CN101933290B - 基于流信息对网络设备上的acl进行配置的方法 - Google Patents
基于流信息对网络设备上的acl进行配置的方法 Download PDFInfo
- Publication number
- CN101933290B CN101933290B CN200880125889.9A CN200880125889A CN101933290B CN 101933290 B CN101933290 B CN 101933290B CN 200880125889 A CN200880125889 A CN 200880125889A CN 101933290 B CN101933290 B CN 101933290B
- Authority
- CN
- China
- Prior art keywords
- address
- network
- stream
- stream record
- acl
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的实施方式提供了一种用于使用从网络路由器导出的网络流记录来提供关于进入/离开设备的业务的信息的***和方法。网络路由器或者集线器可以配置用于授权或者拒绝经由路由器传送业务的两个网络设备之间各种类型的网络业务。所提出的方法描述了根据从由网络路由器导出的网络流信息衍生的信息来创建和应用路由器上的访问控制列表。
Description
技术领域
本发明涉及使用从网络路由器导出的网络流数据来提供关于进入/离开设备的业务的信息。网络路由器可以配置用于授权或者拒绝经由路由器传送其业务的两个网络设备之间各种类型的网络业务。所提出的方法描述了根据从由网络路由器导出的网络流信息衍生的信息来动态创建和应用路由器上的访问控制列表。
背景技术
网络使用数据对于很多重要的商业功能而言是有用的,诸如订户计费、营销和客户关怀、产品开发、网络操作管理、网络和***能力规划以及安全性。网络使用数据不包括在各方之间的通信会话中交换的实际信息,而是包括多个称为“流记录”的使用明细记录,其包含一种或多种类型的元数据(即,“关于数据的数据”)。已知的网络流记录协议包括 
或者
在此使用的“流记录”被定义为在一段时间期间共享共用资源和目的地参数的IP分组的流对单向网络使用的小测量单元。
包括在每个流记录内的元数据的类型基于服务和网络的类型而变化,并且在某些情况下,基于提供流记录的特定网络设备而变化。通常,流记录提供与各方之间的特定事件或者通信连接有关的详细使用信息,诸如连接开始时间和停止时间、所传送数据的源(或者发起者)、数据的目的地或者接收者以及传送的数据量。流记录概括非常短的时段(从几毫秒到几秒,偶尔是几分钟)内的使用信息。根据涉及的服务和网络的类型,流记录还可以包括与传输协议、传输数据的类型、所提供的服务类型(ToS)等有关的信息。在电话网络中,组成使用信息的流记录称为呼叫明细记录(CDR)。
在网络监测中,收集、存储和分析网络流记录以产生有意义的结果。网络使用分析***对这些流记录进行处理,并且生成支持各种业务功能的报告或者综合数据文件。网络使用分析***提供与网络服务如何使用以及由谁使用有关的信息。网络使用分析***还可以用于标识(或者预测)与客户满意度相关的问题,诸如由网络拥塞和网络安全滥用而引起的那些问题。在一个示例中,可以监测基于订户使用行为的网络利用和性能,以跟踪用户体验,预测将来的网络能力,或者标识指示网络滥用、诈骗和盗窃的使用行为。
在计算机安全中,访问控制列表(ACL)是附加到对象的许可的列表。更具体地,在联网中,ACL是指详述业务过滤规则的规则列表。ACL可以许可或者拒绝通过网络设备的业务。仅路由器和防火墙可以具有网络ACL。访问控制列表通常可以配置用于控制入站业务和出站业务二者。
ACL是通过限制去往和来自不期望的地址和/或端口的用户和设备访问来控制网络业务的一种方式。ACL通过通常在路由器接口处控制是否转发或者阻止路由的分组,来过滤网络业务,但是其他设备可以过滤分组。在访问列表内指定的标准的基础上,路由器检查每个分组以确定是否转发或者丢弃该分组。访问控制列表标准可以是业务的源地址或者业务的目的地地址、目标端口或者协议或者其中某些组合。通常,网际协议(IP)地址充当源设备在基于IP的网络中的标识符。访问控制列表基于网络内该IP标识符而允许差异化访问。
虽然ACL提供了有利的功能,但是建立ACL可能是费力的。特别地,ACL当前人工编程的。另外,选择IP地址以放置在ACL上可能是任意和不可预测的。
特别地,多种自治或者企业IP网络是大型、复杂和动态的,使得其难于管理。网络管理任务(诸如,监测网络中的业务、分析网络的性能或者重新配置网络以便改进性能)需要关于网络的信息。然而,因为大型IP网络是高度动态的,所以难以获得针对多种网络管理任务而言有用的信息。考虑到,大型IP网络可能具有数以万计的节点和数以百计的路由器和网关。大型公司网络可能具有300,000个节点和2,500个路由器。路由器、网关、交换机和其他设备时常发生故障、离线或者恢复使用。链路通常发生故障、恢复使用或者性能下降。例如,微波或者卫星链路可能经历减少其带宽的干扰。用于在大型IP网络中路由业务的诸如OSPF和BGP的协议是动态的,并且大型网络中的路由路径随着网络中状态的改变而改变。即使是相对稳定的网络,到达路由收敛的状态也会花费较长的时间。按照设计,IP网络上的两台计算机之间的通信路径在其之间的单个连接期间甚至也可能改变。鉴于这些因素以及以下讨论的其他因素,网络管理工具获得随着时间描绘网络的稍微完整和精确的网络图片的信息是很困难的。
网络复杂度使得管理网络较昂贵,因为其需要熟练的人工操作员的手动干预。大型IP网络的配置和管理难于自动化。对于密切的人工监管的这一需要导致很多操作员采取保守策略,即,倾向于网络稳定性而不是为优化网络性能进行频繁的重新配置。由此,网络管理领域的另一问题在于:IP网络将次优的网络配置保持得超过需要的时间,导致昂贵带宽容量的低效使用,以及与以其他可能方式相比的更高潜在通信延迟。用于自动化管理和配置的工具还没有广泛采用。
虽然确实存在用于网络管理(包括监测和维护ACL)的工具,但是这些工具是不成熟的而且具有很多缺陷。多数网络管理工具仅发现和轮询活跃的网络设备以生成包含图、计数值、平均、高业务区域等的报告。当前的工具倾向于忽略网络行为的全局动态,致力于集中统一从个体网络设备本地获得的可能冲突的数据。当前的工具没有使操作员执行各种可能有用的任务较为容易,可能有用的任务诸如,发现特定业务组采用的通过网络的路径,调查网络在‘如果-将会怎样’场景中的行为,在发生故障和恢复时监测网络的演变,或者在网络业务涉及特定应用或者服务时对其进行分析等。
如上所述,曾经尝试在个体用户计算机处测量网络业务,但是主机业务数据在范围内受到限制,并且通常无法显示涉及沿IP网络中特定路径的业务流的信息。主机或者终端***网络测量不提供关于网络拓扑的有用信息。还存在于诸如路由器和交换机的网络设备处聚集IP业务数据的工具,诸如来自Cisco Systems的
然而,已经证明,这些方法由于多种原因是不充分的,这些原因诸如不透明(例如,加密的、隧道式)业务、复杂的应用通信模式、采样假象、由监测引入路由器上的负载等。
另外,已知的用于标识病毒的技术是受限的。已知的技术通常寻找病毒的次生效应,诸如监测网络资源使用和标识请求反常的大量网络资源的应用。然而,可能难于区分病毒和需要大量网络资源的合法应用。而且,病毒正变得更加智能以避免检测。例如,病毒可能在***中潜伏一段时间,等待信号来发作。例如,恶意病毒会潜伏直到获得保密数据。由此,在病毒等待动作时是难以检测的,因为其产生极小的副作用。
发明内容
响应于这些以及其他需要,本发明的实施方式提供了一种用于使用从网络路由器导出的网络流记录来提供关于进入/离开设备的业务的信息的***和方法。网络路由器可以配置用于授权或者拒绝经由该路由器传送业务的两个网络设备之间的各种类型的网络业务。所提出的方法描述了根据从由网络路由器导出的网络流信息衍生的信息而创建和应用路由器上的访问控制列表。
一种***提供了对网络的动态控制,该***包括:流记录存储,配置用于从网络接收流记录以及聚集该流记录;数据分析工具,配置用于接收聚集的流记录以及根据预定义的标准来分析聚集的流记录,以标识一个或多个网络地址和端口;以及网络设备,配置用于接收所标识的网络地址,以及将所标识的网络地址和端口向访问控制列表添加。可选地,该***进一步包括访问控制列表存储,可选地配置用于存储所标识的网络地址和端口,以及将所标识的网络地址向网络设备提供。可选地,每个流记录包括源地址,并且根据源地址来聚集流记录。在其他方面,流记录包括每个相关联的流中传输的字节大小,以及预定义的标准包括在针对每个源地址的相关联流中传输的字节总数。可选地,数据输入设备接收来自用户的输入以定义预定义的标准。
可以通过从部件接收关于网络上业务的流记录来监测网络中的部件。可选地接收定义访问控制标准的数据,并且使用访问控制标准来分析流记录。标识满足访问控制标准的目标和源网络地址或范围和/或目标和源端口,并且将其向用户呈现。用户可以审阅所标识的地址或范围和/或端口,然后选择将其向网络部件之一转发。如果发送,则部件将标识的网络地址和/或端口添加到相关联的访问控制列表中,其中访问控制列表阻止业务到达所标识的网络地址和/或端口。可选地,每个访问控制列表的时段可以设置为允许移除自动输入的ACL条目。
