[go: up one dir, main page]

KR101111099B1 - 네트워크 트래픽 보안 방법들 및 시스템들 - Google Patents

네트워크 트래픽 보안 방법들 및 시스템들 Download PDF

Info

Publication number
KR101111099B1
KR101111099B1 KR1020067017687A KR20067017687A KR101111099B1 KR 101111099 B1 KR101111099 B1 KR 101111099B1 KR 1020067017687 A KR1020067017687 A KR 1020067017687A KR 20067017687 A KR20067017687 A KR 20067017687A KR 101111099 B1 KR101111099 B1 KR 101111099B1
Authority
KR
South Korea
Prior art keywords
traffic
delete delete
network
suspicious
malicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
KR1020067017687A
Other languages
English (en)
Other versions
KR20070049599A (ko
Inventor
마이클 에이. 로이드
만수르 제이. 가람
피에르 프래발
숀 피. 핀
제이스 지. 맥과이어
오마르 씨. 발도나도
Original Assignee
아바야 테크놀러지 코퍼레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아바야 테크놀러지 코퍼레이션 filed Critical 아바야 테크놀러지 코퍼레이션
Publication of KR20070049599A publication Critical patent/KR20070049599A/ko
Application granted granted Critical
Publication of KR101111099B1 publication Critical patent/KR101111099B1/ko
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • H04L41/5019Ensuring fulfilment of SLA
    • H04L41/5022Ensuring fulfilment of SLA by giving priorities, e.g. assigning classes of service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/508Network service management, e.g. ensuring proper service fulfilment according to agreements based on type of value added network service under agreement
    • H04L41/5096Network service management, e.g. ensuring proper service fulfilment according to agreements based on type of value added network service under agreement wherein the managed service relates to distributed or central networked applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • H04L43/0829Packet loss
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • H04L43/087Jitter
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/12Shortest path evaluation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/12Shortest path evaluation
    • H04L45/121Shortest path evaluation by minimising delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/12Shortest path evaluation
    • H04L45/124Shortest path evaluation using a combination of metrics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/50Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/15Flow control; Congestion control in relation to multipoint traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/28Flow control; Congestion control in relation to timing considerations
    • H04L47/283Flow control; Congestion control in relation to timing considerations in response to processing delays, e.g. caused by jitter or round trip time [RTT]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/80Actions related to the user profile or the type of traffic
    • H04L47/803Application aware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/82Miscellaneous aspects
    • H04L47/822Collecting or measuring resource availability data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/82Miscellaneous aspects
    • H04L47/825Involving tunnels, e.g. MPLS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/143Denial of service attacks involving systematic or selective dropping of packets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • H04L41/5009Determining service level performance parameters or violations of service level contracts, e.g. violations of agreed response time or mean time between failures [MTBF]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • H04L41/5019Ensuring fulfilment of SLA
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Business, Economics & Management (AREA)
  • Business, Economics & Management (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크의 네트워크 리소스를 모니터하는 적응형 네트워킹 방법 및 시스템들에 관한 것이다. 상기 방법은 애플리케이션 수행을 모니터한다. 상기 방법은 네트워크의 제 1 서브세트의 트래픽을 분류한다. 제 1 서브세트에 대한 카테고리들은 신뢰, 악성 및 의심을 포함한다. 상기 방법은 제 1 서브세트의 트래픽에 대한 카테고리에 기초하여 제 2 서브세트의 트래픽에 대한 액션을 결정한다. 몇몇 실시예들은 제 1 서브세트 및 제 2 서브세트를 가진 제 1 장치 및 트래픽을 포함하는 적응형 네트워킹을 위한 시스템을 제공한다. 상기 시스템은 트래픽 전송을 위한 제 1 리소스 및 제 2 리소스를 포함한다. 제 1 장치는 트래픽을 수신하고 트래픽을 제 1 및 제 2 서브세트들로 분류한다. 제 1 장치는 제 1 서브세트를 제 1 리소스에 할당한다. 몇몇 실시예들은 인입 트래픽을 수신하기 위한 입력, 인출 트래픽을 전송하기 위한 출력, 인입 트래픽을 분류하는 분류 모듈, 및 특정 리소스에 대해 분류된 트래픽을 할당하는 리소스 할당 모듈을 포함하는 네트워크 장치를 제공한다. 장치용 트래픽 카테고리는 의심 트래픽을 포함한다.
적응형 네트워킹, 트래픽 카테고리, 가상 로컬 액세스 네트워크

