該網路衫，以根_IP Μ 一前述請求項所迷之方 之位址範圍的裝置，兮 12· ~種電腦程式，包含導致一電腦運作任 法的程式代碼手段。 種自動偵測一網際網路協定(IP)網路 25 201138403 裝置包含儲存資料流資料的記憶體，針對由 邊界的每-資料流，該資料H料包含該 衣置轉越網路 =位址令之-者，以及⑻該來源與該目的地正二=與^的地 =經過該網路邊界之流向的方向資料中之二C⑼ 步驟的控制邏輯： _ ^从及運作以下 使 該樹 :該射，具有共通前端部分的一以至:=:點 率，==厂子組令所代表㈣位址的發生 節點==:=r前r址部份相關聯的該 網路之該IP位址範圍；以及的以立址/、通的部分，以偵測該 的内組態—展置，以區分與該裝置運作的該網路 在該二U界:置’其中該裝置的運作係處理 步驟： Λ、罝匕含記憶體與控制邏輯，運作以下 至：4==^資概資料，針對該裝置轉越網路邊界的 位址㈣料包含該資料流的來源與目的地IP 表示經過該網路邊界源與該目的地IP位址之另—者與⑼ ，資料流資料儲『中之-者； 產生一樹狀資料結構，代表編流資料中的該正位址，使 26 201138403 該财-分支觸連、—與_ίρ位 有共通前端部分的ΙΡ位址在該射係以至且具 根據該資料流資料的至少一子财所代表的^=^:生 率，分配權重給該樹中的節點； .毛生 〜根據細配_重，辨識與最終的前雜址部份相關聯的該 即點，該部分係與該網路中所有的正位址共通的部 二 網路的該IP紐範圍；以及 偵測邊 位址範圍處理該 以該IP位址範圍組態該裝置，以根據該IP 流量。 1 曰5.如申請專利範圍第14項所述之裝置，適用於篩選及分類宁 27