以这种方式,ACL是应用在路由器或者防火墙中的业务过滤规则。存在两种ACL:标准ACL,其仅通过源IP地址来阻止或者允许业务;和扩展ACL,其通过源和目的地IP地址以及源和目的地端口来阻止。因此,本申请的实施方式包括存储所标识的地址或端口。
在用于动态控制网络业务的***中,该***包括:流生成设备,配置用于访问存储***以提供流记录;流记录存储***,配置用于接收并且存储流记录;以及数据分析设备,配置用于访问存储***以及根据预定义的标准来评定所存储的流记录。如果这些流记录满足预定义的标准,则可以将地址/端口向审阅和批准的用户转发,以将其向ACL添加。为了辅助用户,还可以向用户显示与所标识的地址/端口相关联的流记录数据。
在另一实施方式中,此处所公开的技术描述了一种用于评估ACL中的地址/端口的方法。具体地,可以根据预定义的标准来评估与ACL中的地址/端口相关联的流记录。如果那些流记录满足预定义的标准,则可以将地址/端口向审阅和批准的用户转发,以在ACL中对其进行更新。否则,如果那些流记录不满足预定义的标准,则可以将地址/端口向审阅和批准的用户转发,以将其从ACL中移除。
附图说明
从结合附图的以下详细描述,本发明的特定示例性实施方式的上述以及其他目的、特征和优点将变得更为明显,其中:
图1A绘出了根据本发明网络的实施方式的示例性网络;
图1B(现有技术)绘出了已知的流记录分析***;
图2(现有技术)绘出了已知的示例性流记录;
图3绘出了根据本发明的实施方式的、用于存储流记录的已知示例性表;
图4绘出了根据本发明的实施方式的、用于存储聚集的流记录的示例性表;
图5绘出了根据本发明的实施方式的、用于使用流数据来创建ACL的***;
图6是说明根据本发明的实施方式的网络节点、访问控制***和流记录存储***之间的通信的服务流程图;以及
图7是绘出根据本发明的实施方式的、用于使用流记录来创建ACL的方法中的步骤的流程图。
具体实施方式
图1A中绘出了根据本发明的实施方式的网络100,其中示出了根据一个实施方式说明本发明的网络视图的框图。如图所示,客户端设备108a-108n通过联网结构112耦合至服务器110a-110n,该联网结构112包括多个彼此耦合形成多个网络链路的路由设备106a-106n。客户端设备108a-108n经由路由设备106a-106n,或者更具体地,通过由路由设备106a-106n形成的网络链路,选择性地访问服务器110a-110n用于服务。遗憾的是,如本领域技术人员理解的,使得服务器110a-110n可容易地由客户端设备108a-108n访问的相同网络链路也使其易于受到一个或多个客户端设备108a-108n的滥用或者误用的攻击。例如,一个或多个客户端设备108a-108n可以单独或者联合发起攻击,诸如拒绝服务攻击,或者以其他方式使一个或多个服务器110a-110n、路由设备106a-106n和/或将元件互连的链路受害。根据本发明,采用由多个感测器104a-104n补充的导控器(director)102来检测和防止网络链路的此类滥用或者误用,以下进行更为全面的描述。针对示出的实施方式,将感测器104a-104n安置在分布的位置中。在备选的实施方式中,感测器104a-104n中的一些或者全部可以与路由设备106a-106n整体地安置。
网络112表示广泛的专用以及公用网络或者互连的网络,诸如跨国公司的企业网络或者因特网。诸如客户端108a-108n和服务器110a-110n的联网节点表示本领域已知的各种此类元件,包括个人用户机器、电子商务站点等。如上所述,路由设备106a-106n表示广泛的网络通信(trafficking)设备,包括但不限于传统的路由器、交换机、网关、集线器等。
虽然为了便于理解,附图中仅包括一个导控器102和少量网络节点、客户端108a-108n和服务器110a-110n、路由设备106a-106n和感测器104a-104n的每一个,但是根据以下描述,本领域技术人员将理解,本发明可以利用不止一个导控器102以及更多或更少的网络节点、路由设备106a-106n和感测器104a-104n来实现。特别地,本发明还可以利用一个或者多个导控器102来实现。当采用不止一个导控器102时,可以指派每个导控器102负责感测器104a-104n的子集,并且导控器102可以按照主/从关系彼此相关,导控器102之一充当“主”导控器(而其他的充当“从”导控器),或者彼此对等或者组织到层级中,以共同承担以下描述的职责。
以下更加详细地描述导控器102的操作,并且导控器102包括流数据连接***和访问控制设备,下文详述。
如图1B所示,在一个实施方式中,已知的网络使用分析***111包括数据收集***服务器130和数据存储***140。数据收集***服务器130也称为***,它是从所有各种网络代理120收集流数据报190以供存储和分析的中央服务器。数据收集***服务器130从流记录生成设备120接收流记录190,该流记录生成设备120是作为IP网络114一部分的网络设备。在一个实施方式中,网络114包括因特网115。
通常,流记录生成设备120基本上可以包括能够以“线速度”处理未加工的网络业务并且根据该业务生成流记录的任何网络设备。示例性的流记录生成设备120包括路由器、交换机和网关,并且某些情况下,可以包括应用服务器、***和网络探测器。在多数情况下,由流记录生成设备120生成的小流记录作为去往数据收集***服务器130的流记录190的流而被导出。
各种网络协议在网络设备上运行,用于收集网络和网际协议业务信息。通常,诸如路由器的各种网络代理120具有能够生成流记录的流特征。流记录190通常在用户数据报协议(UDP)或者流控制传输协议(SCTP)分组中从网络代理120导出,并且使用流收集器来收集。更多信息请参考http://www.ietf.org/html.charters/ipfix-charter.html处的针对网际协议流信息输出(IPFIX)的因特网工程任务组(IETF)标准。
如上所述,流记录190通常由网络代理120经由UDP或者SCTP来发送,并且出于效率的原因,网络代理120在流记录一旦导出之后不会对其进行存储。利用UDP流,如果由于网络代理120与数据收集服务器130之间的网络拥塞而丢弃了流记录190,其可能会永久性丢失,因为网络代理120无法重发流记录190。还可以以每个接口为基础来支持流,以避免给路由器的处理器造成不必要的负荷。由此,流记录190通常基于对接口的分组输入,其中使其能够避免重复计数并且节省网络代理120的工作。同样,网络代理120可以导出丢弃分组的流记录。
已经通过多种方式定义了网络流。在一个实现中,流包括五元组:用以定义源IP地址、目的地IP地址、源TCP端口、目的地TCP端口和IP协议的分组的单向序列。通常,网络代理120将在其确定流结束时输出流记录。网络代理120通过“流计龄(aging)”来进行,其中当网络代理120观察到已有流的新业务时,网络代理120重置计龄计数器。而且,TCP流中的TCP会话终结将导致网络代理120终止该流。网络代理120还可以配置用于以固定间隔输出流记录,即使在该流仍然在进行时也是如此。备选地,管理员可以定义网络代理120的流特性。
流记录190可以包含与给定流中的业务有关的多种信息。示例性的流记录200包含以下值,如图2中定义的。具体地,典型的流记录200可以包括版本号210用以标识正在使用的流的类型。序列号220标识该流记录。
继续参考图2,输入和输出接口简单网络管理协议(SNMP)索引230可以用于通过SNMP来动态标识网络设备。SNMP由网络管理***用于针对保证管理注意力的状况而监测网络附接的设备,并且包括用于网络管理的一组标准,包括应用层协议、数据库方案和数据对象集合。SNMP在所管理的***上以变量的形式显露管理数据,其描述了***配置。继而然后可以通过管理应用来查询(以及有时来设置)这些变量。每当添加或者移除插槽硬件时,模块化设备可以对其SNMP索引重新编号。索引值通常在启动时间指派,并且直到下一次重新启动之前保持固定。
继续参考图2,每个流记录200通常还包括与数据传输有关的信息,包括开始时间和结束时间的时间戳240。与数据传输有关的其他信息包括流中的字节和/或分组的数目的信息250。流记录200中还可以包括数据传送的条件,诸如描述源和目的地地址、源和目的地地址端口号、传输协议和服务类型(ToS)的报头数据260。对于传输控制协议(TCP)来说,流记录200还可以指示流期间的所有TCP标志的并集。如根据TCP所公知的,数据传输例如通过确认标志(ACK)配对来包括一系列通信确认。TCP标志的不平衡意味着消息故障,即消息被发送但却始终无法被接收到。
UDP传送机制缺乏可靠性不会显著影响从采样流获得的测量准确度。例如,如果流样本丢失,则在下一轮询间隔消逝时,将发送新的值。以这种方式,分组流样本的丢失略微减小了有效采样率。当使用采样时,UDP净荷包含采样的流数据报。由此,每个数据报提供诸如流版本、其发起代理的IP地址、序列号、其包含多少样本以及流样本的信息,而不是包括整个流记录190。
继续参考图1B,数据收集***服务器130经由通信链路170从流记录生成设备120接收流式传输的流记录190。在一个实施方式中,流记录生成设备120可以包括在网络114内。在另一实施方式中,流记录生成设备120可以实现在物理上与网络114分离的位置,但功能上与网络114耦合。虽然图1将流记录生成设备120示为与数据收集***服务器130分开,但是在另一实施方式中,其可以是数据分析***服务器130的一部分。