Description

네트워크 트래픽 보안 방법들 및 시스템들{Methods of and systems for network traffic security}
이 출원은 발명의 명칭이 "원격 아웃바운드 제어, 보안 스트로맨을 위한 방법들 및 시스템들(METHODS AND SYSTEMS FOR REMOTE OUTBOUND CONTROL, SECURITY STRAWMAN)"이고, 2004년 9월 9일 출원된 공동 계류중인 미국예비특허출원 번호 60/609,062호를 35 U.S.C.§119(e)하에서 우선권 주장하고, 상기 우선권은 여기에 참조로써 통합된다.
본 발명은 네트워크 트래픽 보안에 관한 것이다. 특히, 본 발명은 트래픽 분류 및/또는 리소스 할당을 사용함으로써 네트워크 트래픽 보안을 제공하는 것에 관한 것이다.
네트워크 간 동작하는 네트워크들의 현재 연관된 세계에서, 원하지 않는 액세스 및 원하지 않는 침입들을 막는 것은 변치않는 문제이다. 네트워크 기반 공격들에 대처하는 몇가지 접근법들은 응답을 공식화하는(formulating) 단계로서 침입 발생을 검출하는 단계를 포함한다. 통상적인 침입 검출 기술들은 잘못된 긍정들(false positive) 및 잘못된 부정들(false negative)로부터 고통받고, 상기 잘못된 긍정들 및 부정들은 종종 바람직하지 않은 결과들을 가진다. 잘못된 부정들은 공격들로부터 네트워크를 보호할 수 없게 하고, 잘못된 긍정들은 "늑대야 라고 외치는(cry wolf)" 비지니스 또는 시스템들 손실을 발생시킨다. 따라서, 잘못된 긍정들은 또한 네트워크를 보호하는데 실패하는데, 그 이유는 이런 형태의 에러는 궁극적으로 실제 공격으로부터 네트워크를 보호하기 위한 해결책들의 효율성을 감소시키기 때문이다.
잘못된 긍정들 및 부정들의 문제는 통상적인 침입 검출 시스템들에서 두 개의 특징을 발생시킨다. 비록 예를 들어 서비스 거부(denial of service; DoS) 공격들 같은 침입 또는 공격으로부터 데이터 센터들, 서버들 및 네트워크 리소스들을 보호하기 위하여 시도하는 많은 제품들 및 방법들이 존재하지만, 통상적인 방법들 모두는 다음 특징들을 공유한다:
(1) 상기 방법은 몇몇 종류의 네트워크 트래픽 시험에서만 침입을 검출할 수 있다. 즉, 상기 방법이 온라인이든 오프라인이든, 상기 방법은 공격이 각각의 패킷을 관찰하고 그 특성들 및 내용들을 시험함으로써 제공되는지 여부를 결정한다. 따라서, 보다 구체적으로, 네트워크의 다른 툴들 및 프로토콜들과 상호작용으로부터 얻어진 외부적인 지식은 검출에 도움을 주는데 거의 사용되지 못한다. 게다가, 트래픽이 신뢰적인지(trust) 악성(bad)인지의 결정은 현재 트래픽 자체의 시험만을 기반으로 할 때 종종 효과적이지 않거나, 사용하기에 너무 늦다.
(2) 침입 검출 결과는 "흑(black)" 또는 "백(white)"이다. 즉, 트래픽은 양호 또는 악성으로서 분류된다. 통상적으로 신뢰적이지도 않고 악성이지 않은 트래픽의 부가적인 분류가 없다. 통상적인 시스템에서 회색 영역의 개념은 없다. 따라 서, 중간, 미공지, 또는 의심(suspect)이지만 악성으로서 결정되지 않은 트래픽의 분류는 없다. 통상적으로, 특히 구현 및 사용자 구성에 따라, 상기 의심 트래픽은 신뢰 또는 악성으로서 분류된다.
상기된 바와 같이, "신뢰" 및 "악성"의 두 개의 분류들만을 가질 때 한가지 문제점은 사용자가 상당한 양의 잘못된 긍정들, 잘못된 부정들, 또는 양쪽에서만 결론을 내는 것이다. 양쪽 잘못된 부정들 및 잘못된 긍정들은 상당양의 시간 및 돈을 지불할 수 있다. 양쪽 잘못된 긍정들 및 잘못된 부정들은 바람직하지 않은 결론들을 유발할 수 있다. 예를 들어, 잘못된 부정들이 발생할 때, 검출 조치는 원하지 않는 침입에 대한 보호에 실패하고 구성의 리소스들은 침입자에 대해 노출된다. 잘못된 긍정들은 값이 비쌀 수 있다. 상기 구현에 따라, 트래픽은 알람들을 트리거하거나, 드롭(drop)되는 악성으로 분류된다. 우수한 트래픽을 드롭하는 것은 통상적으로 손상된 비지니스 및 손실된 기회를 유발하고, 종종 부가적인 결과들을 가진다. 알람 트리거들은 상기 발생을 조사하는 정보 기술(IT) 요원 소비 시간을 유발하고, 이것은 사용중인 리소스들, 시스템 다운 시간 및 돈의 측면에서 회사에 비용이 들 수 있다. 몇몇 잘못된 알람들을 가지는 것은 보호 시스템에서 신뢰성을 감소시키고, 시스템이 충분한 시간 동안 "거짓 정보를 울릴때", 알람들이 무시 또는 보호, 응답 반대 조치되고, 통지들 및/또는 보호들이 너무 비효율적으로 동조된다. 이것은 실제 공격들에 대한 검출 및 보호를 위한 보호 시스템의 능력을 감소시킨다.
발명의 명칭이 "컴퓨터 네트워크에서 패킷들의 흐름을 안전하게 하고 선택적으로 패킷들을 수정하는 시스템(System for securing the flow of and selectively modifying packets in a computer network)"인 1996년 6월 17일 출원된 미국특허 5,835,726, 및 발명의 명칭이 "로컬 버스를 포함하는 방화벽(Firewall including local bus)"이고 1999년 4월 1일 출원된 미국특허 6,701,432는 방화벽 타입 시스템들을 포함하는 상기된 종래 시스템들을 논의한다. 미국특허 5,835,726호 및 6,701,432호는 여기에 참조로써 통합된다.
본 발명은 네트워크를 보호하는 시스템 및 방법이다. 상기 시스템은 네트워크에 해로울 수 있는 데이터 트래픽을 방지한다. 게다가, 시스템은 잠재적인 원치 않는 침입들에 관한 잘못된 긍정 및 잘못된 부정 결정들을 방지한다.
트래픽은 신뢰, 악성 및 의심을 포함하는 적어도 3개의 분류들로 분류된다. 시스템은 트래픽의 여러 분류들에 대한 여러 리소스들을 사용할 수 있다. 이는 악성 데이터 또는 의심 데이터가 네트워크 리소스들을 손상시키는 것을 방지하고 또한 강화된 서비스를 신뢰적인 트래픽에 제공할 수 있다. 시스템은 네트워크 사용자들의 히스토리 및 관례를 추적한다. 히스토리는 카테고리가 트래픽에 대해 지정되는 것을 결정하는데 사용된다. 새로운 종점(endpoint)들 및/또는 트래픽은 처음에 의심으로서 처리될 수 있고, 그 다음 신뢰적인 것으로 업그레이드되거나 악성으로 강등될 수 있다. 히스토리는 또한 강화된 처리를 수용할 수 있는 소위 프리퀀트 플라이어(frequent flyer)를 결정하기 위하여 사용될 수 있다.
악성으로 결정된 트래픽은 드롭되거나 네트워크의 에지에 블랙홀(black hole)될 수 있다. 의심으로 결정된 트래픽은 다른 리소스를 통하여 지향될 수 있다. 상기 다른 리소스는 다른 물리적 리소스 또는 동일한 물리적 리소스 내의 다른 논리적 리소스일 수 있지만 다른 우선권으로 처리될 수 있다. 공격들의 검출은 소스 기반, 목적지 기반, 프리퀀트 플라이어 기반 또는 흐름 속도 기반일 수 있다.
부가적인 한계는 보안을 강화하기 위하여 종래 침입 검출과 관련하여 사용될 수 있다. 다른 네트워크 리소스들과 함께 의심 및 악성 트래픽을 처리함으로써, 종래 침입 검출 방법들에 의해 도입된 임의의 에러의 영향은 최소화된다. 본 발명은 하드웨어, 소프트웨어 또는 그들의 결합으로 구현될 수 있다.
본 발명의 새로운 특징들은 첨부된 청구항들에 나타난다. 그러나, 설명을 위하여, 본 발명의 몇몇 실시예들은 다음 도면들에 나타난다.
도 1A는 본 발명에 따른 트래픽을 분류하기 위한 처리를 도시한 도면.
도 1B는 부가적인 단계들을 가진 도 1A의 처리를 도시한 도면.
도 2는 네트워크를 통하여 제 2 장치에 트래픽을 전송하는 제 1 장치를 도시한 도면.
도 3은 하나 이상의 리소스를 사용함으로써 제 2 장치에 트래픽을 전송하는 제 1 장치를 도시한 도면.
도 4는 제 3 리소스를 사용하는 제 1 장치를 도시한 도면.
도 5는 본 발명에 따른 리소스 할당을 위한 처리 흐름을 도시한 도면.
도 6은 네트워크에 대한 리소스 할당을 개념적으로 도시한 도면.
도 7은 네트워크 리소스 할당을 사용함으로써 트래픽을 전송하는 몇몇 장치들을 개념적으로 도시한 도면.
도 8은 몇몇 실시예들의 네트워크 장치들이 지능적이고 악성 트래픽을 로컬적으로 드롭하는 것을 도시한 도면.
도 9A 및 9B는 통상적인 침입 검출 시스템에서 중요 한계를 개념적으로 도시한 도면.
도 10은 특정 실시예들에서 구현된 바와같은 중요 한계를 개념적으로 도시한 도면.
도 11은 본 발명의 시스템 아키텍쳐를 도시한 도면.
도 12는 추가로 상세히 엔터프라이즈 아키텍쳐를 도시한 도면.
도 13은 추가로 상세히 서비스 제공자 아키텍쳐를 도시한 도면.
도 14는 본 발명에 따른 업스트림 통지를 도시한 도면.
도 15는 본 발명에 따른 피드백 통지를 도시한 도면.
다음 설명에서, 다수의 세목들 및 대안들은 설명을 위하여 제공한다. 그러나, 당업자는 본 발명이 이들 특정 세목들의 사용없이 실행될 수 있다는 것을 인식할 것이다. 다른 예들에서, 잘 공지된 구조들 및 장치들은 불필요한 세목으로 인해 본 발명의 설명을 불분명해지 않도록 하기 위하여 블록도로 도시된다. 하기 섹션 Ⅰ은 본 발명의 몇몇 실시예들의 처리 실행을 기술한다. 섹션 Ⅱ는 몇몇 실시예드의 구현으로부터 발생하는 중요 한계를 기술한다. 섹션 Ⅲ은 몇몇 시스템 구현을 기술하고 섹션 Ⅳ는 본 발명의 특정한 장점들을 논의한다.
본 발명은 인터넷 또는 다른 네트워크를 통하여 애플리케이션을 동작하는 최종 사용자 시스템에서 네트워크 리소스를 모니터하고 성능을 측정하기 위하여 사용된다. 모니터링을 사용함으로써, 유일한 네트워크 작동 관점은 애플리케이션 지식, 네트워크에서 사용자들의 히스토리적 지식, 사용자들이 사용하는 애플리케이션들, 트래픽 패턴들, 및 사용자들과 애플리케이션들의 예상되는 특성들 및 요구들을 결합한다. 상기 유일한 관점들은 잘못된 긍정들 및 잘못된 부정들의 수를 감소시킴으로써 침입 검출 효율성을 강화시키기 위하여 사용된다. 이들 장점들은 새로운 세트의 애플리케이션 프로그래밍 인터페이스들(API), 네트워크 관리 툴들 및 애플리케이션들을 사용함으로써 제공되고, 특정 대안들은 종래 침입 검출 툴들에 다수의 새로운 개념들을 도입한다.
Ⅰ. 처리 구현
A. 트래픽 분류
도 1A는 본 발명의 특정 실시예에 의해 실행되는 처리(100)를 도시한다. 도 1A에 도시된 바와 같이, 네트워크 리소스는 단계(105)에서 모니터된다. 그 다음, 단계(110)에서, 애플리케이션 성능은 모니터된다. 예를 들어, 네트워크 리소스들 및 애플리케이션 성능의 모니터링은 네트워크를 통하여 애플리케이션 동작 성능을 최종 사용자의 시스템에서 측정하는 것을 포함할 수 있다. 네트워크는 인터넷뿐 아니라, 다른 형태의 네트워크들, 즉 로컬 영역 네트워크들, 인트라넷들, 사적 네트워크들 및 가상 사적 네트워크들을 포함할 수 있다. 트래픽은 통상적으로 예를 들 어 하나의 소스인 네트워크의 하나의 종점로부터 예를 들어 목적지인 네트워크의 다른 종점로 흐른다. 트래픽은 네트워크를 통하여 흐르는 데이터이다.
예로서, 도 2는 예시적인 네트워크(200)를 통하여 트래픽을 제 2 장치(210)에 제공하는 제 1 장치(205)를 도시한다. 네트워크(200)는 예를 들어 인터넷(201) 같은 네트워크들 중 하나의 네트워크이다. 제 1 장치(205)는 목적지로서 작동하는 제 2 장치(210)에 대한 하나의 소스로서 작동한다. 제 1 및 제 2 장치들(205 및 210)은 각각 서브네트워크(204A 및 204D)에 결합된다. 이 실시예에서, 제 1 및 제 2 장치들(205 및 210)은 인터넷(201) 및 서브네트워크(들)(204A 및 204D) 사이에 인터페이스를 제공한다. 도 2에 도시된 바와 같이, 트래픽은 네트워크 리소스(215)를 통하여 제 2 장치(210)에 도달한다. 당업자는 도 2에 도시된 네트워크(200)가 예시적인 것을 인식할 것이다. 따라서, 네트워크(200)는 예를 들어 MPLS 네트워크, MPLS-VPN 네트워크, 사적 네트워크, VPN 네트워크, 및/또는 ATM 네트워크 같은 다른 종류들 및 구성들의 네트워크들을 나타낸다.
상기된 바와 같이, 트래픽은 네트워크를 통해 소스로부터 목적지로 흐르는 것으로 모니터된다. 도 1A를 다시 참조하여, 트래픽이 네트워크를 통하여 흐르는 동안, 제 1 서브세트의 트래픽은 프로세스(100) 내의 단계(115)에서 제 1 카테고리로 분류된다. 상기 제 1 카테고리에 대한 트래픽의 유형들은 신뢰적, 악성, 의심 트래픽, 및/또는 그들의 결합을 포함한다. 당업자는 부가적인 레벨들의 카테고리들이 본 발명에 따라 구현될 수 있음을 인식할 것이다. 다음, 단계(130)에서, 제 2 서브세트의 트래픽에 대한 액션(action)은 제 1 서브세트의 트래픽의 카테고리에 기초하여 결정된다. 이후 프로세스(100)는 종료된다. 제 1 서브세트의 트래픽은 네트워크 리소스들의 모니터링에 기초하여 및/또는 애플리케이션의 수행의 모니터링에 기초하여 분류된다. 유사하게, 제 2 서브세트에 대한 액션은 네트워크 리소스들 및/또는 애플리케이션의 수행에 기초한다.
당업자는 도 1A에 도시된 특정 처리 구현의 변형들을 추가로 인식할 것이다. 예를 들어, 다른 구현들의 처리들은 부가적인 단계들 및/또는 다른 순서의 단계들을 포함한다. 특히, 특정 구현 시스템은 바람직하게 네트워크의 리소스들 및/또는 애플리케이션들을 모니터링하면서, 사용자들 및 네트워크 사용 패턴들에 기초하는 정보를 포함하는 히스토리를 추적한다. 시스템은 또한 제 1 서브세트에 대한 액션을 결정할 수 있고 및/또는 제 2 서브세트의 트래픽을 분류한다. 도 1B는 이들 부가적인 단계들을 포함하는 처리(101)의 부가적인 예시적 구현을 도시한다. 몇몇 도면들의 엘리먼트들에 사용된 참조 번호들은 도시된 실시예들의 동일한 엘리먼트들에 대한 동일할 것이다. 예를 들어, 도 1B의 처리(101)에서 유사하게 라벨된 단계들은 도 1A의 처리(100)에 대해 기술된 단계들과 유사하다. 도 1b에 도시된 바와 같이, 제 1 트래픽 서브세트가 단계(115)에서 분류되면, 처리(101)는 단계(120)로 전이하고, 여기서 하나의 액션이 제 1 서브세트의 트래픽에 대해 결정된다. 그 다음, 처리(101)는 단계(125)로 전이하고, 제 2 서브세트의 트래픽은 분류된다. 다음, 단계(130)에서, 제 2 서브세트의 트래픽에 대한 액션은 결정되고 처리(101)는 단계(135)로 전이한다. 단계(135)에서, 히스토리는 사용자들 및 네트워크 용도의 패턴들로 추적된다. 처리(101)는 결론내어 진다. 상기된 바와 같이, 당업자는 도 1A 및 1B에 도시된 예시적인 구현들의 가능한 변형들을 인식할 것이다. 예를 들어, 도 1B에 도시된 처리(101)의 등가 처리 구현에서, 제 2 서브세트의 트래픽은 제 1 서브세트의 트래픽에 대한 액션이 결정되기 전에 분류된다.
바람직하게, 제 1 서브세트 및 제 2 서브세트의 트래픽은 오버랩되지 않는다. 예를 들어, 본 발명의 특정 대안들에 따라, 제 1 서브세트의 트래픽은 특정 트래픽을 포함하고, 제 2 서브세트는 신뢰적인 트래픽을 포함한다. 다른 실시예들은 트래픽을 다르게 처리한다. 예를 들어, 도 3은 상기 실시예에 따른 네트워크를 도시한다. 도 3은 부가적인 네트워크 리소스(320)를 제외하고 도 2와 실질적으로 동일한 엘리먼트들을 가진 동일한 네트워크를 실질적으로 도시한다. 도 3에 도시된 바와 같이, 신뢰적인 것으로 분류된 트래픽은 부가적인 리소스(320)를 통하여 의심 트래픽으로부터 독립적으로 라우팅된다. 다른 대안적인 실시예들은 악성으로 공지된 트래픽에 대한 제 3 카테고리를 포함한다. 몇몇 실시예들의 악성 트래픽은 신뢰적인 트래픽 및 의심 트래픽과 다르게 추가로 처리된다. 도 4는 부가적인 네트워크 리소스(425)가 있다는 것을 제외하고 도 3와 동일한 엘리먼트들을 실질적으로 가진 실질적으로 동일한 네트워크를 도시한다. 도 4에 도시된 바와 같이, 악성으로 분류된 트래픽은 부가적인 리소스(425)를 통하여 라우팅된다. 몇몇 실시예들에서, 트래픽은 신뢰적으로 이미 결정된 트래픽을 포함한다. 이들 실시예들은 섹션 Ⅲ에서 추가로 기술될 것이다.
1. 트래픽 모니터링
바람직하게, 본 발명은 트래픽을 관찰하고 네트워크 사용자들을 모니터한다. 다른 실시예들은 하나 이상의 네트워크 리소스들을 추가로 모니터한다. 예를 들어, 몇몇 실시예들은 대역폭 이용을 모니터한다. 이들 실시예들은 네트워크를 통한 애플리케이션 동작 성능을 평가하고, 목적지에서 적당한 애플리케이션 성능을 보장하기 위하여 필요한 만큼 네트워크에 대한 변화들을 도입한다. 다른 실시예들은 중요한 트랜잭션들이 가장 우수한 서비스를 얻는 것을 보장함으로써 비지니스 정책을 실행한다. 이들 실시예들에서, 네트워크상 사용자들의 일반적인 집단은 계속하여 적당한 서비스를 수용하고, 공유된 네트워크 리소스들의 비용 및 사용을 최소로 한다.
공유된 네트워크 리소스들은 예를 들어 채널들, 프로토콜들 및/또는 서비스들 같은 트래픽에 대한 다른 라우팅 메카니즘들을 포함한다. 이것은 리소스 할당을 제한함으로써 트래픽의 흐름을 제한하고 및/또는 변화들을 도입한다. 리소스 할당은 :
(1) 트래픽이 하나 또는 다른 방향으로 루틴되도록, 다르게 분류된 트래픽을 다른 경로들에 할당하거나;
(2) 트래픽이 다양한 서비스 레벨들에 의한 서비스를 위하여 태그되도록, 다른 태그들을 사용하여 다르게 분류된 트래픽을 할당하거나; 또는
(3) 몇몇 형태의 트래픽이 다른 트래픽 형태상에서 우선 순위가 결정되도록, 다른 마킹들을 사용하여 다르게 분류된 트래픽을 할당함으로써 수행된다.
그러나, 당업자는 사용될 수 있는 다양한 부가적인 리소스 할당들을 인식할 것이다. 리소스 할당은 하기에 추가로 논의된다.
2. 트래픽의 카테고리들
트래픽은 비정상 특성들을 가진 트래픽을 검출함으로써 분류될 수 있다. 트래픽이 비정상 특성들을 가지는 것으로 검출될 때, 비정상 트래픽은 공격의 일부 가능성이 있음이 할당될 수 있고, 이것은 트래픽 신뢰성을 나타낸다. 신뢰성이 미리 결정된 임계치 미만일 때, 시스템은 상기 트래픽이 공격을 계속하는 것을 추정하고, 비정상 트래픽은 의심으로서 분류된다.
상기된 바와 같이, 네트워크 리소스들 및/또는 애플리케이션 성능은 제 1 서브세트의 트래픽을 분류하기 위하여 모니터된다. 모니터링 및/또는 분류는 제 1 및/또는 제 2 서브세트의 트래픽을 얻기 위한 액션을 결정하기 위하여 사용될 수 있다. 네트워크 리소스들 및 성능을 측정함으로써, 시스템은 다른 리소스들을 걸쳐 트래픽의 주어진 서브세트에 대한 애플리케이션 성능을 인식한다. 측정들은 신뢰적 또는 의심으로서 트래픽을 분류하는데 사용된다. 이들 실시예들은 도 3과 관련하여 상기된 바와 같이, 제 2 세트의 리소스들에 의심 트래픽을 보내는 동안, 통상적으로 제 1 세트의 리소스들에 신뢰적 트래픽을 전송한다.
독립된 제 1 및 제 2 리소스들은 의심 트래픽이 신뢰 트래픽으로부터 분리되는 것을 보장한다. 분리는 문제를 나타내는 특히 의심 트래픽의 악영향, 예를 들어 추후 악성으로 결정되는 의심 트래픽의 악영향을 최소화한다. 게다가, 몇몇 실시예들의 신뢰 트래픽에 의해 운반된 데이터는 의심 데이터와 비교하여 보다 낮은 잠복 같은 보다 높은 우선권이 제공된다. 이들 실시예들에서, 신뢰적인 트래픽은 의심 트래픽을 앞서고, 이에 따라 추후 해로운 것을 나타내는 의심 트래픽 운반 데이터 의 잠재적 손상 효과들을 최소화한다.
3. 새로운 종점들 및 강등
새로운 종점 및/또는 새로운 트래픽은 처음에 의심으로서 분류될 수 있다. 이들 새로운 종점들 및/또는 새로운 트래픽은 다수의 인자들에 기초하여 추후 의심 카테고리에서 신뢰적 또는 악성으로 조절될 수 있다. 부가적으로, 예상된 것 보다 많은 트래픽을 생성하는 종점은 의심 또는 악성으로 분류될 수 있다. 게다가, 다르게 작동하는 종점으로부터의 비정상 트래픽 및/또는 트래픽은 의심 및/또는 악성 카테고리로 나타낼 수 있다. 트래픽은 상기 트래픽이 DoS 공격 같은 과도한 트래픽 처럼 시스템에 프로그램된 기준에 따라 동작할 때 다르게 결정된다. 비정상 트래픽 및/또는 종점은 비록 질문시 트래픽이 이전에 신뢰적인 것으로 고려될지라도 나타날 수 있다. 이들 실시예들은 통상적으로 공격 성질과 무관하게 신뢰적인 종점들로 나타나는 것으로부터 발생하는 공격들을 보호한다. 예를 들어, 신뢰적인 트래픽이 너무 많은 리소스들을 소비할 때, 신뢰적인 트래픽은 신뢰적인 종점들로부터 수행된 공격들을 보호하기 위하여 일시적으로 품질이 떨어진다. 몇몇 실시예들의 신뢰적인 종점들로부터 공격들은 (1) 신뢰적인 종점의 소스 어드레스가 속여지고; (2) 신뢰적인 종점이 실제로 공격을 책임지고; 및 (3) 신뢰적인 종점이 처리되는 것을 포함하는 몇몇 가능한 형태일 수 있다.
이전에 신뢰적인 것으로 분류된 종점 및/또는 트래픽에는 예를 들어 "프리퀀트 플라이어" 같은 특정 상태가 할당될 수 있다. 프리퀀트 플라이어 상태는 다음에 상세히 논의된다.
4. 프리퀀트 플라이어들
"프리퀀트 플라이어" 개념은 특정 서브테스트의 트래픽에 대한 카테고리 결정 및/또는 상기 서브세트에 대한 액션의 결정을 돕기 위하여 부가될 수 있다. 네트워크 및 트래픽을 모니터링하는 동안, 히스토리적 정보는 추적되고 특정 목적지 또는 목적지들의 세트를 위하여 의도된 트래픽의 소스 어드레스와 연관된다. 이런 히스토리에 속하는 특정 파라미터들의 경향은 발견될 수 있다. 경향이 몇몇 실시예들에서 결정되는 파라미터들은:
(1) 각각의 소스 어드레스의 발생 빈도의 히스토그램;
(2) 주어진 소스 어드레스가 하루의 임의의 주어진 시간에 발생할 가능성;
(3) 주어진 소스 어드레스로부터의 흐름들 사이의 도달 시간 사이; 및/또는
(4) 당업자에 의해 인식되는 다른 파라미터 또는 경향을 포함한다.
하나의 서브세트의 파라미터 경향들은 목적지 또는 목적지들 세트에 관한 "프리퀀트 플라이어들"로서 어드레스드를 분류하기 위하여 사용된다. 프리퀀트 플라이어는 적법한 것으로 결정되는 소스 어드레스이고 신뢰적이다. 이런 결정은 질문시 소스 어드레스로부터 목적지(들)로 트래픽의 빈도 및 발생 시간에 관련된 히스토리적 관찰들에 기초한다. 프리퀀트 플라이어들을 식별하기 위한 다른 기준은 (1) 어드레스에서 발생하는 트래픽에 속하고 목적지 또는 목적지들의 세트를 위하여 의도된 하루의 시간; (2) 트랜잭션들의 편차들; 및/또는 (3) 예를 들어 트랜잭션 빈도 및/또는 최근도 같은 완전한 트랜잭션들에 기초한다.
프리퀀트 플라이어는 특히 장점들을 가진다. 예를 들어, 단일 패킷 도달 공 격들의 특성은 단일 패킷이 이전에 결코 볼 수 없었던 종점에서 볼 수 있다는 것이다. 몇몇 실시예들은 양방향 트랜잭션들을 완료하는 종점들을 빈번한 플아이어들로서 나타냄으로써 이런 특성을 레버리지 한다. 속임수 소스들이 통상적으로 양방향 트랜잭션을 완료시킬 수 없기 때문에, 속임수 어드레스의 실제 소유자에 의하여 예상되는 응답은 제 1 패킷을 드롭하거나 무시하는 것이다. 따라서, 신뢰적인 데이터 및/또는 트래픽에 대한 프리퀀트 플라이어 카테고리는 속임수 소스 공격들에 대한 보호를 제공할 수 있다. 당업자는 프리퀀트 플라이어 개념을 사용하는 다양한 부가적인 실시예들을 인식할 것이다. 예를 들어, 제 3 패킷은 신뢰적인 종점의 우수한 표시로서 트랜잭션에서 식별될 수 있다. 몇몇 실시예들은 제 3 패킷이 리셋(RST) 패킷일 것을 요구하지 않을 수 있다.
몇몇 실시예들은 프리퀀트 플라이어들을 결정하기 위하여 트랜잭션들의 변형에 따른다. 이들 실시예들은 "슬래머(Slammer)" 같은 다양한 종류의 단일 패킷( 사용자 데이터그램 프로토콜) UDP Microsoft? 공격 변형에 대해 종종 효과적이다. 슬래머 형 공격들은 통상적으로 트랜잭션의 변형들을 포함한다. 이들 실시예들은 슬래머 트래픽 보다 높은 우선권 리소스들 같은 보다 우수한 상당 부분의 프리퀀트 플라이어 고객들을 제공한다. 따라서, 이들 실시예들의 프리퀀트 플라이어들은 높은 우선권 리소스로 인해 슬래머 트래픽에 영향을 받지 않는다. 영향을 받지 않은 위치에서 프리퀀트 플라이어 고객들의 부분이 클수록, 이들 실시예들은 슬래머형 공격들을 보다 최소화한다. 도 1-4에 도시된 실시예들에 의해 실행되는 검출 및 제어는 상기된 프리퀀트 플라이어 개념을 포함한다. 프리퀀트 플라이어 개념은 서비 스 제공자 및/또는 엔터프라이즈를 위하여 실행될 수 있다. 이들 실시예들은 통상적으로 서비스 제공자 및 엔터프라이즈 사이의 통신을 포함한다. 엔터프라이즈 및/또는 서비스 제공자를 위하여 실행되는 다양한 실시예들중 몇몇 실시예들은 하기 섹션 Ⅲ에 기술된다. 그러나, 논의는 몇몇 실시예들의 리소스들로 진행한다. 일단 트래픽이 분류되면, 통상적으로 하나 이상의 리소스들을 통하여 목적지에 도달하여야 한다.
B. 리소스 할당
도 5는 몇몇 실시예들의 리소스 할당에 대한 흐름도를 도시한다. 도면에 도시된 바와 같이, 처리(500)는 데이터 스트림이 검색되는 단계(505)에서 시적한다. 몇몇 실시예들의 데이터 스트림은 데이터 패킷들을 포함한다. 다음, 단계(510)에서, 패킷들은 분류되거나, 상기된 바와 같이 트래픽은 서브세트들로 분류된다. 만약 단계(515)에서 트래픽이 예를 들어 악성으로 공지된 데이터를 가진 패킷들을 포함하면, 처리(500)는 몇몇 실시예들에서 단계(520)로 전이하고, 여기서 악성 데이터(패킷들)은 드롭된다. 그 다음 처리(500)는 종료된다.
만약 단계(515)에서, 트래픽이 악성으로서 분류되지 않으면(단계 510에서), 처리(500)는 단계(525)로 전이하고, 여기서 트래픽이 의심인지 여부의 결정이 이루어진다. 만약 단계(525)에서, 트래픽이 신뢰적인 것으로 결정되면, 처리(500)는 단계(530)로 전이하고, 트래픽은 신뢰적인 트래픽을 위해 설계된 제 1 리소스에 할당된다. 그 다음 처리(500)는 결론 내어진다. 만약 단계(525)에서, 트래픽이 의심이면, 처리(500)는 단계(535)로 전이하고, 여기서 트래픽은 예를 들어 의심 트래픽을 위하여 지정된 제 2 리소스에 할당된다. 그 다음 처리(500)는 결론 내어진다.
도 6은 예를 들어 리소스 형태 또는 품질에 의해 몇몇 리소스들로 분할 가능하다. 이런 도면에 도시된 바와 같이, 몇몇 실시예들의 네트워크 리소스에 대한 할당은 의심(630), 신뢰(635), 및 악성(640) 트래픽 및/또는 데이터에 대한 리소스들을 포함한다. 따라서, 제 1 장치(605)로부터 네트워크(600)를 통하여 제 2 장치(610)로 이동하는 트래픽은 하나 이상의 이들 리소스 타입들과 연관된다.
도 7은 몇몇 실시예들을 위한 리소스 할당의 다른 실시예를 도시한다. 도면에 도시된 바와 같이, 네트워크(700)는 의심 트래픽에 대한 리소스(730), 신뢰적인 트래픽(735)을 위한 리소스(735), 악성으로 공지된 트래픽에 대한 리소스(740), 목적지(7100, 및 몇몇 네트워크 장치들(745,750,755, 및 760)을 포함한다. 몇몇 실시예들의 네트워크 장치들(745,750,755,760)은 루터, 브리지, 및/또는 다른 네트워크 구조를 포함하는 네트워크상 노드, 또는 "호프(hop)" 같은 네트워크의 토포로지의 특정 특징들을 나타낸다. 네트워크 장치들(745,750,755 및 760)은 하기의 섹션 Ⅲ에서 추가로 논의된다.
도 7에 도시된 바와 같이, 소스(705)로부터 목적지(710)로 트래픽은 네트워크(700)의 다양한 시간들 및/또는 위치들에서 신뢰, 의심 또는 악성으로 결정된다. 몇몇 실시예들을 트래픽을 분류하기 위하여 도 1A 및 1B와 관련하여 상기된 처리를 사용한다. 그 다음, 트래픽의 각각의 카테고리는 트래픽의 그 카테고리에 할당된 리소스로 지향된다. 예를 들어, 네트워크 장치(745)로부터의 트래픽은 의심(730), 신뢰(735), 및/또는 악성(740) 트래픽에 대한 리소스들로 지향되고, 네트워크 장 치(755)로부터의 트래픽은 악성 트래픽에 대한 리소스(들)(740)로 지향된다. 도 7에 도시된 바와 같이, 몇몇 실시예들의 리소스들은 악성 트래픽이 의심 트래픽에 영향을 미치지 않도록 하고, 의심 트래픽은 신뢰 트래픽에 영향을 미치지 않도록 한다. 몇몇 실시예들은 다르게 리소스 할당을 수행한다. 이들 차들은 하기에 기술된다.
1. 블랙 홀링
도 8은 네트워크(800)의 네트워크 장치들(845,850,855 및 860)이 악성으로 다르게 분류된 트래픽을 처리할 수 있는 것을 도시한다. 예를 들어, 악성 트래픽은 드롭될 수 있다. 드롭된 트래픽은 네트워크의 에지에서 블랙홀된다. 도 8은 트래픽이 드롭되고 및/또는 블랙홀되는 실시예를 도시한다. 네트워크 장치들은 드롭 및/또는 블록 홀 데이터에 대한 처리 능력을 포함한다. 이들 실시예들에서, 데이터는 종종 패킷들 형태이다. 도 8에 도시된 바와 같이, 몇몇 실시예들의 네트워크 장치들(845,850,855 및 860)은 악성 트래픽을 인식 및/또는 드롭하기 위한 수단(865) 같은 강화된 특징들을 포함한다. 몇몇 실시예들은 악성 트래픽에 대한 리소스(840) 같은 리소스에 버려지는 데이터를 할당 및/또는 배당하지 않고 드롭핑 및/또는 블랙 홀링을 수행한다. 상기 시스템은 악성 트래픽이 이런 방식으로 드롭되도록 설계되고, 몇몇 실시예들에서 드롭된 트래픽이 네트워크의 에지에서 블랙홀되게 한다.
2. 속도 제한
의심 트래픽은 속도 제한될 수 있다. 몇몇 실시예들은 토큰 버킷을 사용하여 속도 제한을 달성하고, 몇몇 실시예들은 예를 들어 가중치 공정 대기열 처리(fair queing) 같은 다른 수단을 통하여 속도 제한을 달성한다. 이들 실시예들에서, 의심 트래픽에 할당된 웨이트는 신뢰 트래픽에 할당된 웨이트보다 낮다.
또한, 인터넷 서비스 제공자 같은 서비스 제공자는 피어(peer)에 속하는 하나 이상의 파라미터들의 지식을 가진다. 예를 들어, 서비스 제공자는 엔터프라이즈 고객 도달 링크들의 용량 지식을 가진다. 상기 예들에서, 몇몇 실시예들의 서비스 제공자는 엔터프라이즈의 링크들 용량이 오버휄름되지 않도록 스로틀 트래픽에 대한 지식을 사용한다. 예를 들어, 특정 엔터프라이즈 고객은 서브네트워크쪽으로 및/또는 서브네트워크를 통하여 지향된 트래픽을 처리하기 위한 총 도달 용량을 가진다. 만약 엔터프라이즈의 서브네트워크를 통하여 지향된 신뢰 및 의심 트래픽의 합이 특정 엔터프라이즈의 서브네트워크에 대한 총 도달 용량 보다 많이 부가되면, 서비스 제공자는 의심 트래픽 일부의 속도를 제한하거나 드롭할 수 있다. 이들 경우들에서, 서비스 제공자는 의심 트래픽의 손상에 대해, 신뢰적 트래픽에 관한 엔터프라이즈에 제공된 서비스 품질을 유지한다. 속도 제한 및/또는 드롭핑 트래픽은 다양한 방법들을 사용하여 달성된다. 속도 제한은 예를 들어 토큰 버킷들, ToS 마킹들, 및/또는 (다중툴 라벨 스위치) MPLS 태그들을 사용함으로써 몇몇 실시예들에서 실행된다. 몇몇 실시예들은 상기된 바와 같이 버퍼 관리 방법들 및/또는 블랙 홀링을 사용하여 패킷들을 드롭한다. 당업자는 부가적인 수단이 트래픽을 포함하는 패킷들의 속도 제한 및/또는 드롭핑에 의해 트래픽을 제어하기 위하여 사용될 수 있는 것을 인식할 것이다.
3. 태깅 및 라우팅
다른 트래픽 카테고리들에 대한 리소스들은 다른 ToS 마킹들을 포함한다. 예를 들어, 신뢰적 트래픽은 신뢰 트래픽이 다른 카테고리들로부터 트래픽을 통하여 우선권을 가지게 하는 것을 보장하는 ToS 마킹이 할당된다. 이와 같이, 다른 트래픽 카테고리들은 다르게 루틴된다. 이들 실시예들은 하기 실시예들에서 추가로 기술된다. 몇몇 실시예들에서, 다른 트래픽 카테고리들은 다르게 태그되어, 상기 카테고리들은 로컬적으로 다른 경로들을 사용한다.
4. 논리 대 물리적 리소스들
몇몇 실시예들의 다른 리소스들은 다른 논리 리소스들을 포함한다. 다른 논리 리소스들은 실제로 동일한 물리적 리소스를 공유할 수 있다. 다른 논리적 및/또는 물리적 리소스들은 다른 우선권 레벨들에 해당한다. 예를 들어, 우선권 큐(PQ)는 몇몇 실시예들에서 다른 우선권 레벨들을 제공하고, 몇몇 실시예들은 다른 우선권 레벨들을 제공하기 위하여 등급 기반 가중치 공정 대기열 처리(CBWFQ)를 사용한다.
C. 리소스 할당을 사용한 분류의 예
1. 소스 기반
다른 실시예들은 공격 검출 및 트래픽 및 라우팅 제어에 대해 다른 기준을 사용한다. 상기된 바와 같이, 다른 실시예들은 제어를 달성하기 위하여 다른 카테고리들, 리소스들, 및 할당들을 사용한다. 몇몇 실시예들은 검출 및 트래픽 제어를 위한 트래픽의 소스를 사용하고, 몇몇 실시예들은 검출 및 트래픽 제어를 위한 트래픽의 목적지를 사용한다. 패킷들의 속성들은 몇몇 실시예들에서 사용된다. 몇몇 실시예들은 특정 목적지 어드레스를 위하여 의도된 트래픽의 소스를 공격한다. 소스 및/또는 목적지 어드레스에 기초하여, 이들 실시예들은 트래픽이 신뢰적인지 의심인지 결정한다. 소스 어드레스는 적당한 리소스에 트래픽을 전송하기 위하여 사용된다. 예를 들어, 소스가 의심 트래픽을 위하여 비축된 리소스들로 전용되기 때문에 트래픽은 의심으로 결정된다. 특히, 몇몇 실시예들은 예를 들어 :
(1) ToS 마킹들의 특정 범위를 트래픽에 할당하고;
(2) 한 세트의 다른 물리적 경로들에 트래픽을 할당하고; 또는
(3) 트래픽이 특정 세트의 MPLS 태그 루터들, 또는 특정 세트의 MPLS 수행 루터들을 따라 지향되도록 트래픽을 특정 MPLS 태그로 마킹함으로써 다양한 리소스들에, 의심 트래픽 같은 트래픽을 지향시킨다.
2. 목적지 기반
게다가, 몇몇 실시예들은 특정 목적지 어드레스, 또는 목적지들의 세트를 가진 트래픽을 추적한다. 이런 목적지 어드레스에 기초하여, 이들 실시예들은 트래픽이 신뢰적인지 의심인지를 결정한다. 몇몇 실시예들에서, 목적지 어드레스는 적당한 리소스에 트래픽을 전송하기 위하여 사용된다. 예를 들어, 목적지에 기초하여 의심으로 결정된 트래픽은 몇몇 실시예들에서 의심 트래픽을 위하여 비축된 리소스(들)로 전용된다. 상기된 바와 같이, 몇몇 실시예들은 예를 들어 ToS 마킹들, 특정 물리적 경로들, 및/도는 태그 루트들을 통한 MPLS 태그들을 사용하여 다르게 의심 트래픽을 처리한다.
3. 프리퀀트 플라이어 기반
몇몇 실시예들은 상기된 프리퀀트 플라이어 모델에 기초하여 트래픽을 식별, 분류 및/또는 제어한다. 또한 상기된 바와 같이, 프리퀀트 플라이어 트래픽은 통상적으로 트래픽의 이런 카테고리에 가장 높은 서비스 품질을 제공하기 위하여 가장 잘 이용할 수 있는 리소스들에 할당된다.
4. 흐름 기반
다른 식별, 분류, 및/또는 제어 방법들의 환경에서 소스 및/또는 목적지 기반 분류 및/또는 리소스 할당의 특징들은 적용될 수 있다. 예를 들어, 검출, 제어 및 프리퀀트 플라이어 멤버쉽 결정들은 소스 및 목적지 정보의 결합에 기초한다. 이들 결정들은 흐름 정보에 기초한다. 트래픽을 식별 및/또는 분류하기 위한 다른 방법들은 당업자에게 명백하다. 예를 들어, 몇몇 실시예들은 엔터프라이즈들, 서비스 제공자들, 및/또는 이들과 다른 목적지와의 결합을 포함하는 목적지 또는 목적지 세트에 기초하여 구성된다.
D. 다른 환경들
상기는 다른 환경들로 확장될 수 있다. 이들 환경들은 예를 들어 좀비 팜(zombie farm) 진행 실제 트랜잭션들 같은 상기된 속임수 소스 단일 패킷 공격들 및 부가적인 환경들을 포함한다. 이들 경우들에서, 성공적인 트랜잭션들은 하나 이상의 종점들 당 시간을 통하여 추적된다. 오랜 시간 고객들을 포함하는 종점들은 신뢰적이다. 이들 실시예들은 임의의 새로운 종점을 의심 또는 악성으로서 분류하고, 유사하게 몇몇 실시예들은 디폴트에서 악성보다 오히려 알려지지 않고 및/또는 새로운 트래픽을 분류한다.
E. 사용자 및 트래픽 히스토리
트래픽이 악성인 것을 종래기술에서 침입 검출 시스템들(IDS)이 결정하는 동안, 이들 침입 검출 시스템들은 의심 트래픽이 정말로 신뢰적인 것인지를 통상적으로 결정하지 못한다. 하기 섹션 Ⅱ는 종래 침입 검출 시스템의 몇몇 공통적인 특징들을 기술한다. 종래 침입 검출 시스템과 대조하여, 몇몇 실시예들은 리소스 용도, 애플리케이션 성능 및 네트워크의 다양한 사용자들에 대한 다른 패턴들의 히스토리를 보유한다. 히스토리는 통상적으로 데이터베이스에 유지된다. 상기 히스토리는 통상적으로 의심 트래픽이 신뢰적인지 결정하기 위하여 사용된다. 제 1 서브세트의 트래픽의 분류 및/또는 제 2 서브세트 트래픽에 대한 액션의 결정은 한 세트의 애플리케이션 관리 툴들 및 디렉토리들을 사용하여 수행될 수 있다. 예를 들어, 애플리케이션 관리 툴들 및 디렉토리들은 의심 트래픽이 신뢰적인지 결정하기 위하여 사용된다. 특정 예들에서, 이들 애플리케이션 관리 툴들 및 디렉토리들은 Avaya, Inc 회사에 의해 제공된다.
다른 트래픽으로 신뢰적인 트래픽을 구별하기 위하여, 디렉토리들의 정보 및 다른 네트워크 관리 및 애플리케이션 툴들은 사용된다. 이들 툴들은 예를 들어 라이트웨이트(lightweight) 디렉토리 액세스 프로토콜(LDAP), 세션 초기화 프로토콜(SIP) 및/또는 Netflows? 컴퓨터 네트워크 수행 시스템을 포함한다. Netflows?는 상표 Janus Research Group, Inc. of Appling, Georgia이다. 사용자 특성들 및 요구들의 지식은 트래픽이 정말로 신뢰적인지의 결정을 돕는다. 예를 들어, 주어진 사용자가 현재 특정 지리 영역에 있다는 것을 알리는 몇몇 실시예는 특정 애플리케이션을 운행하기를 원하고, 셀방식 장치를 사용한다. 몇몇 실시예들은 SIP 디렉토리를 사용하여 이 정보를 얻지만, 몇몇 실시예들은 콜 서버와의 통합을 통하여 정보를 발견한다. 트래픽은 신뢰적인 종점에 대한 예상된 패턴과 매칭하는지를 결정하기 위하여 이 사용자로부터 관찰된다. 적당한 프로토콜들은 제 1 서브세트의 트래픽에 대한 카테고리를 결정하는데 도움을 주고 제 2 서브세트의 트래픽에 대한 액션을 결정하기 위하여 사용될 수 있다.
몇몇 실시예들은 예를 들어 경계 게이트웨어 프로토콜(BGP) 및 간단한 네트워크 관리 프로토콜(SNMP) 같은 다양한 프로토콜들을 사용하여 예를 들어 루터 같은 다른 네트워크 엘리먼트들과 상호작용한다. 이들 실시예들은 검출 및 제어 경로들 모두의 프로토콜들을 레버리지 한다. 예를 들어, 몇몇 실시예들은 서문 정보를 사용한다. 이들 실시예들은 공지된 어드레스 서문을 가진 어드레스들로부터 발생(기원)하는 의심 트래픽으로서 고려한다. 그 다음 이들 실시예들은 서문으로부터의 의심 트래픽이 실제로 악성인지를 결정한다. 또한, 의심이거나 악성인 트래픽을 제어하기 위하여 시도할 때, 몇몇 실시예들은 적당한 서문들에 대한 적당한 루트 변화들을 전송하기 위하여 한 세트의 BGP 제어들을 레버리지 한다. 게다가, SNMP는 몇몇 실시예들의 검출 및 제어에서 상승적인 역할을 한다. 예를 들어, 몇몇 실시예들에서, 검출 및/또는 제어는 예를 들어 SNMP로부터 얻어진 바와 같이 로드 판독시 변화들에 기초한다.
Ⅱ. 중요 한계 구현
모니터, 평가 및 제어 기술들을 제공하는 것은 네트워크 환경에 부가적인 제 한을 부가함으로써 보안 해결책들의 품질을 개선시킨다. 부가적인 한계는 종래 침입 검출 시스템(IDS) 한계와 협력하여 실행된다. 이들 실시예들은 네트워크 트래픽 및 공격들을 처리하는데 부가적인 입상 레벨을 제공한다. 공격들에 반응하는 향상된 정밀도는 높은 레벨의 입상으로 인해, 하나 또는 다양한 형태의 트래픽에 대한 리소스들을 선택함으로써 트래픽을 제어하기 위한 시스템의 유일한 능력을 레버리지한다. 의심인 것으로 결정된 트래픽은 여전히 의심 트래픽에 사용된 리소스들이 신뢰적인 트래픽에 의해 사용된 것과 다른 것을 보장함으로써 해롭지 않게 전송된다. 단지 높은 레벨의 신뢰성을 가지고 악성으로 결정된 트래픽만이 드롭된다. 애플리케이션 수행의 모니터링을 통하여, 신뢰적인 트래픽은 가장 우수한 서비스 레벨을 수신한다. 이들 실시예들은 의심 트래픽이 수신하는 서비스 레벨을 제어한다. 예를 들어, 가자 의심되는 트래픽은 특히 공격 동안 리소스들이 제한될 때 가장 품질이 떨어지거나 낮아진 품질의 서비스를 수신한다.
도 9A 및 9B는 종래에 공지된 통상적인 침입 검출 실행들의 중요 검출 한계를 개념적으로 도시한다. 이들 도면들에 도시된 바와 같이, 종래에 공지된 실행들의 중요 한계(905)는 악성 트래픽, 거부 트래픽, 및 허용된 모든 다른 트래픽 사이에 놓인다. 종래에 공지된 이들 방법들의 단점은 이들 실행들의 성공이 무기로서 악성 트래픽을 사용하는 공격들의 정확한 검출에 달려있다는 것이다. 그러나, 상기된 바와 같이, 통상적인 실행들은 종래 한계에서 무수한 공격들을 검출하는데 종종 성공할 수 없다. 따라서, 이들 방법들은 빗금친 선들로 도시된, 잘못된 긍정들 및 잘못된 부정들 형태의 높은 에러 마진을 형성할 수 있다.