数据分析***服务器150访问和使用流记录190,以执行预定的网络使用统计分析。一般地,数据分析***服务器150实现被定义用于解决一个或多个网络使用相关问题(诸如网络拥塞、网络安全滥用、诈骗和盗窃等)的各种统计模型。数据分析***服务器150使用流记录190和统计模型来生成统计结果,其随后也可以存储在数据存储***140内。用于存储统计结果的示例性实施方式将在下文详述。通过分析流数据,数据分析***服务器150可以建立网络中的业务流和业务量的快照。数据分析***150的应用将在下文详述。
在一个方面,数据分析***服务器150可以响应于用户接口160,以用于对流记录190的交互分析。用户接口160基本上可以包括本领域已知的任何输入/输出设备,诸如键盘、鼠标、触摸板、显示器屏幕等。在一个示例中,可以将统计结果的图形显示输出至用户接口160处的显示器屏幕。
在一个实施方式中,数据分析***服务器150包括计算机软件程序,其在一个或多个计算机或者服务器上可执行,用于根据本发明的各种实施方式来分析网络使用数据。虽然数据存储***140被示出为在数据收集***服务器130和/或数据分析***服务器150外部,但是数据存储***140可以备选地布置在服务器130或服务器150之内。数据存储***140基本上可以包括本领域已知的任何易失性存储器(例如,RAM)和/或非易失性存储器(例如,硬盘驱动器或者其他持久存储设备)。
现在参考图3,其给出了一种用于在存储设备140中存储多个流记录200的示例性表300。特别地,所绘出的表300包括为n个接收到的流记录200中的每一个指派流记录标识符310的列。表300还包括:包含每个接收的流记录200的IP源地址320的列,包含每个接收的流记录200的时间戳330的列,以及包含流中与接收的流记录200相关联的字节大小340的列。
在图3的示例中,示例性流表300包括描述7个流的7个流记录,如流记录标识符310指示。在该特定的示例中,7个流在3个唯一的源地址320处发起。例如,流记录1、2、4和7都从相同的源发起。虽然没有绘出,但是示例性流表300可以类似地包括流记录200的其他方面,如以上在图2中所述,诸如目的地位置、QoS、传输协议等。继续参考图3中的示例性流表300,时间戳值330指示与每个流相关联的时间,而字节大小值340指示与列310中标识的所列出的流记录1-7相关联的每个流的大小。
现在参考图4,根据源IP地址420将示例性流数据表300中的数据聚集在聚集的流表400中。通常,聚集在一个或多个预定义的时段上完成。例如,示例性聚集的流表400包括具有与表300中的每个源IP地址420相关联的流记录的聚集数目410的列。聚集的流表400还指示针对表300中的每个源IP地址420的流的总计字节大小。下文详述聚集的流表400的应用。对于流记录表300,应当理解,可以按照期望来聚集流记录190,例如,根据图2中的示例性流记录200中所描述的一个或多个流记录类别。
现在参考图7,公开了根据本发明实施方式的访问控制方法700。在步骤710中,根据已知技术监测网络部件中的业务,如上所述,以及在步骤720中,收集流记录。通常,可以使用已经包括在多数网络部件中的功能性(诸如路由器、集线器、服务器等)来执行步骤710和步骤720,并且上述步骤可以用于收集和存储流记录(诸如示例性流记录表300)。从步骤720收集的流记录在步骤730中进行分析。例如,可以聚集流记录,诸如形成上述聚集的流记录表400。
继续参考访问控制方法700,在步骤740中定义访问控制条件。默认的预定义访问控制条件可以用于评定流记录。例如,可以标识与特定百分比或者数量的业务相关联的地址或者端口。例如,基于事务的最多数目410、330的时间或者传送数据的最大数量430,可以针对源IP地址420限制访问。这些标准可以是客观的(诸如建立某个标准的最大阈值),或者基于通过具有最多或者最频繁网络资源消费者的源或目标IP地址和/或端口的标准(或者其他标准)的排名是主观的。可选地,标准可以由用户提供。
可以在步骤750中使用简单逻辑来标识满足这些标准的源或目标IP地址和/或端口。在步骤760中,可以向用户呈现所标识的源或目标IP地址和/或端口标识符。然后,在步骤770中,如果用户批准的话,可以将针对所标识的网络设备的这些源IP地址(或其他设备标识符)放置在ACL中,以请求网络设备忽略或者以其他方式拒绝传输与所标识的端口/地址相关联的业务。
现在参考图5,公开了一种根据本发明的实施方式的访问控制***500。如上所述,流数据存储***140可以接收原始流记录190。如上所述,流数据存储***140可以按照多种已知方式聚集流记录190以实现***目标,或者可以按照原始格式存储流记录。可以根据经由用户接口160接收和/或定义的、用以定义要添加到ACL中的网络地址/端口的标准,由数据分析工具150对流记录进行访问和评定。而且,应当理解,也可以自动地标识在时段上不满足预定义的标准的端口/地址,并且向用户建议从ACL中移除之。通常,将根据预定义的标准动态标识的流记录中的任何地址或者ACL中的地址向用户接口转发以便由管理员审阅。然后,管理员可以批准在ACL中添加/移除所标识的端口/地址。
可选地,可以将网络设备520上的ACL 590存储在ACL存储***530中,或者将其向经由LAN 510或者因特网115接收业务的任何网络设备520转发。通常,网络设备520拒绝转发任何与设备520中或者可选的ACL存储530中的ACL中标识的设备相关联的任何业务。即,目的是ACL中的地址和/或从ACL中的地址发起的业务到达设备520,而不会通过网络510、115转发。当业务通信超时的时候,将通信从存储中移除,并且永远不会到达所指示的目的地。
现在参考图6中的服务流程图600,网络节点610可以将描述网络业务的流报告650向网络监测***620转发。如上所述,网络监测***620可以收集并存储流记录650。存储的流记录660可以由访问控制***630进行访问,该访问控制***630根据预定义的标准来评估存储的流记录660,以自动地标识网络地址/端口。将所标识的地址向用户接口640转发以便审阅。如果所标识的地址/端口被用户接受,则可以将该地址/端口向网络节点610发送,以作为用于实现ACL的ACL更新数据680。
虽然已经参考示例性实施方式对本发明进行了描述,但是可以在不脱离本发明的精神和范围的情况下做出各种添加、删除、替换或者其他修改。因此,本发明不应被认为由以上描述来限定,而是仅由所附权利要求的范围限定。
Claims (17)
1.一种用于动态控制网络通信的***,所述***包括:
网络设备,配置用于接收网络业务以及产生描述所述网络业务的多个流记录;
流记录存储,配置用于从所述网络设备接收所述流记录,以及存储所述流记录;以及
数据分析工具,配置用于访问所述流记录存储以获取所述存储的流记录,以及根据预定义的标准来评定所述流记录中的每一个以动态标识地址,其中所述数据分析工具还被配置为实现被配置用于解决网络使用相关问题的统计模型,并且所述数据分析工具使用所述流记录和统计模型来生成统计结果,所述统计结果继而被存储在所述流记录存储中;
其中所述多个流记录中的每一个包括标识所述流记录的序列号、源节点地址、目的地节点地址、源端口地址、目的地端口地址、以及在每个相关联的流中传输的字节或分组数目;
其中所述预定义的标准包括针对所述节点或者端口地址中每一个在所述相关联的流中传输的字节总数;
其中所述网络设备被配置用于接收所述标识的地址,并且将所述标识的地址添加到访问控制列表,以防止转发与所述标识的地址相关联的业务;以及
输入/输出设备,配置用于向用户显示从所述数据分析工具接收的所述标识的地址,并且所述数据分析工具被配置用于仅在用户提供接受所述标识的地址的输入的情况下,将所述标识的地址向所述网络设备转发,以将其向所述访问控制列表添加。
2.根据权利要求1的***,进一步包括访问控制列表存储,配置用于存储所述标识的地址,以及将所述标识的地址向所述网络设备提供。
3.根据权利要求1的***,其中所述流记录根据所述节点和/或端口地址而被聚集。
4.根据权利要求1的***,其中所述输入/输出设备进一步获得和显示与所述标识的地址相关联的流记录数据。
5.一种用于管理网络的方法,包括:
监测通过所述网络中的部件的业务;
从所述部件接收描述所述业务的流记录;
分析所述流记录,以及标识满足预定义的标准的地址,其中所述预定义的标准包括与地址相关联的字节的最大总数;
向用户显示所述标识的地址;以及
在所述用户批准所述标识的地址之后,将所述标识的地址向所述网络部件之一转发,其中所述部件将所述标识的地址向相关联的访问控制列表添加,其中所述访问控制列表指引所述部件以防止转发与所述标识的地址相关联的业务。
6.根据权利要求5的方法,其中在预定义时段后,自动地将所述标识的地址从所述访问控制列表中移除。
7.根据权利要求5的方法,其中所述地址标识源节点、目的地节点、源端口和目的地端口中的至少一个。
8.根据权利要求7的方法,其中所述地址标识源节点。
9.根据权利要求5的方法,进一步包括向所述用户显示与所述标识的地址相关联的流记录数据。
10.一种用于动态控制网络中的业务的***,所述***包括:
流记录生成设备,配置用于提供描述所述网络业务的流记录;
流记录存储***,配置用于接收和存储所述流记录;
数据分析设备,配置用于访问所述存储***以及根据预定义的标准评定所述存储的流记录;
其中所述数据分析设备被配置用于动态标识满足所述预定义标准的至少一个地址,所述至少一个地址包括与所述业务相关联的端口或节点地址;并且
其中所述标识的至少一个地址被添加到访问控制列表,并且所述网络中的部件不会转发与所述访问控制列表中的地址相关联的业务;
其中所述流记录中的每一个包括时间戳,并且其中所述预定义标准包括时间窗。
11.根据权利要求10的***,其中所述流记录存储***配置用于聚集所述流记录。
12.根据权利要求10的***,进一步包括用户接口,配置用于向用户显示所述标识的地址,并且由此仅在所述用户接受所述标识的地址之后,向所述访问控制列表添加所述标识的地址。
13.根据权利要求12的***,其中所述用户接口进一步配置用于向所述用户显示与所述标识的地址相关联的流记录数据。
14.一种用于评估访问控制列表上的地址的方法,所述方法包括:
监测通过网络中的部件的业务;
从所述部件接收描述所述业务的流记录;
根据预定义的标准,分析与所述访问控制列表中的地址相关联的、任何接收的流记录;以及
如果所述地址满足所述预定义的标准,则更新所述访问控制列表中的地址;以及
向用户显示所述地址,并且在所述用户批准所述地址之后发生所述地址的更新。
15.根据权利要求14的方法,进一步包括向所述用户显示与所述地址相关联的流记录数据。
16.根据权利要求14的方法,其中所述地址标识源节点、目的地节点、源端口和目的地端口中的至少一个。
17.根据权利要求14的方法,其中在预定义时段之后,自动地从所述访问控制列表中移除所述地址。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/000,910 | 2007-12-18 | ||
| US12/000,910 US8295198B2 (en) | 2007-12-18 | 2007-12-18 | Method for configuring ACLs on network device based on flow information |
| PCT/US2008/013694 WO2009082439A1 (en) | 2007-12-18 | 2008-12-12 | Method for configuring acls on network device based on flow information |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101933290A CN101933290A (zh) | 2010-12-29 |
| CN101933290B true CN101933290B (zh) | 2014-04-16 |
Family
ID=40566153
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880125889.9A Active CN101933290B (zh) | 2007-12-18 | 2008-12-12 | 基于流信息对网络设备上的acl进行配置的方法 |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US8295198B2 (zh) |
| EP (1) | EP2241058B1 (zh) |
| JP (1) | JP5520231B2 (zh) |
| CN (1) | CN101933290B (zh) |
| AU (1) | AU2008341099B2 (zh) |
| BR (1) | BRPI0821370B1 (zh) |
| CA (1) | CA2709973C (zh) |
| DK (1) | DK2241058T3 (zh) |
| ES (1) | ES2574788T3 (zh) |
| MX (1) | MX2010006846A (zh) |
| PL (1) | PL2241058T3 (zh) |
| WO (1) | WO2009082439A1 (zh) |
Families Citing this family (81)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090240802A1 (en) * | 2008-03-18 | 2009-09-24 | Hewlett-Packard Development Company L.P. | Method and apparatus for self tuning network stack |
| US8589541B2 (en) * | 2009-01-28 | 2013-11-19 | Headwater Partners I Llc | Device-assisted services for protecting network capacity |
| US10237757B2 (en) | 2009-01-28 | 2019-03-19 | Headwater Research Llc | System and method for wireless network offloading |
| US9572019B2 (en) | 2009-01-28 | 2017-02-14 | Headwater Partners LLC | Service selection set published to device agent with on-device service selection |
| US11985155B2 (en) | 2009-01-28 | 2024-05-14 | Headwater Research Llc | Communications device with secure data path processing agents |
| US10326800B2 (en) | 2009-01-28 | 2019-06-18 | Headwater Research Llc | Wireless network service interfaces |
| US8588056B1 (en) * | 2009-04-15 | 2013-11-19 | Sprint Communications Company L.P. | Elimination of unwanted packets entering a restricted bandwidth network |
| JP2010287189A (ja) * | 2009-06-15 | 2010-12-24 | Canon Inc | 情報処理装置、その制御方法、及びプログラム |
| US8989705B1 (en) | 2009-06-18 | 2015-03-24 | Sprint Communications Company L.P. | Secure placement of centralized media controller application in mobile access terminal |
| US20110085444A1 (en) * | 2009-10-13 | 2011-04-14 | Brocade Communications Systems, Inc. | Flow autodetermination |
| CA2724251C (en) * | 2010-12-22 | 2012-05-15 | Guest Tek Interactive Entertainment Ltd. | System and method for aggregate monitoring of user-based groups of private computer networks |
| US8432907B2 (en) * | 2010-12-29 | 2013-04-30 | Konica Minolta Laboratory U.S.A., Inc. | Method and system having an application for a run time IPv6 only network |
| US20120275311A1 (en) * | 2011-04-29 | 2012-11-01 | Tektronix, Inc. | Automatic Network Topology Detection and Modeling |
| US9002890B2 (en) | 2012-03-14 | 2015-04-07 | International Business Machines Corporation | Rule-based access control list management |
| US9027102B2 (en) | 2012-05-11 | 2015-05-05 | Sprint Communications Company L.P. | Web server bypass of backend process on near field communications and secure element chips |