대조하여, 도 10은 본 발명의 바람직한 실시예에서 실행된 한계를 도시한다. 이 도면에 도시된 바와 같이, 몇몇 실시예들의 중요 한계(1010)는 신뢰적 트래픽, 및 예를 들어 의심 및 악성 트래픽으로 공지된 모든 다른 트래픽 사이에 있다. 따라서, 공격들을 검출 및/또는 방지하는데 이들 실시예들의 성공은 악성으로 공지된 트래픽 및 모든 다른 트래픽 사이의 종래 경계(905)를 높은 정확도로 정확히 지적하는 것에 둔감하게 된다.
이것은 의심 트래픽 흐름들이 여전히 액세스할 수 있다는 사실을 레버리지 할 수 있다. 의심 트래픽의 이런 처리는 보다 "중앙으로" 한계를 이동시킨다. 이런 특징은 잘못된 긍정들 및 잘못된 부정들 사이의 보다 정확한 밸런스를 허용한다. 이것은 신뢰적인 상태를 의심스럽게 되는 이전에 신뢰적인 트래픽 상태로 강등하거나 등급을 떨어뜨리는 비교적 관대한 액션을 부과하는 장점을 제공할 수 있다. 따라서, 강등은 종래에 공지된 종래 허용/거부 한계(905)에서 얻어진 액션보다 관대하다.
Ⅲ. 시스템 구현
A. 시스템 및 루터
애플리케이션 프로그래밍 인터페이스들(API)을 사용하고, 최종 사용자들에 대한 네트워크 관리 툴들, 애플리케이션 성능을 모니터링함으로써, 유일한 관점이 제공되고, 애플리케이션 지식, 사용자들의 히스토리적 지식, 트래픽 패턴 및 사용하는 애플리케이션들, 및 사용자들 및 그 애플리케이션들의 예상되는 특성들 및 요구들과 결합한다. 이런 보다 지능적인 관점은 공격들에 대한 검출 및 응답시 보다 많은 지식을 본 발명의 실시예들에 제공한다. 몇몇 실시예들은 공격들에 대한 보다 정확하고 및/또는 민감한 반응들을 추가로 허용한다. 공격들을 검출시 지능은 표준 침입 검출 방법의 두 개의 카테고리들 대신 트래픽에 대하여 적어도 3개의 카테고리들을 식별함으로써 상당히 개선된다. 몇몇 실시예들은 애플리케이션들을 시험하고 애플리케이션들의 지식을 종래 시스템들로 확장하고 추가로 다른 방식으로 종래 침입 검출 시스템들을 개선한다. 몇몇 실시예들은 예를 들어 다운 시간 같은 종래 시스템들이 면하는 문제를 추가로 처리한다.
다양한 실시예들은 소프트웨어 및/또는 하드웨어로 실행된다. 하드웨어 실행은 장치, 네트워크, 및/또는 소프트웨어, 하드웨어, 및 하나 이상의 장치(들)의 결합을 포함한다. 몇몇 실시예들은 예를 들어 소프트웨어 및/또는 하드웨어로 실행되는 루터 같은 네트워크 장치에서 네트워크 제어 및 관리 기능들을 실행한다. 몇몇 실시예들의 네트워크 장치들은 종래에 공지된 통상적인 장치를 통하여 개선된 특징들을 포함한다. 이들 개선된 장치들 은 예를 들어 Avaya, Inc에 의해 제공된 라우팅 지능 유닛(RIU)을 포함한다.
몇몇 실시예들은 네트워크 아키텍쳐에서 하나 이상의 루터들 및/또는 라우팅 지능 유닛들에 루트 변화들을 도입함으로써 제어를 달성한다. 이들 실시예들은 주어진 카테고리의 트래픽에 자리한 리소스에 트래픽을 할당한다. 예를 들어, 몇몇 실시예들은 트래픽의 카테고리들을 식별하기 위하여 ToS 마킹들을 할당한다. 이들 실시예들이 예를 들어 신뢰 및/또는 프리퀀트 플라이어 트래픽 같은 보다 중요한 것을 식별하는 트래픽은 우선 순위의 처리를 수신한다.
B. ISP 및 엔터프라이즈 시스템
상기된 실시 예들의 다양한 특징들은 다른 실시예들에서 다르게 결합된다. 이들 실시예들은 엔터프라이즈 및/또는 인터넷 서비스 제공자(ISP) 설정들의 구현을 포함한다. 예를 들어, 도 11은 몇몇 실시예들의 시스템(1100)을 도시한다. 이 도면에 도시된 바와 같이, 시스템(1100)은 네트워크(1115)를 통하여 엔터프라이즈 서브넷(1110)에 결합된 ISP 서브넷(1105)을 포함한다. 네트워크(1115)는 통상적으로 인터넷 같은 광대역 네트워크 또는 네트워크들의 네트워크이다. 도 11에 도시된 바와 같이, 네트워크 장치들(1120,1125 및 1130)의 다수의 예들은 네트워크(1115)상 하나 이상의 위치들에 설치된다. 도 11의 시스템(1100)의 장치들은 예를 들어 라우팅 지능 유닛들(1120 및 1130), 및 표준 루터(1125) 같은 네트워크화된 장치들의 외부 수집물을 포함한다.
C. 구현 위치
본 발명은 엔터프라이즈 및/또는 인터넷 서비스 제공자의 네트워크내에 구현될 수 있다. 엔터프라이즈내에서 실행될 때, 몇몇 실시예들은 엔터프라이즈의 중앙 헤드쿼터들, 브랜치내의 헤드쿼더 에지들, 및/또는 브랜치 에지들내에 구현된다. 유사하게, 서비스 제공자 위치내에서 실행될 때, 몇몇 실시예들은 서비스 제공자 네트워크의 중심 및/또는 에지에서 실행된다. 특히, 몇몇 실시예들은 엔터프라이즈 및/또는 서비스 제공자 네트워크의 에지에 가능한한 근접하게 실행된다. 다양한 실행 위치들은 통지 및 피드백 같은 특정 특징들을 제공한다. 이들 실행들은 하기 도면과 관련하여 기술된다.
1. 엔터프라이즈 서브네트워크 에지 및 내부에서
예를 들어, 본 발명은 엔터프라이즈 네트워크의 에지에서 전개될 수 있다. 이들 실시예들은 특히 특정 사이트에 대해 인입 트래픽을 스캔하기 위하여 사용한다. 도 12는 엔터프라이즈 서브네트워크(1210)의 에지에 배치된 네트워크 서비스(1230)를 포함하는 네트워크(1200)를 도시한다. 이 도면에 도시된 바와 같이, 서브넷(1210)은 네트워크화된 장치들(1230 및 1235)와 관련하여 동작한다. 서브넷(1210)은 서브넷(1210)을 형성하고 네스트된 서브-서브넷(1255)을 포함하는 몇몇 네트워크화된 장치들(1240,1245 및 1250)을 포함한다. 네트워크 장치(1230)는 라우팅 지능 유닛이다. 도 12에 도시된 대표적인 실시예는 통상적으로 엔터프라이즈의 서브넷(1210)에 진입하는 트래픽을 분류하기 위하여 섹션 Ⅰ에서 상기된 방법을 사용한다. 따라서, 이들 실시예들은 통상적으로 신뢰, 의심 또는 악성으로서 인입 트래픽을 분류한다. 악성으로 알려진 트래픽은 드롭되거나 블랙 홀되고, 신뢰 및 의심 트래픽은 이들 트래픽 카테고리들의 각각에 할당된 리소스들로 지향된다. 상기된 바와 같이, 상기 리소스들은 예를 들어 ToS 마킹들, MPLS 태그 루트들, 다른 물리적 링크들, 다른 루트들, 및/또는 하나 이상의 속도 제어기(들)을 포함한다. 몇몇 실시예들에서, 속도 제어는 토큰 버킷들을 사용하여 달성된다. 예를 들어, 몇몇 실시예들에서, 의심 트래픽은 토큰 버킷들을 사용하여 사이트의 인프라구조내에서 속도 제한된다. 도 12에 도시된 바와 같이, 부가적인 라우팅 지능 유닛(1250)은 엔터프라이즈 서브네트워크(1210)의 인프라구조내에 배치된다. 당업자는 몇몇 실시예들은 네트워크(1210)내에 서브-서브넷들의 몇몇 네스트된 층들을 가지며, 부가적인 네트워크 장치들 및/또는 라우팅 유닛들은 이들 네스트된 서브-서브네트워크들의 매우 깊은 층들내에 선택적으로 설치된다.
네트워크화된 장치들(1235-45)은 다른 서버들일 수 있다. 상기 실시예들에서, 엔터프라이즈 서브네트워크(1210)에 진입하는 신뢰 및 의심 트래픽 스트림들은 다른 서버들(1235-45) 쪽으로 지향된다. 예를 들어, 몇몇 실시예의 의심 트래픽은 네트워크화된 서버 장치(1240) 쪽으로 지향되고, 신뢰 트래픽은 신뢰적 서버(1245) 쪽으로 지향된다. 이들 실시예들은 의심 트래픽의 내용에 의해 영향을 받는 신뢰적 서버들을 가질 가능성을 감소시킨다.
도 12에 도시된 네스트된 장치 및/도는 서브네트워크 아키텍쳐는 추가의 장점들을 가진다. 예를 들어, 라우팅 지능 유닛들(1230 및 1250)의 다중 설치들은 사이트를 위하여 예정되고 상기 사이트내의 다양한 위치들의 트래픽이 다양한 입도 레벨들로 다중 스테이지들에서 검사되게 한다. 게다가, 이들 실시예들에서, 악성으로 알려진 트래픽은 라우팅 지능 유닛(1230) 및 라우팅 지능 유닛(1250)에서 드롭된다. 게다가, 이전에 분류된 트래픽은 이들 다양한 위치들에서 품질 향상 및 강하된다. 부가적으로, 도 12에 도시된 라우팅 지능 유닛(1250)은 사이트의 인프라구조에서 보다 깊고, 특정 서버 위치들에서 보다 밀접하게 설치된다. 이런 위치에의 배치는 이웃 서버들에 대한 보다 특정화된 검출 및/또는 제어를 허용하는 것과 같은 특정 장점들을 가진다.
게다가, 시스템 아키텍쳐는 사이트의 서브네트워크쪽으로 깊게 다른 서버들에 도달하는 트래픽의 양이 사이트의 에지에서 교차하는 집단 트래픽보다 덜 방대 하기 때문에 비례축소성을 개선할 수 있다. 게다가, 본 발명은 다른 서버들쪽으로 다른 카테고리들을 지향하는 것과 같은 이전 실시예에 기술된 기능들을 수행한다.
2. 서비스 제공자 서브네트워크 에지 및 내부에서
도 13은 몇몇 실시예들의 네트워크 장치들이 예를 들어 네트워크 장치들(1330,1350 및 1360)에서 서비스 제공자 서브넷(1305)의 다중 위치들에 설치된 네트워크(1300)를 도시한다. 도면(이 경우, 예시적인 서비스 제공자 사이트 1305)에 도시된 예시적인 사이트는 하나 이상의 엔트리 포인트를 그 사이트에 포함한다. 특히, 이들 엔트리 포인트들은 네트워크 장치들(1330 및 1360) 각각에 의해 보장된다. 이들 외부 설비들(1330 및 1360)은 통상적으로 섹션 Ⅰ에서 상기된 하나 이상의 방법들을 사용하여 엔트리 포인트들에서 트래픽을 검사 및/또는 분류한다. 언급된 바와 같이, 악성으로 알려진 트래픽은 사이트(1305)에 진입하기 전에 드롭될 수 있다.
도 13에 도시된 바와 같이, 서비스 제공자 서브넷(1305)은 그 사이트내에서 설치된 서브-서브넷(1355) 및 네트워크 장치(1350)를 포함한다. 따라서, 도 12에 도시된 엔터프라이즈 모델과 유사하게, 몇몇 실시예들의 서비스 제공자 서브넷(1305)는 외부 설비들(1330 및 1360) 및 내부 설비(1350)를 포함한다. 이들 실시예들에서, 여러 설비 위치는 다중 라인들 및/또는 공격으로부터 방어 레벨들을 제공한다. 특히, 내부 설비(1350)는 서비스 제공자 사이트(1305)에 대한 많은 입상 검출 및 제어를 제공한다.
게다가, 다중 설비들은 그 사이트내의 부가적인 특징들을 제공할 수 있다. 이들 부가적인 특징들은 피드백 및/또는 업스트립 통지를 포함한다. 예를 들어, 도 13에 도시된 바와 같이, 내부 설비(1350)는 업스트림 통지를 사용하여 네트워크 에지에서 외부 설비(1330)와 보다 상세한 정보를 공유한다. 이들 실시예들의 업스트림 통지는 통상적으로 예를 들어 (1) 프리퀀트 플라이어 정보를 포함하는 신뢰적인 것으로 결정된 트래픽, (2) 의심으로 결정된 트래픽, 및/또는 (3) 악성으로 결정된 트래픽에 관한 제어/시그널링 형태 정보를 포함한다. 몇몇 실시예들의 업스트림 통지들은 다른 트래픽 카테고리들에 대해 다르게 작동하도록 사이트 에지에서 외부 설비(1330)를 요구한다. 몇몇 실시예들은 상기된 다른 트래픽 카테고리들에 대해 다른 액션들을 강화시킨다. 유사하게, 외부 위치(1330)는 서비스 제공자 서브네트워크(1305)내의 위치에 대해 예정된 트래픽에 관한 순방향 정보를 공급한다.
3. 많은 통지 실시예들
상기된 인트라 사이트 통지는 인터 사이트 위치에 적용될 수 있다. 상기 시스템들에서, 서비스 제공자 및 엔터프라이즈 서브네트워크들 양쪽에서 라우팅 지능 유닛들 같은 네트워크 장치들은 상기된 하나 이상의 기능들을 독립적으로 수행한다. 서비스 제공자는 엔터프라이즈의 네트워크로 지향된 의심 트래픽 존재의 엔터프라이즈를 통지한다. 이들 실시예들에서, 서비스 제공자는 트래픽 카테고리 및 제어에 속하는 다양한 측면들의 엔터프라이즈를 통지한다. 몇몇 실시예들의 서비스 제공자는 엔터프라이즈 고객들에 서비스로서 통지를 제공한다. 예를 들어, 도 14는 엔터프라이즈(1410)에 지향된 트래픽이 의심 트래픽을 포함하는 정보 같은 부가적인 제어 타입 정보를 엔터프라이즈(1410)에 통지하는 서비스 제공자(1405)를 가진 네트워크(1400)를 도시한다. 도 14에 도시된 외부 네트워크 장치들의 혼합은 라우팅 지능 유닛들(1230 및 1330) 같은 "지능" 장치들뿐 아니라 통상적인 루터(14350 같은 표준 네트워크 장치들을 포함한다. 몇몇 실시예들은 지능 장치들을 사용하여 통지들 같은 제어 신호 정보를 전송 및 수신한다.
도 15는 엔터프라이즈 서브넷(1510)에서 네트워크 장치(1230)가 업스트림 서비스 제공자(1505)에 배치된 네트워크 장치들(1330)에 피드백 통지들을 전송하는 것을 도시한다. 이들 통지들은 수신된 트래픽의 분류에 관한 정보 같은 제어 타입 정보를 통상적으로 포함한다. 엔터프라이즈는 트래픽 흐름상에서 보다 진보된 검출 방법들을 사용함으로써 보다 많은 지식을 가지도록 보다 잘 배치된다. 몇몇 실시예들의 엔터프라이즈는 서비스 제공자에게 보다 우수한 업스트림 통지들을 추가로 제공한다. 예를 들어, 트래픽은 종종 엔터프라이즈의 전제내에서 떠날 때 인크립트된다. 따라서, 특히 서비스 제공자의 에지에서 네트워크 장치들은 등급화/분류 결정에서 트래픽(패킷들)의 내용을 사용할 수 없다. 이들 결정들은 도 1-6과 관련하여 상기된다.
몇몇 실시예들의 통지들은 추가로 의심으로서 마크된 특정 소스들, 엔터프라이즈에 의해 결정된 프리퀀트 플라이어들의 리스트, 위치의 라우팅 지능 유닛(들)에 관한 부가적인 정보, 및/또는 의심 트래픽에 대한 정보 관련 속도 제한, 또는 의심 트래픽의 서브세트의 식별을 더 포함한다. 몇몇 실시예들에서, 속도 제한은 엔터프라이즈의 도달 링크들이 오버휄름되는 것을 보호한다.
D. 항상 온인 아키텍쳐를 제공하는 것
1. 패시브 제어
몇몇 실시예들의 네트워크 라우팅 제어는 "패시브"적이다. 패시브 제어는 제어 및 보호 특성들이 항상 온인 것을 가리킨다. 이들 실시예들은 공격 검출에 기초하여 트리거링하는 것을 요구한다. 이들 실시예들의 몇몇은 완전히 적법한 트래픽으로 구성된 공격들을 처리한다. 따라서, 몇몇 실시예들은 "보다 지능적인' 공격들을 검출한다. 예를 들어, 몇몇 실시예들은 합법적인 소스로부터 비정상 로드 패턴들을 검출한다. 몇몇 예들에서, 이들 실시예들은 통상적인 침입 검출 시스템들에 의해 검출할 수 없는 로드 파라미터들 및/또는 패턴들을 검출한다. 소스 또는 타입에 무관하게, 만약 공격이 시작되면, 몇몇 실시예들은 공격이 진행중인 것을 결정할 필요가 없다. 오히려, 몇몇 실시예들에서, 신뢰적인 사용자들은 약한 경험을 가지며, 공격은 자동으로 자기 제한된다.
2. 항상 온
몇몇 실시예들은 공격이 실제로 발생했는지를 결정하기 위한 능력에 따르지 않는다. 도 1-6과 관련하여 상기된 처리들의 결정은 정상 및 공격 조건들하에서 동일하게 동작하도록 설정된다. 상기 시스템들은 의심 트래픽을 검출하고 의심 트래픽을 처리하는 종래 방법들을 필수적으로 포함하지 않는 방식으로 이를 처리한다. 상기된 바와 같이, 종래에 통상적인 방법들은 악성 또는 신뢰로 알려진 의심 트래픽을 처리한다. 게다가, 악성으로 알려진 트래픽은 드롭되고 신뢰 트래픽은 통상적으로 신뢰적인 트래픽을 위하여 지정된 리소스로 보내진다. 따라서, 통상적인 방법들은 바람직하게 다수의 잘못된 긍정들 및 잘못된 부정들을 형성한다. 대조하여, 몇몇 실시예들은 신뢰적인 것으로 증명되기 전에 의심되는 트래픽을 처리함으로써 "항상 온(always on)" 아키텍쳐를 실행한다. 이런 방식에서, 상기 시스템은 트래픽이 타켓 목적지에 공격 데이터를 운반하기 전에, 비록 공격이 쉽게 식별되지 않더라도 공격 영향을 최소화한다. 이들 실시예들은 다양한 다른 방식으로 실행된다. 예를 들어 :
(1) 정상 트래픽은 정상 조건들하에서 바람직한 처리를 수신한다;
(2) 정상 트래픽은 정상 조건들하에서 바람직한 처리를 수신하지 않는다; 또는
(3) 정상 트래픽은 다른 이유 대신 또는 이유에 따라 비지니스 법칙에 따라 바람직한 상태를 수신한다. 몇몇의 이들 실시예들은 다음에 기술된다.
신뢰적 및 의심 트래픽은 처음에 동일한 리소스를 사용하고, 신뢰 트래픽은 네트워크 동작의 특정 기간들 동안 재라우팅된다. 항상 온 아키텍쳐의 특정 실행들에서, 모든 흐름들은 디폴트에 의해 "병목" 리소스로 지향된다. 병목은 처음에 정상 트래픽을 수용하기에 충분히 넓게 설정된다. 선택적으로, 공격이 시작할 때까지 의심 트래픽에 검출할 수 있는 영향이 없다. 정상 네트워크 동작 동안, 몇몇 종점들은 "신뢰적"이된다. 이들 종점들이 신뢰적이 될 때, 몇몇 실시예들은 병목을 피하기 위하여 신뢰적 종점들로 지향한다. 선택적으로, 신뢰적 트래픽은 다른 리소스를 통하여, 다양한 다른 시간들 동안, 예를 들어 비정상 네트워크 작동 기간들 동안 병목 주위로 지향될 수 있다.
신뢰 및 의심 트래픽은 시간 및/또는 네트워크의 동작에 무관한 다른 리소스 들에 할당된다. 병목 리소스에 진입하는 트래픽은 충분히 신뢰적이지 않은 사용자들로부터 (의심) 트래픽 같은 악성 및/또는 의심 트래픽을 포함한다. 상기 시스템들은 특히 종래 침입 검출 시스템에서 특정 장점들을 가지며, 상기 종래 침입 검출 시스템은 병목을 통하여 흐르는 악성 트래픽을 심지어 인식하지 못한다. 따라서, 종래 IDS 시스템들은 너무 느릴때까지 악성 트래픽 차단(드롭핑)을 시작하지 못할 것이다.
Ⅳ. 장점들
서비스 제공자는 서비스 대 엔터프라이즈 고객들로서 상기 하나 이상의 실시예들을 공급한다. 서비스는 이들 고객들에 특정 장점들을 제공한다. 예를 들어, 의심 트래픽이 여전히 서비스를 수신하게 함으로써, 몇몇 실시예들은 신뢰적인 트래픽은 잘못되게 드롭되는 기회를 감소시킨다. 손상된 비지니스 또는 손상된 기회의 발생은 따라서 최소화된다. 따라서, 이들 실시예들은 다수의 잘못된 포티지브들을 특히 감소시킨다. 게다가, 신뢰적인 트래픽이 의심 트래픽으로부터 분리된 리소스들을 사용하는 것을 보장함으로써, 특정 보호는 신뢰적인 트래픽에 제공된다. 예를 들어, 이들 실시예들에서 의심 트래픽은 신뢰적 트래픽에 영향을 미치지 못한다. 이것은 특히 만약 허용된 의심 트래픽의 일부가 실제로 악성인 것으로 결정되면 바람직하다.
게다가, 엔터프라이즈 또는 서비스 제공자 네트워크 내의 혼잡 같은 로드 관련 수행 문제들을 공격들이 유발한다면, 몇몇 실시예들은 문제들이 발생하는 네트워크들의 부분들로부터 멀리 트래픽을 지향시킴으로써 공격 관련 성능 문제들을 최 소화하고 및/또는 방지한다. 로드, 성능, 혼합, 및 공격하에서 네트워크들에 대한 다른 문제들은 예를 들어 미국특허출원 10/070,515에 기술되고, 상기 출원은 2002년 7월 25일 출원되고 공개 번호가 2003/0039212이고, 발명의 명칭이 "네트워크 트래픽의 평가 및 최적화에 대한 방법 및 장치(Method and apparatus for the assessment and optimization of network traffic)"이고; 미국특허출원 09/923,924호에 기술되고, 이 출원은 2001년 9월 20일에 출원되고 공개 번호가 2002/0075813호이고, 발명의 명칭이 "백-채널 통신 매체를 통한 라우팅 파라미터를 코오디네이팅하는 방법 및 장치(Method and apparatus for coordinating routing parameters via a back-channel communiation medium)"이고; 미국특허출원 10/070,338호이고, 이 출원은 2001년 9월 20일 출원되고, 공개 번호가 2002/0075813호이고, 발명의 명칭이 "네트워크 경로의 품질을 특징짓는 방법 및 장치(Method and apparatus for characterizing the quality of a network path)"이고; 및 PCT 국제 출원 PCT/US03/03297이고, 이 출원은 2003년 2월 4일 출원되고, 국제 공개 번호가 WO/03/067731이고, 발명의 명칭이 "로드 최적화(Load optimization)"이다. 이들 출원들은 여기에 참조로써 통합된다.
게다가, 상기된 몇몇 실시예들은 종래 아키텍쳐에 대안적 및/또는 축소 확대 가능한 개선점을 제공한다. 예를 들어, 상기 시스템들은 아웃바운드 성능 최적화, 아웃바운드 애플리케이션 성능 최적화, 아웃바운드 로드 최적화, 도달하는 성능 최적화, 도달하는 애플리케이션 성능 최적화, 및/또는 도달하는 로드 최적화에 관련된 하나 이상의 방법들 및/도는 시스템들 대시, 또는 결합하여 실행된다. 이들 관 계들은 예를 들어 상기에 참조로써 통합된 미국특허 출원들에 기술된다.
본 발명이 다수의 특정 항목들을 참조하여 기술되었지만, 당업자는 본 발명이 본 발명의 사상으로부터 벗어나지 않고 다른 특정 형태들로 구현될 수 있다는 것을 인식할 것이다. 따라서, 당업자는 본 발명이 상기 도시된 항목들로 제한되지 않고, 오히려 첨부된 청구항들에 의해 한정되는 것을 이해할 것이다.