| US9282898B2 (en) | 2012-06-25 | 2016-03-15 | Sprint Communications Company L.P. | End-to-end trusted communications infrastructure |
| US9066230B1 (en) | 2012-06-27 | 2015-06-23 | Sprint Communications Company L.P. | Trusted policy and charging enforcement function |
| US8649770B1 (en) | 2012-07-02 | 2014-02-11 | Sprint Communications Company, L.P. | Extended trusted security zone radio modem |
| US8667607B2 (en) | 2012-07-24 | 2014-03-04 | Sprint Communications Company L.P. | Trusted security zone access to peripheral devices |
| WO2014017467A1 (ja) | 2012-07-24 | 2014-01-30 | 日本電気株式会社 | フィルタリング設定支援装置、フィルタリング設定支援方法及びプログラム |
| US9183412B2 (en) | 2012-08-10 | 2015-11-10 | Sprint Communications Company L.P. | Systems and methods for provisioning and using multiple trusted security zones on an electronic device |
| US9015068B1 (en) | 2012-08-25 | 2015-04-21 | Sprint Communications Company L.P. | Framework for real-time brokering of digital content delivery |
| US9215180B1 (en) | 2012-08-25 | 2015-12-15 | Sprint Communications Company L.P. | File retrieval in real-time brokering of digital content |
| US8954588B1 (en) * | 2012-08-25 | 2015-02-10 | Sprint Communications Company L.P. | Reservations in real-time brokering of digital content delivery |
| US20140149572A1 (en) * | 2012-11-28 | 2014-05-29 | Microsoft Corporation | Monitoring and diagnostics in computer networks |
| US9578664B1 (en) | 2013-02-07 | 2017-02-21 | Sprint Communications Company L.P. | Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system |
| US9161227B1 (en) | 2013-02-07 | 2015-10-13 | Sprint Communications Company L.P. | Trusted signaling in long term evolution (LTE) 4G wireless communication |
| CN104009917B (zh) * | 2013-02-21 | 2017-06-16 | 北京华为数字技术有限公司 | 配置acl规则的方法和设备 |
| US9104840B1 (en) | 2013-03-05 | 2015-08-11 | Sprint Communications Company L.P. | Trusted security zone watermark |
| US9613208B1 (en) | 2013-03-13 | 2017-04-04 | Sprint Communications Company L.P. | Trusted security zone enhanced with trusted hardware drivers |
| US9049186B1 (en) | 2013-03-14 | 2015-06-02 | Sprint Communications Company L.P. | Trusted security zone re-provisioning and re-use capability for refurbished mobile devices |
| US9049013B2 (en) | 2013-03-14 | 2015-06-02 | Sprint Communications Company L.P. | Trusted security zone containers for the protection and confidentiality of trusted service manager data |
| US9021585B1 (en) | 2013-03-15 | 2015-04-28 | Sprint Communications Company L.P. | JTAG fuse vulnerability determination and protection using a trusted execution environment |
| US8984592B1 (en) | 2013-03-15 | 2015-03-17 | Sprint Communications Company L.P. | Enablement of a trusted security zone authentication for remote mobile device management systems and methods |
| US9374363B1 (en) | 2013-03-15 | 2016-06-21 | Sprint Communications Company L.P. | Restricting access of a portable communication device to confidential data or applications via a remote network based on event triggers generated by the portable communication device |
| US9191388B1 (en) | 2013-03-15 | 2015-11-17 | Sprint Communications Company L.P. | Trusted security zone communication addressing on an electronic device |
| US9324016B1 (en) | 2013-04-04 | 2016-04-26 | Sprint Communications Company L.P. | Digest of biographical information for an electronic device with static and dynamic portions |
| US9454723B1 (en) | 2013-04-04 | 2016-09-27 | Sprint Communications Company L.P. | Radio frequency identity (RFID) chip electrically and communicatively coupled to motherboard of mobile communication device |
| US9171243B1 (en) | 2013-04-04 | 2015-10-27 | Sprint Communications Company L.P. | System for managing a digest of biographical information stored in a radio frequency identity chip coupled to a mobile communication device |
| US9060296B1 (en) | 2013-04-05 | 2015-06-16 | Sprint Communications Company L.P. | System and method for mapping network congestion in real-time |
| US9838869B1 (en) | 2013-04-10 | 2017-12-05 | Sprint Communications Company L.P. | Delivering digital content to a mobile device via a digital rights clearing house |
| US9443088B1 (en) | 2013-04-15 | 2016-09-13 | Sprint Communications Company L.P. | Protection for multimedia files pre-downloaded to a mobile device |
| US9069952B1 (en) | 2013-05-20 | 2015-06-30 | Sprint Communications Company L.P. | Method for enabling hardware assisted operating system region for safe execution of untrusted code using trusted transitional memory |
| US9560519B1 (en) | 2013-06-06 | 2017-01-31 | Sprint Communications Company L.P. | Mobile communication device profound identity brokering framework |
| US9183606B1 (en) | 2013-07-10 | 2015-11-10 | Sprint Communications Company L.P. | Trusted processing location within a graphics processing unit |
| US9680916B2 (en) * | 2013-08-01 | 2017-06-13 | Flowtraq, Inc. | Methods and systems for distribution and retrieval of network traffic records |
| US9208339B1 (en) | 2013-08-12 | 2015-12-08 | Sprint Communications Company L.P. | Verifying Applications in Virtual Environments Using a Trusted Security Zone |
| US9185626B1 (en) | 2013-10-29 | 2015-11-10 | Sprint Communications Company L.P. | Secure peer-to-peer call forking facilitated by trusted 3rd party voice server provisioning |
| US9191522B1 (en) | 2013-11-08 | 2015-11-17 | Sprint Communications Company L.P. | Billing varied service based on tier |
| US9161325B1 (en) | 2013-11-20 | 2015-10-13 | Sprint Communications Company L.P. | Subscriber identity module virtualization |
| US9118655B1 (en) | 2014-01-24 | 2015-08-25 | Sprint Communications Company L.P. | Trusted display and transmission of digital ticket documentation |
| US9226145B1 (en) | 2014-03-28 | 2015-12-29 | Sprint Communications Company L.P. | Verification of mobile device integrity during activation |
| US20150381737A1 (en) * | 2014-06-30 | 2015-12-31 | Davra Networks Limited | Gateway device and a gateway system for an internet-of-things environment |
| US9230085B1 (en) | 2014-07-29 | 2016-01-05 | Sprint Communications Company L.P. | Network based temporary trust extension to a remote or mobile device enabled via specialized cloud services |
| US9998341B2 (en) * | 2015-01-09 | 2018-06-12 | Lg Cns Co., Ltd. | Method of constructing data collector, server performing the same and storage medium for the same |
| US9779232B1 (en) | 2015-01-14 | 2017-10-03 | Sprint Communications Company L.P. | Trusted code generation and verification to prevent fraud from maleficent external devices that capture data |
| US9838868B1 (en) | 2015-01-26 | 2017-12-05 | Sprint Communications Company L.P. | Mated universal serial bus (USB) wireless dongles configured with destination addresses |
| US9497165B2 (en) * | 2015-03-26 | 2016-11-15 | International Business Machines Corporation | Virtual firewall load balancer |
| US9473945B1 (en) | 2015-04-07 | 2016-10-18 | Sprint Communications Company L.P. | Infrastructure for secure short message transmission |
| US9819679B1 (en) | 2015-09-14 | 2017-11-14 | Sprint Communications Company L.P. | Hardware assisted provenance proof of named data networking associated to device data, addresses, services, and servers |
| US10282719B1 (en) | 2015-11-12 | 2019-05-07 | Sprint Communications Company L.P. | Secure and trusted device-based billing and charging process using privilege for network proxy authentication and audit |
| US9817992B1 (en) | 2015-11-20 | 2017-11-14 | Sprint Communications Company Lp. | System and method for secure USIM wireless network access |
| US10148690B2 (en) * | 2015-12-21 | 2018-12-04 | Symantec Corporation | Accurate real-time identification of malicious BGP hijacks |
| CN105975852A (zh) * | 2015-12-31 | 2016-09-28 | 武汉安天信息技术有限责任公司 | 一种基于标签传播的样本关联性检测方法及*** |
| US10270778B2 (en) * | 2016-03-21 | 2019-04-23 | Google Llc | Methods and systems for dynamic creation of access control lists |