Claims (45)

  1. 네트워크 트래픽 보안을 위한 방법에 있어서:
    a. 네트워크에 대한 네트워크 리소스 및 네트워크에서의 애플리케이션의 성능(performance) 중 적어도 하나를 모니터링하는 단계;
    b. 상기 모니터링 단계에 기초하여 네트워크 트래픽을 적어도 양호, 악성 및 의심 트래픽 카테고리들로 분류하는 단계; 및
    c. 상기 양호, 악성 및 의심 트래픽 카테고리들의 다른 것들과는 상이한 상기 양호, 악성 및 의심 트래픽 카테고리들의 각각을 처리하는 단계로서, 양호 트래픽 및 의심 트래픽은 서로 다른 리소스들을 이용하여 동일한 목적지로 전송되는, 상기 처리 단계를 포함하는, 네트워크 트래픽 보안 방법.
  2. 제 1 항에 있어서,
    a. 트래픽의 제 1 서브세트에 대한 액션(action)을 결정하는 단계로서, 상기 액션은 양호 트래픽을 전송하는 것, 양호 트래픽을 강등시키는 것, 의심 트래픽을 드롭핑(dropping)하는 것, 의심 트래픽을 전송하는 것, 및 악성 트래픽을 드롭핑하는 것 중 적어도 하나를 포함하는, 상기 액션 결정 단계;
    b. 트래픽의 제 2 서브세트를 분류하는 단계;
    c. 사용자들 및 트래픽 패턴들의 히스토리를 트래킹(tracking)하는 단계; 및
    d. 트래픽의 상기 제 1 서브세트를 분류하는데 상기 히스토리를 사용하는 단계를 더 포함하는, 네트워크 트래픽 보안 방법.
  3. 제 1 항에 있어서,
    항상 온인 아키텍쳐(always on architecture)를 제공하는 단계를 더 포함하고,
    상기 항상 온인 아키텍쳐를 제공하는 단계는:
    상기 적어도 2개의 트래픽 카테고리들을 제 1 리소스에 할당하는 단계; 및
    상기 분류 단계에 기초하여, 상기 적어도 2개의 트래픽 카테고리들 중 하나의 카테고리를 제 2 리소스에 재할당하는 단계를 포함하는, 네트워크 트래픽 보안 방법.
  4. 제 1 항에 있어서,
    종점이 신뢰되는지를 결정하는 단계를 더 포함하고, 종점은 트랜잭션(transaction) 동안 상기 네트워크에서의 소스 또는 목적지인, 네트워크 트래픽 보안 방법.
  5. 제 1 항에 있어서,
    종점에 프리퀀트 플라이어 상태(frequent flyer status)를 할당하는 단계를 더 포함하는, 네트워크 트래픽 보안 방법.
  6. 제 1 항에 있어서,
    공격 관련 문제를 피하도록 트래픽을 조종하는 단계를 더 포함하고, 상기 공격 관련 문제는 애플리케이션 성능 열화, 절전(brownout), 및 정전 중 하나를 포함하는, 네트워크 트래픽 보안 방법.
  7. 삭제
  8. 삭제
  9. 데이터를 라우팅하는 방법에 있어서:
    a. 노드로부터 데이터 스트림을 수신하는 단계로서, 상기 데이터 스트림은 복수의 데이터 패킷들을 포함하는, 상기 수신하는 단계; 및
    b. 상기 복수의 데이터 패킷들을 분류하는 단계로서, 상기 분류는:
    ⅰ. 신뢰되는 소스로부터의 데이터를 포함하는 신뢰되는 트래픽;
    ⅱ. 원하지 않는 데이터를 포함하는 것으로 알려진 데이터를 포함하는 악성 트래픽; 및
    ⅲ. 알려지지 않거나 신뢰되는 소스로부터가 아닌 데이터를 포함하는 의심 트래픽을 포함하는, 상기 분류하는 단계;
    c. 제 1 리소스를 사용하여 상기 신뢰되는 트래픽을 공통 목적지로 라우팅하는 단계;
    d. 제 2 리소스를 사용하여 상기 악성 트래픽을 상기 공통 목적지로 라우팅하는 단계; 및
    e. 제 3 리소스를 사용하여 상기 의심 트래픽을 상기 공통 목적지로 라우팅하는 단계를 포함하는, 데이터 라우팅 방법.
  10. 삭제
  11. 삭제
  12. 삭제
  13. 삭제
  14. 삭제
  15. 삭제
  16. 삭제
  17. 삭제
  18. 삭제
  19. 삭제
  20. 삭제
  21. 삭제
  22. 삭제
  23. 삭제
  24. 삭제
  25. 삭제
  26. 삭제
  27. 삭제
  28. 삭제
  29. 삭제
  30. 삭제
  31. 삭제
  32. 삭제
  33. 삭제
  34. 삭제
  35. 삭제
  36. 삭제
  37. 삭제
  38. 삭제
  39. 삭제
  40. 삭제
  41. 삭제
  42. 삭제
  43. 삭제
  44. 삭제
  45. 삭제
KR1020067017687A 2004-09-09 2005-09-08 네트워크 트래픽 보안 방법들 및 시스템들 Expired - Fee Related KR101111099B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US60906204P 2004-09-09 2004-09-09
US60/609,062 2004-09-09
PCT/US2005/032463 WO2006029399A2 (en) 2004-09-09 2005-09-08 Methods of and systems for network traffic security