| EP3276891B1 (en) * | 2016-07-29 | 2019-02-27 | Deutsche Telekom AG | Techniques for establishing a communication connection between two network entities via different network flows |
| US10263835B2 (en) * | 2016-08-12 | 2019-04-16 | Microsoft Technology Licensing, Llc | Localizing network faults through differential analysis of TCP telemetry |
| CN107786497B (zh) * | 2016-08-25 | 2020-04-14 | 华为技术有限公司 | 生成acl表的方法和装置 |
| US10499249B1 (en) | 2017-07-11 | 2019-12-03 | Sprint Communications Company L.P. | Data link layer trust signaling in communication network |
| CN114070537A (zh) * | 2017-08-31 | 2022-02-18 | 华为技术有限公司 | 信息传输方法及网络设备 |
| US10887231B2 (en) * | 2018-05-18 | 2021-01-05 | Juniper Networks, Inc. | Packet fragment forwarding without reassembly |
| KR102661806B1 (ko) * | 2018-11-27 | 2024-04-30 | 삼성전자주식회사 | 디스플레이 장치의 제어 방법 및 그에 따른 디스플레이 장치 |
| CN110365807A (zh) * | 2019-06-11 | 2019-10-22 | 北京邮电大学 | 一种基于地址翻译的网络会话流量对准方法 |
| US11451585B2 (en) | 2019-11-13 | 2022-09-20 | Juniper Networks, Inc. | Anti-spoof check of IPv4-in-IPv6 fragments without reassembly |
| EP3873034A1 (de) * | 2020-02-28 | 2021-09-01 | Siemens Aktiengesellschaft | Verfahren und system zur erfassung von datenverkehr in einem kommunikationsnetz |
| US11165701B1 (en) | 2020-03-31 | 2021-11-02 | Juniper Networks, Inc. | IPV6 flow label for stateless handling of IPV4-fragments-in-IPV6 |
| US11570283B1 (en) | 2020-07-20 | 2023-01-31 | Juniper Networks, Inc. | IPv6 extension header for stateless handling of fragments in IPv6 |
| US11695773B2 (en) * | 2020-09-28 | 2023-07-04 | Salesforce, Inc. | Distributing dynamic access control lists for managing interactions with a cloud datacenter |
| CN113438245B (zh) * | 2021-06-29 | 2023-04-07 | 新华三信息安全技术有限公司 | 一种信息更新、报文安全性检测方法及装置 |
| US20230046788A1 (en) * | 2021-08-16 | 2023-02-16 | Capital One Services, Llc | Systems and methods for resetting an authentication counter |
| KR102633150B1 (ko) * | 2021-09-15 | 2024-02-02 | 네이버클라우드 주식회사 | 임의 반출이 통제된 데이터 분석 환경을 제공하는 방법, 컴퓨터 시스템, 및 컴퓨터 프로그램 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7120931B1 (en) * | 2000-08-31 | 2006-10-10 | Cisco Technology, Inc. | System and method for generating filters based on analyzed flow data |
| CN1863142A (zh) * | 2005-08-19 | 2006-11-15 | 华为技术有限公司 | 给数据流提供不同的服务质量策略的方法 |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7380272B2 (en) * | 2000-05-17 | 2008-05-27 | Deep Nines Incorporated | System and method for detecting and eliminating IP spoofing in a data transmission network |
| JP2002124996A (ja) * | 2000-10-13 | 2002-04-26 | Yoshimi Baba | 高速パケット取得エンジン・セキュリティ |
| US20040054925A1 (en) * | 2002-09-13 | 2004-03-18 | Cyber Operations, Llc | System and method for detecting and countering a network attack |
| JP4520703B2 (ja) * | 2003-03-31 | 2010-08-11 | 富士通株式会社 | 不正アクセス対処システム、及び不正アクセス対処処理プログラム |
| JP2004328307A (ja) * | 2003-04-24 | 2004-11-18 | Mitsubishi Electric Corp | 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 |
| JP3730642B2 (ja) * | 2003-07-24 | 2006-01-05 | 株式会社東芝 | 攻撃パケット検出装置及び方法 |
| JP2005197823A (ja) * | 2003-12-26 | 2005-07-21 | Fujitsu Ltd | ファイアウォールとルータ間での不正アクセス制御装置 |
| JP2005210601A (ja) * | 2004-01-26 | 2005-08-04 | Nippon Telegr & Teleph Corp <Ntt> | 不正侵入検知装置 |
| US7623518B2 (en) | 2004-04-08 | 2009-11-24 | Hewlett-Packard Development Company, L.P. | Dynamic access control lists |
| WO2005112390A1 (en) | 2004-05-12 | 2005-11-24 | Alcatel | Automated containment of network intruder |
| US7725708B2 (en) * | 2004-10-07 | 2010-05-25 | Genband Inc. | Methods and systems for automatic denial of service protection in an IP device |
| US20060242694A1 (en) * | 2004-11-08 | 2006-10-26 | Jeffrey Gold | Mitigation and mitigation management of attacks in networked systems |
| JP4480604B2 (ja) * | 2005-03-08 | 2010-06-16 | 株式会社野村総合研究所 | 電子メールの送信方向判別システム及び判別プログラム |
| JP2006352831A (ja) * | 2005-05-20 | 2006-12-28 | Alaxala Networks Corp | ネットワーク制御装置およびその制御方法 |
| US7606801B2 (en) | 2005-06-07 | 2009-10-20 | Varonis Inc. | Automatic management of storage access control |