Publications (2)

Publication Number Publication Date
KR20070049599A KR20070049599A (ko) 2007-05-11
KR101111099B1 true KR101111099B1 (ko) 2012-02-17

Family

ID=36037050

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020067017687A Expired - Fee Related KR101111099B1 (ko) 2004-09-09 2005-09-08 네트워크 트래픽 보안 방법들 및 시스템들
KR1020067017886A Expired - Fee Related KR101148900B1 (ko) 2004-09-09 2005-09-09 원격 외향 제어를 위한 방법 및 시스템

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020067017886A Expired - Fee Related KR101148900B1 (ko) 2004-09-09 2005-09-09 원격 외향 제어를 위한 방법 및 시스템

Country Status (6)

Country Link
US (4) US7596811B2 (ko)
EP (2) EP1790131B1 (ko)
JP (3) JP4634456B2 (ko)
KR (2) KR101111099B1 (ko)
CA (2) CA2549577A1 (ko)
WO (2) WO2006029399A2 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014025225A1 (ko) * 2012-08-10 2014-02-13 주식회사 아이디어웨어 애플리케이션 패킷 데이터 패턴 검출 장치

Families Citing this family (120)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8023421B2 (en) * 2002-07-25 2011-09-20 Avaya Inc. Method and apparatus for the assessment and optimization of network traffic
ATE459154T1 (de) * 2000-10-17 2010-03-15 Avaya Technology Corp Verfahren und vorrichtung zur optimierung der leistung und des kosten in einem internetzwerk
JP4421978B2 (ja) * 2004-09-03 2010-02-24 富士通株式会社 遅延保証パス設定システム
CA2549577A1 (en) * 2004-09-09 2006-03-16 Avaya Technology Corp. Methods of and systems for network traffic security
US20060171365A1 (en) * 2005-02-02 2006-08-03 Utstarcom, Inc. Method and apparatus for L2TP dialout and tunnel switching
EP2392328A1 (en) 2005-05-09 2011-12-07 Hydra Biosciences, Inc. Compounds for modulating TRPV3 Function
WO2006135726A2 (en) * 2005-06-09 2006-12-21 Whirlpool Corporation Software architecture system and method for communication with, and management of, at least one component within a household appliance
US7764612B2 (en) * 2005-06-16 2010-07-27 Acme Packet, Inc. Controlling access to a host processor in a session border controller
US8140665B2 (en) * 2005-08-19 2012-03-20 Opnet Technologies, Inc. Managing captured network traffic data
US7797282B1 (en) * 2005-09-29 2010-09-14 Hewlett-Packard Development Company, L.P. System and method for modifying a training set
US20070110035A1 (en) * 2005-11-14 2007-05-17 Broadcom Corporation, A California Corporation Network nodes cooperatively routing traffic flow amongst wired and wireless networks
CA2570711C (en) * 2005-12-20 2012-07-31 Bce Inc. Apparatus and method for supporting multiple traffic categories at a single networked device
US8160055B1 (en) * 2006-02-24 2012-04-17 Cisco Technology, Inc. System and methods for identifying network path performance
US8576882B2 (en) 2006-05-11 2013-11-05 Blackberry Limited Media access control protocol for multi-hop network systems and method therefore
DE102006045349B3 (de) * 2006-09-26 2008-04-30 Siemens Ag Suchverfahren mittels einer Suchvorrichtung zum Suchen eines für Datenpakete eines DoS-Angriffes auf eine Netzwerkeinrichtung indikativen Bitmusters, Suchvorrichtung, Filterverfahren und Filtervorrichtung
KR100776790B1 (ko) 2006-12-04 2007-11-19 한국전자통신연구원 Rsvp-te 프로토콜을 이용하여 lsp를 설정하기위한 lsr의 메시지 처리 방법
US8041785B2 (en) * 2007-01-17 2011-10-18 Microsoft Corporation Programmatically choosing a router configuration provider
US8214497B2 (en) 2007-01-24 2012-07-03 Mcafee, Inc. Multi-dimensional reputation scoring
US8763114B2 (en) 2007-01-24 2014-06-24 Mcafee, Inc. Detecting image spam
JP2008199138A (ja) * 2007-02-09 2008-08-28 Hitachi Industrial Equipment Systems Co Ltd 情報処理装置及び情報処理システム
US8345552B2 (en) * 2007-02-27 2013-01-01 Alcatel Lucent Virtual connection route selection apparatus and techniques
US8289845B1 (en) 2007-05-15 2012-10-16 Avaya Inc. Assured path optimization
EP2170309B1 (en) 2007-06-22 2016-10-26 Hydra Biosciences, Inc. 2,6-dioxo,-2,3-dihydro-1h-purine compounds useful for treating disorders related to the activity of the trpa1 channel
US9961094B1 (en) * 2007-07-25 2018-05-01 Xangati, Inc Symptom detection using behavior probability density, network monitoring of multiple observation value types, and network monitoring using orthogonal profiling dimensions
US20090089325A1 (en) * 2007-09-28 2009-04-02 Rockwell Automation Technologies, Inc. Targeted resource allocation
CN101159656B (zh) * 2007-11-12 2011-05-11 华为技术有限公司 一种报文采样的方法、系统及设备
US8239537B2 (en) * 2008-01-02 2012-08-07 At&T Intellectual Property I, L.P. Method of throttling unwanted network traffic on a server
US8793363B2 (en) * 2008-01-15 2014-07-29 At&T Mobility Ii Llc Systems and methods for real-time service assurance
GB0800838D0 (en) * 2008-01-17 2008-02-27 Eads Defence And Security Syst Secure communication system
US8589503B2 (en) 2008-04-04 2013-11-19 Mcafee, Inc. Prioritizing network traffic
EP2109282B1 (en) * 2008-04-11 2010-03-10 Deutsche Telekom AG Method and system for mitigation of distributed denial of service attacks based on IP neighbourhood density estimation
US8090870B2 (en) * 2008-04-28 2012-01-03 Disney Enterprises, Inc. Method and system for adaptive data transfer over packet networks
KR101003104B1 (ko) * 2008-12-22 2010-12-21 한국전자통신연구원 무선 네트워크에서 보안 상황 감시 장치
CN102308633B (zh) 2009-02-09 2016-02-17 日本电气株式会社 路径控制系统、路径控制设备、通信设备、路径控制方法和程序
US8719414B2 (en) * 2009-05-12 2014-05-06 Centurylink Intellectual Property Llc Multi-source broadband aggregation router
US8665783B2 (en) 2009-05-20 2014-03-04 Centurylink Intellectual Property Llc Dynamic multi-point access network
US9307205B2 (en) 2009-06-18 2016-04-05 Centurylink Intellectual Property Llc System and method for utilizing a secured service provider memory
KR100959264B1 (ko) * 2009-08-26 2010-05-26 에스지에이 주식회사 네트워크를 이용하는 프로세스의 감시를 통한 좀비pc 차단 시스템 및 그 방법
US9043489B2 (en) * 2009-10-30 2015-05-26 Cleversafe, Inc. Router-based dispersed storage network method and apparatus
JP5674107B2 (ja) * 2010-10-19 2015-02-25 日本電気株式会社 通信システム、制御装置、処理規則の設定方法およびプログラム
IL209250A0 (en) * 2010-11-11 2011-01-31 Eci Telecom Ltd Technology for managing traffic via dual homed connections in communication networks
US9894082B2 (en) * 2011-01-18 2018-02-13 Nokia Technologies Oy Method, apparatus, and computer program product for managing unwanted traffic in a wireless network
JP5659881B2 (ja) * 2011-03-08 2015-01-28 富士通株式会社 帯域制御装置、与信度管理サーバー、及び帯域制御システム
WO2012144190A1 (en) * 2011-04-18 2012-10-26 Nec Corporation Terminal, control device, communication method,communication system, communication module, program, and information processing device
US10520581B2 (en) 2011-07-06 2019-12-31 Peloton Technology, Inc. Sensor fusion for autonomous or partially autonomous vehicle control
US10474166B2 (en) 2011-07-06 2019-11-12 Peloton Technology, Inc. System and method for implementing pre-cognition braking and/or avoiding or mitigation risks among platooning vehicles
US10520952B1 (en) 2011-07-06 2019-12-31 Peloton Technology, Inc. Devices, systems, and methods for transmitting vehicle data
US20170242443A1 (en) 2015-11-02 2017-08-24 Peloton Technology, Inc. Gap measurement for vehicle convoying
US8612743B2 (en) * 2011-07-26 2013-12-17 The Boeing Company Wireless network security
US9119077B2 (en) 2011-07-26 2015-08-25 The Boeing Company Wireless network security
US9049660B2 (en) 2011-09-09 2015-06-02 Microsoft Technology Licensing, Llc Wake pattern management
US8892710B2 (en) 2011-09-09 2014-11-18 Microsoft Corporation Keep alive management
US8806250B2 (en) 2011-09-09 2014-08-12 Microsoft Corporation Operating system management of network interface devices
US8516586B1 (en) * 2011-09-20 2013-08-20 Trend Micro Incorporated Classification of unknown computer network traffic
US9813310B1 (en) * 2011-10-31 2017-11-07 Reality Analytics, Inc. System and method for discriminating nature of communication traffic transmitted through network based on envelope characteristics
CN102624560B (zh) * 2012-03-12 2016-06-29 深圳市天威视讯股份有限公司 一种分布式部署、集中式控制的有线电视网络宽带接入系统
US10367878B2 (en) * 2012-03-31 2019-07-30 Bmc Software, Inc. Optimization of path selection for transfers of files
US9210180B2 (en) 2012-04-18 2015-12-08 Radware Ltd. Techniques for separating the processing of clients' traffic to different zones in software defined networks
WO2013162511A1 (en) * 2012-04-24 2013-10-31 Hewlett-Packard Development Company, L.P. Identifying network communication patterns
US9451393B1 (en) * 2012-07-23 2016-09-20 Amazon Technologies, Inc. Automated multi-party cloud connectivity provisioning
US9396034B2 (en) * 2012-07-30 2016-07-19 Hewlett Packard Enterprise Development Lp Job placement based on modeling of job slots
US10187309B1 (en) 2012-08-20 2019-01-22 Amazon Technologies, Inc. Congestion mitigation in networks using flow-based hashing
US9013998B1 (en) * 2012-08-20 2015-04-21 Amazon Technologies, Inc. Estimating round-trip times to improve network performance
US10182010B1 (en) 2012-08-20 2019-01-15 Amazon Technologies, Inc. Flow collision avoidance
CN102938734A (zh) * 2012-11-26 2013-02-20 杭州华三通信技术有限公司 Mpls网络中隧道的选择方法及pe设备
US8964953B2 (en) 2013-01-10 2015-02-24 Microsoft Corporation Incremental valuation based network capacity allocation
US9467482B2 (en) * 2013-01-31 2016-10-11 Cable Television Laboratories, Inc. Reverse prefix delegation
US9680728B2 (en) * 2013-02-12 2017-06-13 Ixia Arrangements for monitoring network traffic on a cloud-computing environment and methods thereof
US10021042B2 (en) * 2013-03-07 2018-07-10 Microsoft Technology Licensing, Llc Service-based load-balancing management of processes on remote hosts
US11294396B2 (en) 2013-03-15 2022-04-05 Peloton Technology, Inc. System and method for implementing pre-cognition braking and/or avoiding or mitigation risks among platooning vehicles
EP2974455B1 (en) * 2013-03-15 2020-01-15 The Boeing Company Secure routing based on the physical locations of routers
WO2014194333A1 (en) 2013-05-31 2014-12-04 Seven Networks, Inc. Optimizing traffic by controlling keep-alives
CN105637919A (zh) 2013-06-11 2016-06-01 七网络有限责任公司 优化无线网络中的保活和其他后台流量
EP3454594B1 (en) 2013-06-11 2020-11-04 Seven Networks, LLC Offloading application traffic to a shared communication channel for signal optimisation in a wireless network for traffic utilizing proprietary and non-proprietary protocols
US9319307B2 (en) * 2013-09-06 2016-04-19 At&T Intellectual Property I, L.P. Providing differentiated service to traffic flows obscured by content distribution systems
US9077639B2 (en) * 2013-11-18 2015-07-07 Arbor Networks, Inc. Managing data traffic on a cellular network
KR101566304B1 (ko) * 2013-11-21 2015-11-06 주식회사 쏠리드 Mtbf 개선을 위한 중계 시스템 및 그 방법
CN104702577B (zh) 2013-12-09 2018-03-16 华为技术有限公司 数据流安全处理方法及装置
US9088508B1 (en) 2014-04-11 2015-07-21 Level 3 Communications, Llc Incremental application of resources to network traffic flows based on heuristics and business policies
KR101576937B1 (ko) * 2014-07-28 2015-12-14 주식회사 오이솔루션 광 트랜시버
US9509616B1 (en) 2014-11-24 2016-11-29 Amazon Technologies, Inc. Congestion sensitive path-balancing
US10038741B1 (en) 2014-11-24 2018-07-31 Amazon Technologies, Inc. Selective enabling of sequencing for encapsulated network traffic
US9929969B1 (en) * 2014-12-31 2018-03-27 VCA IP Holding Company LLC Tenant-based management system and method for distributed computing environments
US9621577B2 (en) 2015-05-28 2017-04-11 Microsoft Technology Licensing, Llc Mitigation of computer network attacks
US10003522B2 (en) * 2015-08-27 2018-06-19 Facebook, Inc. Routing with flow over shared risk link groups
US9942202B2 (en) * 2015-09-08 2018-04-10 Microsoft Technology Licensing, Llc Trust status of a communication session
CN111930832B (zh) * 2015-09-21 2024-06-07 华为技术有限公司 快速和可扩展的数据库集群通信路径
US10135702B2 (en) 2015-11-12 2018-11-20 Keysight Technologies Singapore (Holdings) Pte. Ltd. Methods, systems, and computer readable media for testing network function virtualization (NFV)
CN106817340B (zh) * 2015-11-27 2020-05-08 阿里巴巴集团控股有限公司 预警决策的方法、节点及子系统
US9967165B2 (en) 2015-12-07 2018-05-08 Keysight Technologies Singapore (Holdings) Pte. Ltd. Methods, systems, and computer readable media for packet monitoring in a virtual environment
CN108781181B (zh) * 2016-01-29 2021-05-04 飞利浦照明控股有限公司 管理应用控制网络中的网络流量的系统和方法
JP6780838B2 (ja) * 2016-05-27 2020-11-04 学校法人東京電機大学 通信制御装置及び課金方法
EP3465371A4 (en) 2016-05-31 2019-12-18 Peloton Technology Inc. STATE MACHINE OF A COLUMN CONTROL UNIT
US10369998B2 (en) 2016-08-22 2019-08-06 Peloton Technology, Inc. Dynamic gap control for automated driving
JP6690056B2 (ja) 2016-08-22 2020-04-28 ぺロトン テクノロジー インコーポレイテッド 自動連続車両の制御システムアーキテクチャ
US10523528B2 (en) * 2017-05-22 2019-12-31 Cisco Technology, Inc. Determination of quality of service of a network tunnel
US10587937B2 (en) * 2018-04-09 2020-03-10 Futurewei Technologies, Inc. Packet and optical integration
US11398968B2 (en) 2018-07-17 2022-07-26 Keysight Technologies, Inc. Methods, systems, and computer readable media for testing virtualized network functions and related infrastructure
US10762791B2 (en) 2018-10-29 2020-09-01 Peloton Technology, Inc. Systems and methods for managing communications between vehicles
US11427196B2 (en) 2019-04-15 2022-08-30 Peloton Technology, Inc. Systems and methods for managing tractor-trailers
US10938706B1 (en) 2019-09-18 2021-03-02 Cisco Technology, Inc. Systems and methods for providing traffic generation on network devices
WO2021115779A1 (en) * 2019-12-09 2021-06-17 Koninklijke Philips N.V. System and method for monitoring health status based on home internet traffic patterns
CN113098749B (zh) * 2020-01-08 2024-10-15 华为技术有限公司 报文发送方法、装置及存储介质
HUE071972T2 (hu) 2020-01-29 2025-10-28 Kamari Pharma Ltd Vegyületek és készítmények bõrrendellenességek kezelésében történõ alkalmazásra
US11622273B2 (en) 2020-07-06 2023-04-04 T-Mobile Usa, Inc. Security system for directing 5G network traffic
US11770713B2 (en) 2020-07-06 2023-09-26 T-Mobile Usa, Inc. Distributed security system for vulnerability-risk-threat (VRT) detection
US11743729B2 (en) 2020-07-06 2023-08-29 T-Mobile Usa, Inc. Security system for managing 5G network traffic
US11800361B2 (en) 2020-07-06 2023-10-24 T-Mobile Usa, Inc. Security system with 5G network traffic incubation
US11516670B2 (en) 2020-07-06 2022-11-29 T-Mobile Usa, Inc. Security system for vulnerability-risk-threat (VRT) detection
US11323354B1 (en) 2020-10-09 2022-05-03 Keysight Technologies, Inc. Methods, systems, and computer readable media for network testing using switch emulation
US11483227B2 (en) 2020-10-13 2022-10-25 Keysight Technologies, Inc. Methods, systems and computer readable media for active queue management
US20220368622A1 (en) * 2021-05-11 2022-11-17 Jpmorgan Chase Bank, N.A. Systems and methods for network optimization using end user telemetry
US12149548B2 (en) * 2021-10-29 2024-11-19 Cisco Technology, Inc. SASE based method of preventing exhausting attack in wireless mesh networks
CN116343465A (zh) * 2021-12-23 2023-06-27 杭州海康威视数字技术股份有限公司 一种交通瓶颈的识别方法及识别装置
US20230206060A1 (en) * 2021-12-28 2023-06-29 T-Mobile Innovations Llc Seasonal component adjustment in network anomaly detection
US11853254B1 (en) 2022-10-07 2023-12-26 Keysight Technologies, Inc. Methods, systems, and computer readable media for exposing data processing unit (DPU) traffic in a smartswitch
US12407600B2 (en) 2022-11-03 2025-09-02 Keysight Technologies, Inc. Methods, systems, and computer readable media for smartswitch service chaining
US11863396B1 (en) 2022-11-18 2024-01-02 Packet Forensics, LLC Passive assessment of signal relays amongst bystanders
US12335152B2 (en) * 2023-02-13 2025-06-17 Hourglass Software LLC Modifying network routing and bandwidth balancing for lower latency and high quality fair traffic
US11985056B1 (en) * 2023-07-18 2024-05-14 Bank Of America Corporation System and method for selective data routing in a distributed network via data throughput analysis

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030048933A (ko) * 2001-12-13 2003-06-25 주식회사 이글루시큐리티 위험도 추론 침입탐지시스템
KR20040035572A (ko) * 2002-10-22 2004-04-29 최운호 정보 인프라에서의 종합 침해사고 대응시스템 및 그운영방법

Family Cites Families (183)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4495570A (en) * 1981-01-14 1985-01-22 Hitachi, Ltd. Processing request allocator for assignment of loads in a distributed processing system
US4901244A (en) * 1985-01-25 1990-02-13 Szeto Lai Wan M Apparatus for, and method of, analyzing signals
US4669113A (en) * 1985-04-26 1987-05-26 At&T Company Integrated network controller for a dynamic nonhierarchical routing switching network
US4726017A (en) * 1985-05-21 1988-02-16 Fla. Multidrop data concentrator communication network
US5287537A (en) * 1985-11-15 1994-02-15 Data General Corporation Distributed processing system having plural computers each using identical retaining information to identify another computer for executing a received command
US4748658A (en) * 1986-07-16 1988-05-31 Bell Communications Research, Inc. Architecture for allocating resources in a telecommunications network
US4920432A (en) * 1988-01-12 1990-04-24 Eggers Derek C System for random access to an audio video data library with independent selection and display at each of a plurality of remote locations
US5652841A (en) * 1990-02-06 1997-07-29 Nemirovsky; Paul Method and apparatus for aggregating terminals into clusters to assist in the construction of a distributed data communication network
AU7499291A (en) * 1990-03-05 1991-10-10 Massachusetts Institute Of Technology Switching networks with expansive and/or dispersive logical clusters for message routing
EP0528075A1 (en) * 1991-08-19 1993-02-24 ALCATEL BELL Naamloze Vennootschap Performance measurement device for a telecommunication path and method used therein
US5247347A (en) * 1991-09-27 1993-09-21 Bell Atlantic Network Services, Inc. Pstn architecture for video-on-demand services
US5291554A (en) * 1992-05-28 1994-03-01 Tv Answer, Inc. Shared-price custom video rentals via interactive TV
US5508732A (en) * 1993-03-22 1996-04-16 International Business Machines Corporation Data server, control server and gateway architecture system and method for broadcasting digital video on demand
US5406502A (en) * 1993-06-29 1995-04-11 Elbit Ltd. System and method for measuring the operation of a device
US5414455A (en) * 1993-07-07 1995-05-09 Digital Equipment Corporation Segmented video on demand system
US5631897A (en) * 1993-10-01 1997-05-20 Nec America, Inc. Apparatus and method for incorporating a large number of destinations over circuit-switched wide area network connections
BE1007682A3 (nl) * 1993-10-29 1995-09-12 Philips Electronics Nv Schakelinrichting.
JP3420621B2 (ja) * 1993-11-04 2003-06-30 富士通株式会社 通信網の分散型経路選択制御装置
JP3361865B2 (ja) * 1993-12-13 2003-01-07 富士通株式会社 スタティックなルーティング情報の自動設定方法およびルーティング情報の自動設定を行うコンピュータ
US5835726A (en) 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US5974457A (en) * 1993-12-23 1999-10-26 International Business Machines Corporation Intelligent realtime monitoring of data traffic
US5515511A (en) * 1994-06-06 1996-05-07 International Business Machines Corporation Hybrid digital/analog multimedia hub with dynamically allocated/released channels for video processing and distribution
US5519435A (en) * 1994-09-01 1996-05-21 Micropolis Corporation Multi-user, on-demand video storage and retrieval system including video signature computation for preventing excessive instantaneous server data rate
EP0701349A1 (fr) * 1994-09-07 1996-03-13 T.R.T. Telecommunications Radioelectriques Et Telephoniques Système et noeud de transmission de données avec surveillance de l'engorgement
US6751562B1 (en) * 2000-11-28 2004-06-15 Power Measurement Ltd. Communications architecture for intelligent electronic devices
NL9500512A (nl) 1995-03-15 1996-10-01 Nederland Ptt Inrichting voor het bepalen van de kwaliteit van een door een signaalbewerkingscircuit te genereren uitgangssignaal, alsmede werkwijze voor het bepalen van de kwaliteit van een door een signaalbewerkingscircuit te genereren uitgangssignaal.
JP2666769B2 (ja) * 1995-05-16 1997-10-22 日本電気株式会社 インタネットプロトコルルーティング方法及び装置
US5654958A (en) * 1995-06-05 1997-08-05 Motorola, Inc. System and method for learning and dynamic routing of data in a mobile communication network
US6393486B1 (en) * 1995-06-23 2002-05-21 Cisco Technology, Inc. System and method using level three protocol information for network centric problem analysis and topology construction of actual or planned routed network
US5590126A (en) * 1995-09-27 1996-12-31 Lucent Technologies Inc. Method for call establishment and rerouting in mobile computing networks
US5629930A (en) * 1995-10-31 1997-05-13 Northern Telecom Limited Call routing in an ATM switching network
US5754639A (en) * 1995-11-03 1998-05-19 Lucent Technologies Method and apparatus for queuing a call to the best split
US5812528A (en) * 1995-11-17 1998-09-22 Telecommunications Techniques Corporation Measuring round trip time in ATM network virtual connections
US5940478A (en) * 1996-05-31 1999-08-17 Octel Communications Corporation Method and system for extended addressing plans
US5892754A (en) * 1996-06-07 1999-04-06 International Business Machines Corporation User controlled adaptive flow control for packet networks
US5872930A (en) * 1996-07-11 1999-02-16 Microsoft Corporation Load balancing between E-mail servers within a local area network
US5841775A (en) * 1996-07-16 1998-11-24 Huang; Alan Scalable switching network
US6185601B1 (en) * 1996-08-02 2001-02-06 Hewlett-Packard Company Dynamic load balancing of a network of client and server computers
US6130889A (en) * 1996-10-02 2000-10-10 International Business Machines Corporation Determining and maintaining hop-count for switched networks
DE19655360B4 (de) * 1996-11-04 2010-12-09 Valeo Schalter Und Sensoren Gmbh Verfahren und Abstandsmesseinrichtung zur von den Fahrzeugdaten abhängigen Abstandsmessung von Hindernissen
US6012088A (en) * 1996-12-10 2000-01-04 International Business Machines Corporation Automatic configuration for internet access device
ATE192896T1 (de) 1996-12-13 2000-05-15 Koninkl Kpn Nv Vorrichtung und verfahren zur signalqualitätsbestimmung
US6226266B1 (en) * 1996-12-13 2001-05-01 Cisco Technology, Inc. End-to-end delay estimation in high speed communication networks
US6052718A (en) * 1997-01-07 2000-04-18 Sightpath, Inc Replica routing
US6549954B1 (en) * 1997-01-16 2003-04-15 Advanced Micro Devices, Inc. Object oriented on-chip messaging
US6034946A (en) * 1997-04-15 2000-03-07 International Business Machines Corporation Selection of routing paths in data communications networks to satisfy multiple requirements
US6341309B1 (en) * 1997-05-27 2002-01-22 Novell, Inc. Firewall system for quality of service management
US6178448B1 (en) * 1997-06-18 2001-01-23 International Business Machines Corporation Optimal link scheduling for multiple links by obtaining and utilizing link quality information
US6904110B2 (en) * 1997-07-31 2005-06-07 Francois Trans Channel equalization system and method
US6912222B1 (en) * 1997-09-03 2005-06-28 Internap Network Services Corporation Private network access point router for interconnecting among internet route providers
IL135131A0 (en) * 1997-09-16 2001-05-20 Transnexus Llc Internet telephony call routing engine
US6434606B1 (en) * 1997-10-01 2002-08-13 3Com Corporation System for real time communication buffer management
US6026441A (en) * 1997-12-16 2000-02-15 At&T Corporation Method for establishing communication on the internet with a client having a dynamically assigned IP address
US6339595B1 (en) * 1997-12-23 2002-01-15 Cisco Technology, Inc. Peer-model support for virtual private networks with potentially overlapping addresses
US6078963A (en) * 1998-01-16 2000-06-20 At&T Corp. Router with de-centralized processing using intelligent ports
US6185598B1 (en) * 1998-02-10 2001-02-06 Digital Island, Inc. Optimized network resource location
US6438592B1 (en) * 1998-02-25 2002-08-20 Michael G. Killian Systems for monitoring and improving performance on the world wide web
EP1062758A1 (en) 1998-03-12 2000-12-27 BRITISH TELECOMMUNICATIONS public limited company Method and apparatus for signal degradation measurement
US6453356B1 (en) * 1998-04-15 2002-09-17 Adc Telecommunications, Inc. Data exchange system and method
US7046653B2 (en) * 1998-05-01 2006-05-16 Jan Nigrin Diversity communication system and method of operation thereof
US6493353B2 (en) * 1998-05-07 2002-12-10 Mci Communications Corporation Communications signaling gateway and system for an advanced service node
US6311144B1 (en) * 1998-05-13 2001-10-30 Nabil A. Abu El Ata Method and apparatus for designing and analyzing information systems using multi-layer mathematical models
US6560204B1 (en) * 1998-05-13 2003-05-06 Telcordia Technologies, Inc. Method of estimating call level traffic intensity based on channel link measurements
US6707824B1 (en) * 1998-05-20 2004-03-16 Nortel Networks Limited Method and apparatus for flexible egress traffic queuing
US6260070B1 (en) * 1998-06-30 2001-07-10 Dhaval N. Shah System and method for determining a preferred mirrored service in a network by evaluating a border gateway protocol
US6385198B1 (en) * 1998-06-11 2002-05-07 Synchrodyne Networks, Inc. Signaling for timely forwarding in packet switching network with a common time reference
US6711152B1 (en) * 1998-07-06 2004-03-23 At&T Corp. Routing over large clouds
US6862622B2 (en) * 1998-07-10 2005-03-01 Van Drebbel Mariner Llc Transmission control protocol/internet protocol (TCP/IP) packet-centric wireless point to multi-point (PTMP) transmission system architecture
US6173324B1 (en) * 1998-07-15 2001-01-09 At&T Corp Method and apparatus for fault detection and isolation in data
JP3602972B2 (ja) * 1998-07-28 2004-12-15 富士通株式会社 通信性能測定装置及びその測定方法
US6963914B1 (en) 1998-09-01 2005-11-08 Lucent Technologies Inc. Method and apparatus for retrieving a network file using a logical reference
US6130890A (en) 1998-09-11 2000-10-10 Digital Island, Inc. Method and system for optimizing routing of data packets
US6189044B1 (en) * 1998-10-14 2001-02-13 Hughes Electronics Corporation Dynamic routing method for packet switched satellite communications
US20010010059A1 (en) * 1998-10-28 2001-07-26 Steven Wesley Burman Method and apparatus for determining travel time for data sent between devices connected to a computer network
US6385643B1 (en) * 1998-11-05 2002-05-07 Bea Systems, Inc. Clustered enterprise Java™ having a message passing kernel in a distributed processing system
US6687229B1 (en) * 1998-11-06 2004-02-03 Lucent Technologies Inc Quality of service based path selection for connection-oriented networks
US6522627B1 (en) * 1998-11-12 2003-02-18 Nortel Networks Limited Managing internet protocol connection oriented services
JP2000151708A (ja) * 1998-11-18 2000-05-30 Nec Corp 同報通信方法および同報通信装置
US6446028B1 (en) * 1998-11-25 2002-09-03 Keynote Systems, Inc. Method and apparatus for measuring the performance of a network based application program
AU2164700A (en) * 1998-12-09 2000-06-26 Network Ice Corporation A method and apparatus for providing network and computer system security
US6363332B1 (en) * 1998-12-22 2002-03-26 Caterpillar Inc. Method and apparatus for predicting a fault condition using non-linear curve fitting techniques
US6714549B1 (en) * 1998-12-23 2004-03-30 Worldcom, Inc. High resiliency network infrastructure
US7099282B1 (en) 1998-12-24 2006-08-29 Mci, Inc. Determining the effects of new types of impairments on perceived quality of a voice service
US7085230B2 (en) * 1998-12-24 2006-08-01 Mci, Llc Method and system for evaluating the quality of packet-switched voice signals
US6452950B1 (en) * 1999-01-14 2002-09-17 Telefonaktiebolaget Lm Ericsson (Publ) Adaptive jitter buffering
US6856627B2 (en) * 1999-01-15 2005-02-15 Cisco Technology, Inc. Method for routing information over a network
US6598145B1 (en) * 1999-02-12 2003-07-22 Avici Systems Irregular network
US6760775B1 (en) * 1999-03-05 2004-07-06 At&T Corp. System, method and apparatus for network service load and reliability management
US6538416B1 (en) * 1999-03-09 2003-03-25 Lucent Technologies Inc. Border gateway reservation protocol for tree-based aggregation of inter-domain reservations
US6711137B1 (en) * 1999-03-12 2004-03-23 International Business Machines Corporation System and method for analyzing and tuning a communications network
US6701432B1 (en) 1999-04-01 2004-03-02 Netscreen Technologies, Inc. Firewall including local bus
US6795860B1 (en) * 1999-04-05 2004-09-21 Cisco Technology, Inc. System and method for selecting a service with dynamically changing information
US6505254B1 (en) * 1999-04-19 2003-01-07 Cisco Technology, Inc. Methods and apparatus for routing requests in a network
US6801502B1 (en) * 1999-05-07 2004-10-05 At&T Corp. Method and apparatus for load-sensitive routing of long-lived packet flows
US6553423B1 (en) * 1999-05-27 2003-04-22 Cisco Technology, Inc. Method and apparatus for dynamic exchange of capabilities between adjacent/neighboring networks nodes
US6728777B1 (en) * 1999-06-02 2004-04-27 Nortel Networks Limited Method for engineering paths for multicast traffic
US6463454B1 (en) * 1999-06-17 2002-10-08 International Business Machines Corporation System and method for integrated load distribution and resource management on internet environment
US6973490B1 (en) * 1999-06-23 2005-12-06 Savvis Communications Corp. Method and system for object-level web performance and analysis
US6839751B1 (en) * 1999-06-30 2005-01-04 Hi/Fn, Inc. Re-using information from data transactions for maintaining statistics in network monitoring
AU5920000A (en) * 1999-07-09 2001-02-13 Malibu Networks, Inc. Method for transmission control protocol (tcp) rate control with link-layer acknowledgements in a wireless point to multi-point (ptmp) transmission system
US6728484B1 (en) * 1999-09-07 2004-04-27 Nokia Corporation Method and apparatus for providing channel provisioning in optical WDM networks
US6704795B1 (en) * 1999-10-12 2004-03-09 Cisco Technology, Inc. Technique for reducing consumption of router resources after BGP restart
US6836463B2 (en) * 1999-10-15 2004-12-28 Nokia Corporation System for communicating labeled routing trees to establish preferred paths and source routes with local identifiers in wireless computer networks
US6728779B1 (en) * 1999-12-01 2004-04-27 Lucent Technologies Inc. Method and apparatus for exchanging routing information in a packet-based data network
US6614789B1 (en) * 1999-12-29 2003-09-02 Nasser Yazdani Method of and apparatus for matching strings of different lengths
US7003571B1 (en) * 2000-01-31 2006-02-21 Telecommunication Systems Corporation Of Maryland System and method for re-directing requests from browsers for communication over non-IP based networks
US6873600B1 (en) * 2000-02-04 2005-03-29 At&T Corp. Consistent sampling for network traffic measurement
US6820133B1 (en) * 2000-02-07 2004-11-16 Netli, Inc. System and method for high-performance delivery of web content using high-performance communications protocol between the first and second specialized intermediate nodes to optimize a measure of communications performance between the source and the destination
US20010026537A1 (en) * 2000-02-24 2001-10-04 Michael Massey Satellite internet backbone network system using virtual onboard switching
US20020152305A1 (en) * 2000-03-03 2002-10-17 Jackson Gregory J. Systems and methods for resource utilization analysis in information management environments
US6601101B1 (en) * 2000-03-15 2003-07-29 3Com Corporation Transparent access to network attached devices
US6826613B1 (en) * 2000-03-15 2004-11-30 3Com Corporation Virtually addressing storage devices through a switch
US7162539B2 (en) * 2000-03-16 2007-01-09 Adara Networks, Inc. System and method for discovering information objects and information object repositories in computer networks
US6768969B1 (en) 2000-04-03 2004-07-27 Flint Hills Scientific, L.L.C. Method, computer program, and system for automated real-time signal analysis for detection, quantification, and prediction of signal changes
US6741569B1 (en) 2000-04-18 2004-05-25 Telchemy, Incorporated Quality of service monitor for multimedia communications system
US7027448B2 (en) * 2000-04-21 2006-04-11 At&T Corp. System and method for deriving traffic demands for a packet-switched network
US7024475B1 (en) * 2000-04-24 2006-04-04 Nortel Networks Limited Performance modeling of a communications system
US7123620B1 (en) * 2000-04-25 2006-10-17 Cisco Technology, Inc. Apparatus and method for scalable and dynamic traffic engineering in a data communication network
US7343422B2 (en) * 2000-04-28 2008-03-11 Adara Networks, Inc. System and method for using uniform resource locators to map application layer content names to network layer anycast addresses
US6556582B1 (en) * 2000-05-15 2003-04-29 Bbnt Solutions Llc Systems and methods for collision avoidance in mobile multi-hop packet radio networks
US7111073B1 (en) * 2000-05-30 2006-09-19 Cisco Technology, Inc. Apparatus for estimating delay and jitter between network routers
US6963575B1 (en) * 2000-06-07 2005-11-08 Yipes Enterprise Services, Inc. Enhanced data switching/routing for multi-regional IP over fiber network
MXPA02012346A (es) * 2000-06-14 2004-09-09 Coreexpress Inc Desagregacion de ruta de internet y preferencia de seleccion de ruta.
US20020093527A1 (en) * 2000-06-16 2002-07-18 Sherlock Kieran G. User interface for a security policy system and method
US6956858B2 (en) * 2000-06-30 2005-10-18 Mayan Networks Corporation Network routing table and packet routing method
US7020086B2 (en) * 2000-07-03 2006-03-28 Telefonaktiebolaget Lm Ericsson (Publ) Lagrange quality of service routing
US6999432B2 (en) * 2000-07-13 2006-02-14 Microsoft Corporation Channel and quality of service adaptation for multimedia over wireless networks
US6839745B1 (en) * 2000-07-19 2005-01-04 Verizon Corporate Services Group Inc. System and method for generating reports in a telecommunication system
US20020010765A1 (en) * 2000-07-21 2002-01-24 John Border Method and system for prioritizing traffic in a network
JP3640160B2 (ja) * 2000-07-26 2005-04-20 日本電気株式会社 ルータ装置及びそれに用いる優先制御方法
US6973038B1 (en) * 2000-07-28 2005-12-06 Tactical Networks A.S. System and method for real-time buying and selling of internet protocol (IP) transit
US6981055B1 (en) * 2000-08-22 2005-12-27 Internap Network Services Corporation Method and system for optimizing routing through multiple available internet route providers
US7698463B2 (en) * 2000-09-12 2010-04-13 Sri International System and method for disseminating topology and link-state information to routing nodes in a mobile ad hoc network
AU2001289009A1 (en) * 2000-09-12 2002-03-26 Falcon Asset Acquisition Group Method and apparatus for flash load balancing
US20020174246A1 (en) * 2000-09-13 2002-11-21 Amos Tanay Centralized system for routing signals over an internet protocol network
US6760777B1 (en) * 2000-09-15 2004-07-06 Pluris, Inc. Method and apparatus for distributing and providing fault tolerance to path-vector routing protocols within a multi-processor router
US7222268B2 (en) * 2000-09-18 2007-05-22 Enterasys Networks, Inc. System resource availability manager
US7043541B1 (en) * 2000-09-21 2006-05-09 Cisco Technology, Inc. Method and system for providing operations, administration, and maintenance capabilities in packet over optics networks
US7349994B2 (en) * 2000-10-17 2008-03-25 Avaya Technology Corp. Method and apparatus for coordinating routing parameters via a back-channel communication medium
US7363367B2 (en) * 2000-10-17 2008-04-22 Avaya Technology Corp. Systems and methods for robust, real-time measurement of network performance
US7487237B2 (en) * 2000-10-17 2009-02-03 Avaya Technology Corp. Load optimization
US7336613B2 (en) 2000-10-17 2008-02-26 Avaya Technology Corp. Method and apparatus for the assessment and optimization of network traffic
US7720959B2 (en) * 2000-10-17 2010-05-18 Avaya Inc. Method and apparatus for characterizing the quality of a network path
ATE459154T1 (de) * 2000-10-17 2010-03-15 Avaya Technology Corp Verfahren und vorrichtung zur optimierung der leistung und des kosten in einem internetzwerk
US8023421B2 (en) * 2002-07-25 2011-09-20 Avaya Inc. Method and apparatus for the assessment and optimization of network traffic
WO2002033893A2 (en) * 2000-10-17 2002-04-25 Routescience Technologies, Inc. Method and apparatus for communicating data within measurement traffic
US7406539B2 (en) * 2000-10-17 2008-07-29 Avaya Technology Corp. Method and apparatus for performance and cost optimization in an internetwork
US6894991B2 (en) * 2000-11-30 2005-05-17 Verizon Laboratories Inc. Integrated method for performing scheduling, routing and access control in a computer network
US7155436B2 (en) * 2001-01-12 2006-12-26 Vendaria, Inc Method and system for generating and providing rich media presentations optimized for a device over a network
TWI223942B (en) * 2001-02-20 2004-11-11 Li Jian Min Contents transmission network system and creating method thereof
US7110393B1 (en) 2001-02-28 2006-09-19 3Com Corporation System and method for providing user mobility handling in a network telephony system
AU2002247257A1 (en) * 2001-03-02 2002-09-19 Kasenna, Inc. Metadata enabled push-pull model for efficient low-latency video-content distribution over a network
US7139242B2 (en) * 2001-03-28 2006-11-21 Proficient Networks, Inc. Methods, apparatuses and systems facilitating deployment, support and configuration of network routing policies
US7269157B2 (en) * 2001-04-10 2007-09-11 Internap Network Services Corporation System and method to assure network service levels with intelligent routing
US7730528B2 (en) * 2001-06-01 2010-06-01 Symantec Corporation Intelligent secure data manipulation apparatus and method
JP3814505B2 (ja) * 2001-09-19 2006-08-30 富士通株式会社 提供サービス制御機能を有するipネットワークシステム
US7222190B2 (en) * 2001-11-02 2007-05-22 Internap Network Services Corporation System and method to provide routing control of information over data networks
US7085264B2 (en) 2001-12-18 2006-08-01 Nortel Networks Limited System and method for controlling media gateways that interconnect disparate networks
US20030135609A1 (en) * 2002-01-16 2003-07-17 Sun Microsystems, Inc. Method, system, and program for determining a modification of a system resource configuration
US7743415B2 (en) 2002-01-31 2010-06-22 Riverbed Technology, Inc. Denial of service attacks characterization
US7535913B2 (en) 2002-03-06 2009-05-19 Nvidia Corporation Gigabit ethernet adapter supporting the iSCSI and IPSEC protocols
JP3667700B2 (ja) * 2002-03-06 2005-07-06 エルピーダメモリ株式会社 入力バッファ回路及び半導体記憶装置
JP3602510B2 (ja) * 2002-03-06 2004-12-15 日本電信電話株式会社 ネットワークおよびノードおよびプログラムおよび記録媒体
WO2003084134A1 (en) 2002-03-29 2003-10-09 Network Genomics, Inc. Systems and methods for end-to-end quality of service measurements in a distributed network environment
US7260645B2 (en) * 2002-04-26 2007-08-21 Proficient Networks, Inc. Methods, apparatuses and systems facilitating determination of network path metrics
US7764617B2 (en) * 2002-04-29 2010-07-27 Harris Corporation Mobile ad-hoc network and methods for performing functions therein based upon weighted quality of service metrics
US7987491B2 (en) * 2002-05-10 2011-07-26 Richard Reisman Method and apparatus for browsing using alternative linkbases
US20040162994A1 (en) * 2002-05-13 2004-08-19 Sandia National Laboratories Method and apparatus for configurable communication network defenses
JP3872717B2 (ja) * 2002-05-15 2007-01-24 日本電信電話株式会社 ネットワークの品質制御方法、ネットワークシステム及び管理装置
GB2389479B (en) * 2002-06-07 2005-12-28 Hewlett Packard Co Method of serving out video over a network of video servers
US20040015719A1 (en) * 2002-07-16 2004-01-22 Dae-Hyung Lee Intelligent security engine and intelligent and integrated security system using the same
JP2004056726A (ja) * 2002-07-24 2004-02-19 Matsushita Electric Ind Co Ltd トラヒック量制御装置およびトラヒック量制御方法
EP1387527A1 (en) * 2002-07-30 2004-02-04 Agilent Technologies Inc. Identifying network routers and paths
US6983323B2 (en) * 2002-08-12 2006-01-03 Tippingpoint Technologies, Inc. Multi-level packet screening with dynamically selected filtering criteria
US7324447B1 (en) * 2002-09-30 2008-01-29 Packeteer, Inc. Methods, apparatuses and systems facilitating concurrent classification and control of tunneled and non-tunneled network traffic
WO2004038979A2 (en) 2002-10-24 2004-05-06 Optical Solutions, Inc. Passive optical network address association recovery
US7454499B2 (en) * 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
US7830861B2 (en) * 2003-10-16 2010-11-09 At&T Intellectual Property Ii, L.P. Method and apparatus for functional architecture of voice-over-IP SIP network border element
US20050132060A1 (en) * 2003-12-15 2005-06-16 Richard Mo Systems and methods for preventing spam and denial of service attacks in messaging, packet multimedia, and other networks
US7543052B1 (en) * 2003-12-22 2009-06-02 Packeteer, Inc. Automatic network traffic discovery and classification mechanism including dynamic discovery thresholds
US6984991B2 (en) * 2004-05-11 2006-01-10 International Business Machines Corporation Initialization of a bidirectional, self-timed parallel interface with automatic testing of AC differential wire pairs
EP1779345A2 (en) * 2004-07-29 2007-05-02 Intelli7, Inc. System and method of characterizing and managing electronic traffic
CA2549577A1 (en) 2004-09-09 2006-03-16 Avaya Technology Corp. Methods of and systems for network traffic security

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030048933A (ko) * 2001-12-13 2003-06-25 주식회사 이글루시큐리티 위험도 추론 침입탐지시스템
KR20040035572A (ko) * 2002-10-22 2004-04-29 최운호 정보 인프라에서의 종합 침해사고 대응시스템 및 그운영방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014025225A1 (ko) * 2012-08-10 2014-02-13 주식회사 아이디어웨어 애플리케이션 패킷 데이터 패턴 검출 장치

Also Published As

Publication number Publication date
CA2549578A1 (en) 2006-03-16
EP1790127B1 (en) 2012-01-04
US20100325272A1 (en) 2010-12-23
JP4634457B2 (ja) 2011-02-16
WO2006029400A2 (en) 2006-03-16
US20060072543A1 (en) 2006-04-06
US8051481B2 (en) 2011-11-01
WO2006029400A3 (en) 2007-04-19
EP1790131A2 (en) 2007-05-30
KR20070049599A (ko) 2007-05-11
WO2006029399A3 (en) 2007-12-21
KR20070061762A (ko) 2007-06-14
US7596811B2 (en) 2009-09-29
JP2008512971A (ja) 2008-04-24
US20060092841A1 (en) 2006-05-04
JP2008512970A (ja) 2008-04-24
JP4634456B2 (ja) 2011-02-16
EP1790131A4 (en) 2010-07-07
JP2011065653A (ja) 2011-03-31
EP1790127A2 (en) 2007-05-30
US7818805B2 (en) 2010-10-19
CA2549577A1 (en) 2006-03-16
WO2006029399A2 (en) 2006-03-16
EP1790131B1 (en) 2012-12-05
US20090031420A1 (en) 2009-01-29
EP1790127A4 (en) 2010-08-04
KR101148900B1 (ko) 2012-05-29

Similar Documents

Publication Publication Date Title
KR101111099B1 (ko) 네트워크 트래픽 보안 방법들 및 시스템들
Pillai et al. Mitigating ddos attacks using sdn-based network security measures
US20190297017A1 (en) Managing network congestion using segment routing
Ganesh Kumar et al. Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT)
CN113228591B (zh) 用于动态补救安全系统实体的方法、系统和计算机可读介质
KR100796996B1 (ko) 분산 네트워크의 노드상의 과부하 조건으로부터 보호하기위한 방법 및 장치
US8339971B2 (en) Network protection via embedded controls
EP1905197B1 (en) System and method for detecting abnormal traffic based on early notification
US7937761B1 (en) Differential threat detection processing
US9392009B2 (en) Operating a network monitoring entity
US8205253B2 (en) System and method for avoiding and mitigating a DDoS attack
CA2887428A1 (en) A computer implemented system and method for secure path selection using network rating
US7417951B2 (en) Apparatus and method for limiting bandwidths of burst aggregate flows
KR101118398B1 (ko) 트래픽 방어 방법 및 장치
US12120128B1 (en) Route and packet flow evaluation on a cloud exchange
Carvalho et al. Dossec: A reputation-based dos mitigation mechanism on sdn
Jog et al. Distributed capabilities-based DDoS defense
US20190230115A1 (en) Fatigue-based segment routing
Chou DDoS Defense Systems and Techniques
Fahmy et al. Vulnerabilities and Safe-guards in Networks with QoS Support
Bhandari Router Based Mechanism for Mitigation of DDoS Attack-A Survey
Tödtmann Preventing DoS Attacks in QoS-enabled IP Networks Through Efficient IP Source Address Validation
Doriguzzi-Corinα et al. Application-Centric Provisioning of Virtual Security Network Functions

Legal Events

Date Code Title Description
PA0105 International application

St.27 status event code: A-0-1-A10-A15-nap-PA0105

E13-X000 Pre-grant limitation requested

St.27 status event code: A-2-3-E10-E13-lim-X000

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

R17-X000 Change to representative recorded

St.27 status event code: A-3-3-R10-R17-oth-X000

PG1501 Laying open of application

St.27 status event code: A-1-1-Q10-Q12-nap-PG1501

A201 Request for examination
P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

PA0201 Request for examination

St.27 status event code: A-1-2-D10-D11-exm-PA0201

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

St.27 status event code: A-1-2-D10-D21-exm-PE0902

E13-X000 Pre-grant limitation requested

St.27 status event code: A-2-3-E10-E13-lim-X000

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

St.27 status event code: A-1-2-D10-D22-exm-PE0701

GRNT Written decision to grant
PR0701 Registration of establishment

St.27 status event code: A-2-4-F10-F11-exm-PR0701

PR1002 Payment of registration fee

St.27 status event code: A-2-2-U10-U12-oth-PR1002

Fee payment year number: 1

PG1601 Publication of registration

St.27 status event code: A-4-4-Q10-Q13-nap-PG1601

FPAY Annual fee payment

Payment date: 20150106

Year of fee payment: 4

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 4

FPAY Annual fee payment

Payment date: 20151223

Year of fee payment: 5

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 5

FPAY Annual fee payment

Payment date: 20170112

Year of fee payment: 6

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 6

FPAY Annual fee payment

Payment date: 20180111

Year of fee payment: 7

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 7

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 8

PC1903 Unpaid annual fee

St.27 status event code: A-4-4-U10-U13-oth-PC1903

Not in force date: 20200126

Payment event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

PC1903 Unpaid annual fee

St.27 status event code: N-4-6-H10-H13-oth-PC1903

Ip right cessation event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

Not in force date: 20200126

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000