| JP2006345268A (ja) * | 2005-06-09 | 2006-12-21 | Matsushita Electric Ind Co Ltd | パケットフィルタ回路及びパケットフィルタ方法 |
| US7617535B2 (en) | 2005-06-10 | 2009-11-10 | Intel Corporation | Infected electronic system tracking |
| GB2428533B (en) | 2005-06-24 | 2007-08-22 | Hewlett Packard Development Co | Determining data flows in a network |
| US20070055789A1 (en) * | 2005-09-08 | 2007-03-08 | Benoit Claise | Method and apparatus for managing routing of data elements |
| JP4267633B2 (ja) | 2006-02-27 | 2009-05-27 | 株式会社日立製作所 | ネットワークシステム及びトラヒック情報集約装置 |
| US8228908B2 (en) * | 2006-07-11 | 2012-07-24 | Cisco Technology, Inc. | Apparatus for hardware-software classification of data packet flows |
-
2007
- 2007-12-18 US US12/000,910 patent/US8295198B2/en active Active
-
2008
- 2008-12-12 EP EP08863780.6A patent/EP2241058B1/en active Active
- 2008-12-12 PL PL08863780.6T patent/PL2241058T3/pl unknown
- 2008-12-12 JP JP2010539443A patent/JP5520231B2/ja active Active
- 2008-12-12 WO PCT/US2008/013694 patent/WO2009082439A1/en active Application Filing
- 2008-12-12 AU AU2008341099A patent/AU2008341099B2/en active Active
- 2008-12-12 DK DK08863780.6T patent/DK2241058T3/en active
- 2008-12-12 BR BRPI0821370-4A patent/BRPI0821370B1/pt active IP Right Grant
- 2008-12-12 MX MX2010006846A patent/MX2010006846A/es active IP Right Grant
- 2008-12-12 CN CN200880125889.9A patent/CN101933290B/zh active Active
- 2008-12-12 CA CA2709973A patent/CA2709973C/en active Active
- 2008-12-12 ES ES08863780.6T patent/ES2574788T3/es active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7120931B1 (en) * | 2000-08-31 | 2006-10-10 | Cisco Technology, Inc. | System and method for generating filters based on analyzed flow data |
| CN1863142A (zh) * | 2005-08-19 | 2006-11-15 | 华为技术有限公司 | 给数据流提供不同的服务质量策略的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2008341099A1 (en) | 2009-07-02 |
| BRPI0821370A2 (pt) | 2015-06-16 |
| MX2010006846A (es) | 2010-12-20 |
| BRPI0821370B1 (pt) | 2020-09-24 |
| EP2241058B1 (en) | 2016-04-06 |
| EP2241058A1 (en) | 2010-10-20 |
| JP2011507453A (ja) | 2011-03-03 |
| US20090154348A1 (en) | 2009-06-18 |
| CN101933290A (zh) | 2010-12-29 |
| CA2709973A1 (en) | 2009-07-02 |
| DK2241058T3 (en) | 2016-07-18 |
| US8295198B2 (en) | 2012-10-23 |
| JP5520231B2 (ja) | 2014-06-11 |
| WO2009082439A1 (en) | 2009-07-02 |
| ES2574788T3 (es) | 2016-06-22 |
| CA2709973C (en) | 2016-07-12 |
| PL2241058T3 (pl) | 2016-10-31 |
| AU2008341099B2 (en) | 2013-08-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101933290B (zh) | 基于流信息对网络设备上的acl进行配置的方法 | |
| EP1742416B1 (en) | Method, computer readable medium and system for analyzing and management of application traffic on networks | |
| US6321264B1 (en) | Network-performance statistics using end-node computer systems | |
| US7986632B2 (en) | Proactive network analysis system | |
| EP1999890B1 (en) | Automated network congestion and trouble locator and corrector | |
| CN101933313A (zh) | 将针对网络设备的网络流中的网络地址解析为主机名称的方法 | |
| US20030225549A1 (en) | Systems and methods for end-to-end quality of service measurements in a distributed network environment | |
| US10193908B2 (en) | Data transfer for network interaction fraudulence detection | |
| JP2008541586A (ja) | 分散型トラフィック分析 | |
| US7610327B2 (en) | Method of automatically baselining business bandwidth | |
| Trammell et al. | mPlane: an intelligent measurement plane for the internet | |
| KR20080001303A (ko) | Ip망에서 플로우를 이용한 트래픽 분석장치 및 그 방법 | |
| KR20220029142A (ko) | Sdn 컨트롤러 서버 및 이의 sdn 기반 네트워크 트래픽 사용량 분석 방법 | |
| KR102318686B1 (ko) | 개선된 네트워크 보안 방법 | |
| JP4871775B2 (ja) | 統計情報収集装置 | |
| KR100959663B1 (ko) | 고성능망 지원 웹기반의 단대단 망 성능측정 및 진단시스템 및 방법 | |
| KR20190064846A (ko) | 모바일 vpn에서의 장애알림 시스템 및 방법 | |
| JP2002094507A (ja) | インターネットの障害推定方法 | |
| KR100597196B1 (ko) | 인트라넷 보안관리시스템 및 보안관리방법 | |
| Lipovac | Expert system based network testing | |
| Halse | Novel Approaches to the Monitoring of Computer Networks | |
| JP2002152205A (ja) | 帯域確認方法及び帯域確認装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |