JP2016508353A - Improved streaming method and system for processing network metadata - Google Patents
Improved streaming method and system for processing network metadata Download PDFInfo
- Publication number
- JP2016508353A JP2016508353A JP2015552783A JP2015552783A JP2016508353A JP 2016508353 A JP2016508353 A JP 2016508353A JP 2015552783 A JP2015552783 A JP 2015552783A JP 2015552783 A JP2015552783 A JP 2015552783A JP 2016508353 A JP2016508353 A JP 2016508353A
- Authority
- JP
- Japan
- Prior art keywords
- network
- metadata
- traffic
- information
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3006—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3065—Monitoring arrangements determined by the means or processing involved in reporting the monitored data
- G06F11/3072—Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
- G06F11/3079—Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting the data filtering being achieved by reporting only the changes of the monitored data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/86—Event-based monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/875—Monitoring of systems including the internet
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Quality & Reliability (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
ネットワークメタデータを処理するための改良された方法およびシステムについて述べる。ネットワークメタデータは、ネットワークメタデータの特徴について、かつネットワークメタデータにより伝送される情報のコンシューマへのネットワークメタデータの提示についてポリシベースの決定を下す動的にインスタンス化される実行可能ソフトウェアモジュールによって処理されてもよい。ネットワークメタデータは、タイプ別に分類されてもよく、かつタイプ内の各サブクラスは、一意のフィンガープリント値による定義へマップされてもよい。フィンガープリント値は、ネットワークメタデータのサブクラスを関連するポリシおよび変換規則に照らしてマッチングするために使用されてもよい。NetFlow v9等のテンプレートベースのネットワークメタデータの場合、本発明の一実施形態は、未知のテンプレートを探してネットワークトラフィックを絶えず監視し、テンプレート定義を捕捉し、かつカスタムポリシおよび変換規則が存在しないテンプレートについて管理者に知らせることができる。変換モジュールは、選択されたタイプおよび/またはサブクラスのネットワークメタデータを代替メタデータフォーマットへ効率的に変換することができる。【選択図】図1An improved method and system for processing network metadata is described. Network metadata is processed by dynamically instantiable executable software modules that make policy-based decisions about the characteristics of network metadata and the presentation of network metadata to consumers of information carried by network metadata May be. Network metadata may be categorized by type, and each subclass within a type may be mapped to a definition with a unique fingerprint value. The fingerprint value may be used to match a subclass of network metadata against the associated policy and transformation rules. For template-based network metadata such as NetFlow v9, one embodiment of the present invention is a template that constantly monitors network traffic looking for unknown templates, captures template definitions, and does not have custom policies and transformation rules. Can inform the administrator about The conversion module can efficiently convert selected types and / or subclasses of network metadata to alternative metadata formats. [Selection] Figure 1
Description
概して、本発明は、ネットワークの監視およびイベント管理に関する。より具体的には、本発明は、ネットワークの監視アクティビティを介して入手されるネットワークメタデータの処理、およびこれに続くメタデータの処理に関し、これにより、メタデータのコンシューマには有益な情報が効率よくタイムリーに伝わることになる。 In general, the present invention relates to network monitoring and event management. More specifically, the present invention relates to the processing of network metadata obtained through network monitoring activities, and subsequent processing of metadata, whereby information useful to metadata consumers is efficient. It is often transmitted in a timely manner.
ネットワーク監視は、企業およびサービスプロバイダによってしばしば使用される極めて重要な情報技術(IT)であって、パフォーマンス、不正行為をするホスト、不審なユーザアクティビティ、他関連の問題点について、内部ネットワーク上で発生するアクティビティを見張ることを含む。ネットワーク監視は、様々なネットワークデバイスにより提供される情報によって可能にされる。この情報はこれまで、概してネットワークメタデータと称され、即ち、ネットワーク上で伝送される他の情報を補足しかつ相補するものであるネットワーク上のアクティビティを記述する情報クラスを指している。 Network monitoring is a critical information technology (IT) often used by enterprises and service providers that occurs on internal networks for performance, fraudulent hosts, suspicious user activity, and other related issues Including watching out for activities. Network monitoring is enabled by information provided by various network devices. This information so far is generally referred to as network metadata, i.e. refers to a class of information that describes activities on the network that complement and complement other information transmitted over the network.
Syslogは、ネットワーク監視に一般的に使用されるネットワークメタデータの一タイプである。Syslogは、プログラムメッセージをログするための規格であって、他では管理者に問題またはパフォーマンスを知らせる手段を伝達することができないデバイスを提供する。Syslogは、コンピュータシステムの管理およびセキュリティ監査、ならびに一般化された情報、分析およびデバッグメッセージ用に使用されることが多い。これは、複数のプラットフォームに渡る(プリンタおよびルータのような)広範なデバイスおよび受信機によってサポートされている。これに起因して、Syslogは、多くの異なるタイプのシステムからのログデータを中央リポジトリに統合するために使用されることが可能である。 Syslog is a type of network metadata that is commonly used for network monitoring. Syslog is a standard for logging program messages and provides a device that cannot otherwise communicate a means of notifying an administrator of a problem or performance. Syslog is often used for computer system management and security audits, as well as generalized information, analysis and debug messages. This is supported by a wide range of devices and receivers (such as printers and routers) across multiple platforms. Due to this, Syslog can be used to integrate log data from many different types of systems into a central repository.
さらに最近では、様々な売り手によりNetFlow、jFlow、sFlow、他と称される別のタイプのネットワークメタデータも、規格ネットワークトラフィックの一部として導入されている(以後、概して「NetFlow」と称する)。NetFlowは、トラフィック監視用の業界標準となっている、IPトラフィック情報を収集するためのネットワークプロトコルである。NetFlowは、ルータ、スイッチ、ファイアウォール、侵入検知システム(IDS)、侵入防止システム(IPS)、ネットワークアドレス変換(NAT)エンティティ、他多数等の様々なネットワークデバイスによって生成されることが可能である。しかしながら、最近まで、NetFlowのネットワークメタデータは、専ら、ネットワークトポロジーの発見、ネットワークスループットのボトルネックのロケ−ティング、サービス水準合意(SLA)の検証、他等の事後のネットワーク監督を目的として使用されていた。NetFlowメタデータのこのような限定的使用は、概して、ネットワークデバイスにより生成される多量の情報および高い送出量、情報ソースの多様さ、および追加的な情報ストリームを既存のイベントアナライザへ統合する全体的な複雑さに起因する可能性がある。より具体的には、NetFlowメタデータの生成者は、典型的には、コンシューマがリアルタイム設定で分析しかつ使用し得る量より多い情報を生成している。例えば、ネットワーク上の大規模スイッチまたはルータへの単一媒体は、1秒当たり400,000個のNetFlowレコードを生成する場合もある。 More recently, another type of network metadata called NetFlow, jFlow, sFlow, etc. by various vendors has also been introduced as part of standard network traffic (hereinafter generally referred to as “NetFlow”). NetFlow is a network protocol for collecting IP traffic information, which is an industry standard for traffic monitoring. NetFlow can be generated by various network devices such as routers, switches, firewalls, intrusion detection systems (IDS), intrusion prevention systems (IPS), network address translation (NAT) entities, and many others. Until recently, however, NetFlow network metadata was used exclusively for the purpose of network topology discovery, network throughput bottleneck location, service level agreement (SLA) verification, and other subsequent network supervision. It was. Such limited use of NetFlow metadata generally results in the overall integration of large amounts of information and high throughput generated by network devices, diversity of information sources, and additional information streams into existing event analyzers. May be due to complex complexity. More specifically, NetFlow metadata producers are typically generating more information than consumers can analyze and use in real-time settings. For example, a single medium to a large switch or router on the network may generate 400,000 NetFlow records per second.
今日のsyslogコレクタ、syslogアナライザ、セキュリティ情報管理(SIM)システム、セキュリティイベント管理(SEM)システム、セキュリティ情報およびイベント管理(SIEM)システム、他(以後、纏めて「SIEMシステム」と称する)は、NetFlowの受信分析ができないか、NetFlowパケットに含まれる初歩的な情報の処理に限定されるか、NetFlowパケットを、このようなパケットが典型的に生成される速度より遙かに低い速度で処理するか、の何れかである。 Today's syslog collectors, syslog analyzers, security information management (SIM) systems, security event management (SEM) systems, security information and event management (SIEM) systems, and others (hereinafter collectively referred to as “SIEM systems”) are NetFlow Is it possible to analyze the reception of the packet, is it limited to processing rudimentary information contained in the NetFlow packet, or is the NetFlow packet processed at a rate much lower than the rate at which such a packet is typically generated? .
NetFlow v9(RFC3954)およびIPFIX(RFC5101および関連のIETF RFC)等のロバストなネットワーク監視プロトコルの出現は、ネットワークセキュリティおよびインテリジェントネットワーク管理の領域においてネットワークメタデータを用いる機会を大幅に拡大している。同時に、先に同定した制約に起因して、今日のSIEMシステムは、概して、単に観察されたバイトおよびパケット計数を報告するだけで、ネットワーク監視情報を利用することはできない。 The advent of robust network monitoring protocols such as NetFlow v9 (RFC3954) and IPFIX (RFC5101 and related IETF RFCs) has greatly expanded the opportunity to use network metadata in the area of network security and intelligent network management. At the same time, due to the constraints previously identified, today's SIEM systems generally cannot report on network monitoring information by simply reporting observed byte and packet counts.
ネットワークマネージャおよびネットワークセキュリティの専門家は、業界でしばしば「ビッグデータ」と称される問題に絶えず直面し、かつ闘っている。ビッグデータ問題により生じる問題点の中には、異なるフォーマットおよび構造で存在することが多い膨大な量の機械生成データを分析かつ記憶できないことが含まれる。一般的に遭遇される課題は、下記のように要約することができる。 Network managers and network security professionals are constantly facing and fighting a problem often referred to as “big data” in the industry. Among the problems that arise from big data problems include the inability to analyze and store vast amounts of machine-generated data that often exists in different formats and structures. Commonly encountered challenges can be summarized as follows:
1.リアルタイムで分析するにはデータが多すぎて、ネットワーク状態に関する時宜を得た識見を得ることができない。 1. There is too much data to analyze in real time, so we can't get timely insights about network conditions.
2.データがネットワーク上の異なるデバイスタイプから異なるフォーマットで到来し、異なるデバイスタイプからのデータの補正を困難かつ遅速にする。 2. Data comes in different formats from different device types on the network, making correction of data from different device types difficult and slow.
3.データが多すぎて、(例えば、後の分析用および/またはデータ保持要件との整合用に)記憶することができない。 3. There is too much data to store (eg, for later analysis and / or alignment with data retention requirements).
本発明は、大量のメタデータをリアルタイムで分析し、大量のメタデータを、単一の監視システム内部の他のデータによる即時的補正を可能にする共通フォーマットへ変換する能力を提供し、かつパケット検証、フィルタリング、集約および重複排除等のリアルタイムデータ低減技術を介して着信データ量を大幅に低減することにより、ビッグデータに関連づけられる先に同定した全ての課題に対処することができるシステムおよび方法を提供する。 The present invention provides the ability to analyze large amounts of metadata in real time, convert large amounts of metadata to a common format that allows for immediate correction by other data within a single surveillance system, and packet A system and method that can address all previously identified issues associated with big data by significantly reducing the amount of incoming data through real-time data reduction technologies such as verification, filtering, aggregation and deduplication provide.
本発明の実施形態は、着信するネットワークメタデータ・パケットの有効性をチェックして、不正な形式の、または不適切なメッセージを廃棄することができる。また実施形態は、着信するネットワークメタデータのパケットを、その情報コンテンツの関連態様を識別するためにリアルタイムで調べかつフィルタリングし、かつ着信するネットワークメタデータの異なるストリームを、本発明の処理エンジン内で異なった処理をするために分割またはルーティングすることもできる。このような異なる処理には、ネットワークマネージャにより構成されかつ着信メッセージの早期調査の間に決定されることが可能な基準を基礎として特定のメッセージまたは選択されたメッセージストリームをドロップすることによって、出力メタデータのトラフィックを低減する機会が含まれる。これにより、ネットワークマネージャは、ネットワーク分析を、特定のネットワーク状態に応じて持続ベースまたは一時的なものの何れかで集中させることができる。一例として、ネットワークマネージャは、侵入イベントの可能性を調査するために、ネットワーク上のエッジデバイスとなるべく限定して生成されるシステム内部のネットワークメタデータに注目するように選ぶことができる。 Embodiments of the present invention can check the validity of incoming network metadata packets and discard malformed or inappropriate messages. Embodiments also examine and filter incoming network metadata packets in real time to identify relevant aspects of their information content, and different streams of incoming network metadata within the processing engine of the present invention. It can also be split or routed for different processing. Such different processing includes output meta-data by dropping specific messages or selected message streams based on criteria configured by the network manager and that can be determined during early exploration of incoming messages. Includes opportunities to reduce data traffic. This allows the network manager to focus network analysis either on a persistent basis or on a temporary basis depending on the specific network conditions. As an example, the network manager can choose to focus on network metadata inside the system that is generated as limitedly as possible to edge devices on the network to investigate possible intrusion events.
本発明の実施形態は、さらに、着信するネットワークメタデータ・パケットに含まれる情報コンテンツを集め、かつ大量の関連パケットを、同じ情報を捕捉するが、生成するダウンストリームディスプレイ、分析および記憶要件がオリジナルのメタデータフローより遙かに少ない1つのパケット、または遙かに少数の他のパケットと置換することができる。 Embodiments of the present invention further collect the information content contained in incoming network metadata packets and capture the same information, but generate a large number of related packets, but generate original downstream display, analysis and storage requirements. It can be replaced with one packet that is much fewer than the metadata flow, or with a much smaller number of other packets.
本発明の実施形態は、さらに、ネットワークデバイスにより生成される正常なメタデータフローのコンテンツの重複を排除することができる。着信トラフィックは、典型的には、ネットワーク内で一連のネットワークデバイスを介してその宛先デバイスへとルーティングされることから、また、各ネットワークデバイスは、典型的には、各ネットワークデバイスを横断するフロー毎にネットワークメタデータを生成することから、大量の余分なメタデータが生成され、業界のビッグデータ問題を引き起こす。 Embodiments of the present invention can further eliminate duplication of content in normal metadata flows generated by network devices. Because incoming traffic is typically routed through a series of network devices to its destination device in the network, each network device typically also has a flow-by-flow across each network device. Because network metadata is generated in large amounts, a large amount of extra metadata is generated, causing industry big data problems.
本発明は、例えばネットワークまたは機械生成メタデータである、様々なデータフォーマットの任意の構成データ(以後、ネットワークメタデータ)を受信し、ネットワークメタデータを効率的に処理し、かつ受信されるネットワークメタデータおよび/またはオリジナルのネットワークメタデータから導出されるネットワークメタデータを様々なデータフォーマットで転送することができるシステムおよび方法に関する。ネットワークメタデータは、ルータ、スイッチ、ファイアウォール、侵入検知システム(IDS)、侵入防止システム(IPS)、ネットワークアドレス変換(NAT)エンティティ、他多数等の様々なネットワークデバイスによって生成される可能性もある。ネットワークメタデータの情報は、NetFlowおよびその変形(例えば、JFlow、cflowd、sFlow、IPFIX)、SNMP、SMTP、syslog、他を含む、但しこれらに限定されない幾つかのフォーマットで生成される。本明細書に記述する方法およびシステムは、ネットワークメタデータの情報を、NetFlowおよびその変形(jFlow、cflowd、sFlow、IPFIX)、SNMP、SMTP、syslog、OpenFlow、他を含む、但しこれらに限定されない幾つかのフォーマットで出力することができる。さらに、本発明の実施形態は、選択されたタイプのネットワークメタデータ情報を、リアルタイムまたはリアルタイムに近いネットワークサービスの提供を可能にするに足る速度で出力することができる。その結果、本システムは、N(N≧1)名のネットワークメタデータ生成者およびM(M≧1)名のオリジナルまたは導出されたネットワークメタデータのコンシューマによる配備において、有意義なサービスを提供することができる。本発明の特定の一実施形態が、RFC5982に反映されているようなIPFIXメディエータの定義に整合することは認識され得る。 The present invention receives arbitrary configuration data in various data formats (hereinafter network metadata), for example network or machine generated metadata, processes network metadata efficiently, and receives received network metadata. The present invention relates to a system and method capable of transferring data and / or network metadata derived from original network metadata in various data formats. Network metadata may also be generated by various network devices such as routers, switches, firewalls, intrusion detection systems (IDS), intrusion prevention systems (IPS), network address translation (NAT) entities, and many others. Network metadata information is generated in a number of formats including, but not limited to, NetFlow and its variants (eg, JFlow, cfflow, sFlow, IPFIX), SNMP, SMTP, syslog, and others. The methods and systems described herein can include network metadata information including, but not limited to, NetFlow and its variants (jFlow, cfrowd, sFlow, IPFIX), SNMP, SMTP, syslog, OpenFlow, etc. Can be output in any format. Furthermore, embodiments of the present invention can output selected types of network metadata information at a rate sufficient to enable the provision of network services in real time or near real time. As a result, the system provides meaningful services in deployment by N (N ≧ 1) network metadata creators and M (M ≧ 1) original or derived network metadata consumers. Can do. It can be appreciated that one particular embodiment of the present invention is consistent with the definition of IPFIX mediators as reflected in RFC5982.
本発明の一実施形態は、受信されるネットワークメタデータの性質、特徴および/またはタイプ(「クラス」)を識別し、かつ受信される情報をカテゴリまたはクラスに編成するための方法およびシステムを提供する。これは、テンプレートを基礎とし、かつコンテンツおよび目的が広範であることが可能なNetFlow v9およびこれに類似するメッセージに関連して使用される場合に特に有益であり得る。一旦カテゴリまたはクラスに編成されると、個々のクラス・メンバ・インスタンスは、さらに、ゼロの、1つの、または複数のクラス指定処理規則に従って、またはデフォルトの処理規則(「ポリシ」)に従って処理されることが可能である。本発明のこの態様は、限りなく広範なタイプのネットワークメタデータをきめ細かく処理することができる。 One embodiment of the present invention provides a method and system for identifying the nature, characteristics and / or type (“class”) of received network metadata and organizing received information into categories or classes. To do. This may be particularly beneficial when used in connection with NetFlow v9 and similar messages based on templates and capable of a wide range of content and purposes. Once organized into categories or classes, individual class member instances are further processed according to zero, one or more class-specific processing rules, or according to default processing rules (“policies”). It is possible. This aspect of the invention is capable of finely processing an unlimited variety of types of network metadata.
着信ネットワークメタデータのクラスをオペレーションの早期段階で識別することにより、この実施形態は、ネットワークメタデータの処理を効率的に編成することができ、かつ適切な状況において、システム管理者にとっての限定的な興味の対象であるネットワークメタデータ部分をフィルタリングし、統合しかつ/または排除して必要な処理量を低減することができ、これにより、システムのリアルタイムまたはリアルタイムに近いオペレーションに貢献し、かつ潜在的に、ネットワークメタデータのコレクタ側の記憶要件を低減する。例えば、ある特定のネットワークトラフィック本体がネットワーク内の複数のデバイスをトラバースするにつれて、冗長な情報を含むトラバースされた各デバイスからネットワークメタデータが生成されてもよい。SIEMシステム内部に画定される監視の焦点またはエリアに依存して、SIEMシステムへ転送されるメタデータフローから、冗長な情報を含むメタデータレコードをフィルタリングし、集め、統合し、または排除することが望ましい場合がある。SIEMシステムへ方向づけられる所定のクラスのネットワークメタデータから冗長性を除去し、同時にコレクタへ方向づけられるフローのメタデータを全て保全するポリシの導入が可能である。 By identifying the class of incoming network metadata at an early stage of operation, this embodiment can efficiently organize the processing of network metadata and is limited to system administrators in appropriate situations. Network metadata parts of interest can be filtered, integrated and / or eliminated to reduce the amount of processing required, thereby contributing to the real-time or near real-time operation of the system and potentially In particular, the storage requirement on the collector side of the network metadata is reduced. For example, network metadata may be generated from each traversed device that includes redundant information as a particular network traffic body traverses multiple devices in the network. Depending on the focus or area of monitoring defined within the SIEM system, metadata records containing redundant information may be filtered, collected, consolidated or excluded from the metadata flow transferred to the SIEM system. It may be desirable. It is possible to introduce a policy that removes redundancy from a given class of network metadata directed to the SIEM system and at the same time preserves all of the flow metadata directed to the collector.
したがって、本発明の実施形態により実装されるポリシが、SIEMシステムの焦点であるポリシまたはエリア、および/またはネットワーク内部で動作するメタデータコレクタをサポートしかつ/またはこれと調和されるように定義可能であることは認識されるであろう。 Thus, policies implemented according to embodiments of the present invention can be defined to support and / or harmonize with policies or areas that are the focus of the SIEM system and / or metadata collectors operating within the network. It will be recognized that.
ポリシは、ネットワーク管理およびセキュリティを目的として、セキュリティ攻撃を示す可能性もある重要な、または珍しいネットワークイベントを検出し、ネットワーク上のトラフィックスパイクを報告し、ネットワークへの攻撃を検出し、ネットワークリソースのより良い使用法を育み、かつ/またはネットワーク上で実行されるアプリケーションを識別するために導入されることが可能である。ポリシは、汎用である可能性も、時間ベースである可能性もあり、かつネットワークを通過する特定クラスのネットワークメタデータ、またはネットワークメタデータのサブセットに適用されることが可能である。本発明の一実施形態は、システムのスループットおよびパフォーマンスを向上させるために、複数のポリシモジュールと共働する複数のワーキングスレッドの準備を企図している。 For network management and security purposes, the policy detects important or unusual network events that may indicate a security attack, reports traffic spikes on the network, detects attacks on the network, and detects network resources. It can be introduced to nurture better usage and / or identify applications that run on the network. Policies can be general or time-based and can be applied to a specific class of network metadata or a subset of network metadata that traverses the network. One embodiment of the present invention contemplates the provision of multiple working threads that work with multiple policy modules to improve system throughput and performance.
ワーキングスレッドは、システムのパフォーマンスおよびスループットをさらに拡大するために特定のクラスまたはサブクラスのネットワークメタデータと共用するように特化または調整されたものを導入することができる。このような特化されたワーキングスレッドおよびポリシモジュールは、システムのパフォーマンスおよびスループットを拡大するために、ネットワークメタデータ・ストリームの異なる部分に処理オペレーションを並行して実行することができる。また、システムのパフォーマンスおよびスループットをさらに拡大するために、かなりの量の特定のクラスまたはサブクラスのネットワークメタデータに応答して、特化されたワーキングスレッドおよび/またはポリシモジュールの複数のインスタンスを、並行動作するようにインスタンス化することもできる。 Working threads can be introduced that are specialized or tailored to share with specific classes or subclasses of network metadata to further increase system performance and throughput. Such specialized working threads and policy modules can perform processing operations on different parts of the network metadata stream in parallel to increase system performance and throughput. Also, multiple instances of specialized working threads and / or policy modules can be run in parallel in response to a significant amount of specific class or subclass network metadata to further increase system performance and throughput. It can also be instantiated to work.
例えば、本発明の一実施形態は、内部ネットワーク上に存在する外部制御のネットワークホスト(「ボットネットメンバ」)を検出する固有のケイパビリティを提供する。セントラルコントローラ(「ボットネットマスタ」)によって操作される感染したネットワークホストについて考察されたい。典型的には、ネットワークホスト上の悪意のあるコンテンツを検出するには、そのホスト上に専用のプラグインモジュールをインストールする必要がある。この方法は、ホストベースの手段では検出できない悪意のある高度なエージェント(「ルートキット」)に対して機能しない。本発明の一実施形態は、内部ネットワーク上でのボットネットマスタとボットネットメンバとの間の通信行動を識別してセキュリティシステムに通知することができるポリシを導入する。 For example, one embodiment of the present invention provides a unique capability to detect externally controlled network hosts (“botnet members”) that reside on an internal network. Consider an infected network host operated by a central controller (“botnet master”). Typically, in order to detect malicious content on a network host, it is necessary to install a dedicated plug-in module on that host. This method does not work for malicious advanced agents ("rootkits") that cannot be detected by host-based means. One embodiment of the present invention introduces a policy that can identify and notify a security system of communication behavior between a botnet master and a botnet member on an internal network.
ネットワークメタデータ情報の使用に起因して、本発明により提供される知能は、ネットワークトラフィックに曝される類似目的のデバイスにより提供される知能より高度な信頼性を達成する。例えば、悪意のあるトラフィックに曝されるインライン侵入検知システム(IDS)または侵入検知システム(IPS)は、サービス拒絶(「DoS」)攻撃を受ける、またはこれを被る可能性があるが、本発明は、このような攻撃者がアクセスできない内部ネットワーク上に配備されることが可能である。 Due to the use of network metadata information, the intelligence provided by the present invention achieves a higher degree of reliability than the intelligence provided by similar purpose devices exposed to network traffic. For example, an inline intrusion detection system (IDS) or intrusion detection system (IPS) that is exposed to malicious traffic may be subject to or suffer from a denial of service ("DoS") attack, It can be deployed on an internal network that such attackers cannot access.
さらに、本発明は、ネットワークメタデータをネットワークメタデータの難読化を必要とする配備に適するものにする、ネットワークメタデータの変換を有効化する。 Furthermore, the present invention enables network metadata conversion that makes network metadata suitable for deployments that require obfuscation of network metadata.
本発明の別の実施形態によれば、本方法およびシステムは、ストリーミング式に実装されてもよく、即ち、入力されるネットワークメタデータを着信されるままに(「リアルタイムで、またはほぼリアルタイムで」)、ネットワークメタデータを持続的に記憶する必要なしに処理するように実装されてもよい。本発明のこの実施形態は、本システムおよび方法を限定されたメモリおよび記憶容量のコンピュータ上へ配備できるようにし、これにより、本実施形態は、クラウドコンピューティングにおける配備に特に適するものとなる。 According to another embodiment of the present invention, the method and system may be implemented in a streaming fashion, i.e., with incoming network metadata as received ("in real time or near real time"). ), May be implemented to process network metadata without the need for persistent storage. This embodiment of the present invention allows the system and method to be deployed on computers with limited memory and storage capacity, which makes the embodiment particularly suitable for deployment in cloud computing.
1つまたは複数のポリシに従ったクラス・メンバ・インスタンスの処理の後、本発明の一実施形態は、ポリシのアプリケーション結果を、変換されたネットワークメタデータまたはオリジナルのネットワークメタデータの受信者によるさらなる処理に適するゼロ、1つまたは複数の表現に変換するための効率的な方法(「コンバータ」)を提供してもよい。その結果、本明細書に開示するシステムおよび方法は、その出力がsyslogメタデータと共に用いるべく適応されたSIEMシステム等の既存の多様なコンポーネントへと方向づけられ得る既存環境における配備に極めてよく適する。 After processing of class member instances according to one or more policies, an embodiment of the present invention further applies the policy application results to the transformed network metadata or the recipient of the original network metadata. An efficient method (“converter”) may be provided for converting to zero, one or more representations suitable for processing. As a result, the systems and methods disclosed herein are very well suited for deployment in existing environments where the output can be directed to a variety of existing components such as SIEM systems adapted for use with syslog metadata.
本発明の一実施形態は、1つまたは複数の特定クラスのネットワークメタデータおよび/または出力フォーマット用にカスタマイズされ得る、よって、ネットワーク上でのリアルタイムまたはほぼリアルタイムのサービスをよりよく有効化すべくシステムのスループットを上げる複数のコンバータを提供する。また、システムのパフォーマンスおよびスループットをさらに拡大するために、かなりの量の特定のクラスまたはサブクラスのネットワークメタデータに応じて、カスタム化されたワーキングスレッドおよび/または変換モジュールの複数のインスタンスを、並行動作するようにインスタンス化することもできる。 One embodiment of the present invention can be customized for one or more specific classes of network metadata and / or output formats, thus enabling the system to better enable real-time or near real-time services on the network. Provide multiple converters that increase throughput. In addition, multiple instances of customized working threads and / or transformation modules can be run in parallel, depending on a significant amount of specific class or subclass network metadata to further increase system performance and throughput. Can also be instantiated to:
さらに、本発明の一実施形態は、メッセージ認証コードを添付することによって、変換されたネットワークメタデータの完全性を保証することができる。本発明のこの実施形態は、洗練されたネットワークメタデータ受信者による、受信した情報の信憑性の検証を有効化する。 Furthermore, an embodiment of the present invention can ensure the integrity of the converted network metadata by attaching a message authentication code. This embodiment of the present invention enables verification of the authenticity of received information by sophisticated network metadata recipients.
本発明のさらに別の実施形態は、本システムおよび方法を既存のネットワークエコシステムが透けて見えるように配備する能力である。この実施形態では、既存のネットワークコンポーネントの構成を変更する必要がない。 Yet another embodiment of the present invention is the ability to deploy the system and method so that the existing network ecosystem can be seen through. In this embodiment, there is no need to change the configuration of existing network components.
本発明の別の実施形態は、ネットワークメタデータの処理および変換規則を視覚的に、またはテキスト用語で、もしくはこれらの組み合わせの何れかで記述するための方法および装置を提供する。ポリシの記述が完了しかつ矛盾のないことが検証されれば、規則を遵守するクラスメンバに適用可能なポリシおよびコンバータは、1つまたは複数のネットワークメタデータ処理および変換規則の定義から同時に導出される1つまたは複数の実行可能モジュールとしてインスタンス化されてもよい。その結果、複数のモジュールに渡る体系的なポリシ一貫性が達成される。さらに、このポリシおよび変換規則を実装するモジュールのバイナリ性は、システムが入力されるネットワークメタデータを、同等の処理規則を解釈する環境における処理速度を遙かに超える速度で処理することを可能にする。 Another embodiment of the present invention provides a method and apparatus for describing network metadata processing and transformation rules either visually, in text terms, or a combination thereof. Once the policy description is complete and verified to be consistent, the policies and converters applicable to the class members that comply with the rules are derived simultaneously from the definition of one or more network metadata processing and conversion rules. May be instantiated as one or more executable modules. As a result, systematic policy consistency across multiple modules is achieved. In addition, the binary nature of the module that implements this policy and transformation rule allows the system to process incoming network metadata at a speed that far exceeds the processing speed in an environment that interprets equivalent processing rules. To do.
本発明をより明白に確認できるように、以下、添付の図面を参照して、幾つかの実施形態を例示として説明する。 In order that the present invention may be more clearly ascertained, several embodiments will now be described by way of example with reference to the accompanying drawings.
概して、本発明は、ネットワークの監視およびイベント管理に関する。より具体的には、本発明は、ネットワークの監視アクティビティおよびこれに続くメタデータの処理の結果として入手されるネットワークメタデータの処理に関し、これにより、イベント管理エンティティには有益な情報がタイムリーに伝わることになる。 In general, the present invention relates to network monitoring and event management. More specifically, the present invention relates to the processing of network metadata obtained as a result of network monitoring activities and subsequent processing of metadata so that event management entities can receive useful information in a timely manner. It will be transmitted.
以下の説明では、単に例示を目的として、本発明を、ネットワークメタデータ処理のコンテキストにおいて開示する。しかしながら、本発明が広範なアプリケーションおよび用途に適し、よって本発明の所定の実施形態がネットワークメタデータ処理以外のコンテキストでも適用可能であることは認識されるであろう。例えば、OpenFlow対応環境において、本システムは、ネットワークからNetFlow情報を受信し、かつOpenFlowコントローラへ命令を出力してもよい。 In the following description, for purposes of illustration only, the present invention is disclosed in the context of network metadata processing. However, it will be appreciated that the present invention is suitable for a wide range of applications and applications, and thus certain embodiments of the present invention are applicable in contexts other than network metadata processing. For example, in an OpenFlow-compatible environment, the system may receive NetFlow information from the network and output a command to the OpenFlow controller.
本発明の一実施形態において、本方法およびシステムは、NetFlow−Syslogコンバータ(「NF2SL」)を用いて実装されてもよい。このコンバータは、NetFlowバージョン1からバージョン8、NetFlow v9、jFlow、sflowd、sFlow、NetStream、IPFIXおよびこれらに類似する(「NetFlow」)生成者を、syslogを処理することができる任意のSIEMシステムに統合できるようにするソフトウェアプログラムである。統合は、ネットワーク上でNetFlow生成者により生成されるネットワークメタデータをネットワーク監視システムの共通語−syslogに変換することによって達成される。NetFlow情報の対応するsyslog情報へのマッピングは、NF2SL管理者により確立されるポリシ、規則および優先順位に従って実行されてもよい。 In one embodiment of the invention, the method and system may be implemented using a NetFlow-Syslog converter ("NF2SL"). This converter integrates NetFlow version 1 to version 8, NetFlow v9, jFlow, sflowd, sflow, sFlow, NetStream, IPFIX and similar ("NetFlow") generators into any SIEM system that can handle syslog It is a software program that allows you to do it. Integration is accomplished by converting network metadata generated by NetFlow generators on the network into the common language-syslog of the network monitoring system. The mapping of NetFlow information to corresponding syslog information may be performed according to policies, rules and priorities established by the NF2SL administrator.
ソフトウェア定義ネットワーキングのためのNFI NFI for software-defined networking
ソフトウェア定義ネットワーキング(Software-Defined Network:SDN)は、ネットワーキング制御(パケット転送に関する意志決定)とネットワークトポロジー(ネットワークデバイスの物理的連結性)とを分離するネットワーキングアーキテクチャの一概念である。SDNアーキテクチャの典型的な一実装は、意志決定プロセスをサーバ等の別個のコンピューティングデバイスに課し、かつパケット転送を、スイッチおよびルータ等の伝統的なネットワークデバイスに委ねる。 Software-defined networking (SDN) is a concept of networking architecture that separates networking control (decision on packet forwarding) and network topology (physical connectivity of network devices). One typical implementation of the SDN architecture imposes the decision making process on a separate computing device such as a server and leaves packet forwarding to traditional network devices such as switches and routers.
図1を参照すると、ある例示的な実施形態において、制御プレーンとデータ転送プレーンとの間の通信は、OpenFlowプロトコル100によって実行される。このプロトコルは、OpenFlowコントローラ101と呼ばれる中央デバイスが、トラフィックを、そのドメイン内の1つまたは複数のOpenFlow準拠ネットワークデバイス102を介して方向づけることができるようにする。概して、OpenFlowコントローラ101は、通信経路を、最少数のホップ、リンク帯域幅または待ち時間等の固有の特徴を基礎として設定してもよい。
Referring to FIG. 1, in an exemplary embodiment, communication between the control plane and the data transfer plane is performed by the
OpenFlowコントローラ101は、通信経路を、ネットワークデバイスを横断する各パケットのマッチングの対象であるパケットフィールドのコレクション(集合)によってフローが表されるフローテーブルの抽出を用いて設定する。制御下のネットワークデバイス102が、それに対する転送命令を持っていないパケットに遭遇すると、ネットワークデバイス102は、調査、および類似パケットに関する将来的な取扱い方法に関する指示を得るために、このパケットをOpenFlowコントローラ101へ転送する。
The
OpenFlowコントローラ101は、その決定を、OSIレイヤ2(ローカルネットワーク接続)およびOSIレイヤ3(ルーティング)のネットワークレベル情報を基礎として行う。OpenFlowコントローラ101が利用できる情報の範囲は、アプリケーションに関する情報およびネットワークユーザの識別を利用してネットワークインフラストラクチャの容量の大部分をより効率的なものにすることを不可能にする。
The
OpenFlowコントローラ101のこの欠陥は、システム管理者により示されるポリシまたはポリシセットに従ってOSIレイヤ7情報(アプリケーション)およびユーザ識別等の高位レベル情報をダイジェストし、かつOpenFlowコントローラ101に、このような高位レベル情報を考慮して低位レベルのネットワークパケット転送決定を行なう方法を指図する追加コンポーネントを導入することによって、軽減される可能性もある。
This deficiency in the
図2を参照すると、ある例示的な実施形態において、NFIサーバ110は、エージェントを介して行動することにより、OpenFlowコントローラ101がネットワークの利用方法に関してよりインテリジェントな決定を下すことができるようにするOSIレベル7アプリケーション−レベルデータを含む、但しこれに限定されない高位レベルの情報を提供する。
Referring to FIG. 2, in one exemplary embodiment, the
図2をさらに参照すると、NFIサーバ110は、OpenFlow100準拠のネットワークデバイス102によって生成されるNetFlow情報111を処理し、かつ統合されたフローデータを、OpenFlowコントローラ101と通信可能なアプリケーションとして実装されるNFI OpenFlowエージェント113へ伝達する。ある例示的な実施形態において、NFI OpenFlowエージェント113とOpenFlowコントローラ101との間の通信は、NFI OpenFlowエージェント113とOpenFlowコントローラ101との間の双方向通信をサポートするOpenFlow「ノースバウンド」API114によって実装されてもよい。
With further reference to FIG. 2, the
NFI OpenFlowエージェント113が、複数のOpenFlowコントローラ101と通信してもよく、かつ複数のNFIサーバ110からフロー関連情報を受信してもよいことは認識される。また、NFIサーバ110が、フロー関連情報を複数のNFI OpenFlowエージェント113へ送信してもよいことも認識される。
It will be appreciated that the
NFI OpenFlowエージェント113は、NFIサーバ110から、保護された通信チャネル112を介して、OSIレベル7のアプリケーション情報およびユーザ識別情報を含む、但しこれらに限定されないフローに関する情報を受信する。
The
NFIサーバ110は、OSIレベル7アプリケーション情報をネットワークデバイス102により生成されるNetFlowメッセージにおいて受信し、かつNetFlowセキュリティイベントログ(NSEL)等のユーザ識別を認識したNetFlowメッセージから、またはCiscoセキュアグループタグ(SGT)等のOSIレイヤ2拡張において、ユーザ情報を導出する。
The
OSIレベル7アプリケーション情報は、アプリケーション識別子が添付されるPANA−L7等の分類、または他の類似のアプリケーション分類によって供給されてもよい。通信チャネル112は、SSL/TLSまたはDTLSプロトコル等の標準的な暗号手段によって保護されてもよい。
OSI level 7 application information may be provided by a classification such as PANA-L7 with an application identifier attached, or other similar application classification.
ある例示的な実施形態において、NFI OpenFlowエージェント113は、OSIレイヤ2(ローカルネットワーク接続)およびOSIレイヤ3(ルーティング)に関する情報を、OpenFlowコントローラ101から、OpenFlow「ノースバウンド」API114によって検索することができる。NFI OpenFlowエージェント113が、OSIレイヤ2(ローカルネットワーク接続)およびOSIレイヤ3(ルーティング)の情報を、NFIサーバ110から検索されるフローデータから、または他の手段によって演繹してもよいことは認識される。
In an exemplary embodiment, the
NFI OpenFlowエージェント113は、NFIサーバ110から受信されるOSIレベル7アプリケーション情報およびユーザ識別情報をシステム管理者により提供されるポリシへマップし、ネットワークデバイス102により構成されるネットワークの状態がポリシを満たしているかどうかを決定し、かつOpenFlowコントローラ101に、必要であれば是正措置を取るように指示することができる。
The
例示的なNFI OpenFlowエージェント113のポリシには、ネットワークトラフィックに関連づけられるCisco SGTにより決定されるような、所定のユーザまたはグループのためのアプリケーションに割り付けられる所定のネットワーク帯域幅の実施、IPアドレスプレフィックスまたはVLANタグによって分類されるサブネットのSLAの実施、等々が含まれる可能性もある。ある例示的なポリシは、相対的にしきい数値として表現される可能性もあれば(例えば、「グループAのネットワーク帯域幅消費量は、グループBのネットワーク帯域幅消費量をこえるべきではない」)、曖昧に表現される可能性もある(例えば、「ネットワークトラフィックが低ければ、グループAへ割り付けられるネットワーク帯域幅は増大されてもよい」)。ポリシは、多くの形式で、例えば、但し限定的ではなく、XML文書、独自仕様のフォーマット、他で表現される可能性もある。ポリシは、OSIレベル7アプリケーション情報、ユーザまたはグループ識別、ユーザまたはグループロール、時刻、他から導出されるアプリケーションタイプを基礎とする可能性もある。
Exemplary
本発明は、企業ネットワーク、データセンタ、サービスプロバイダネットワークおよび公的および私的クラウド環境において、サーバの利用度および品質を高めるために使用される可能性もあることが認識される。 It will be appreciated that the present invention may also be used to increase server utilization and quality in enterprise networks, data centers, service provider networks and public and private cloud environments.
また、NFI OpenFlowエージェント113は、ネットワークのヘルス(状態)を監視しかつ潜在的な欠陥をその発生前に報告するために、NFIサーバ110から受信されるNetFlow情報を利用することができる点も認識される。ある例示的な実施形態では、NetFlowプロトコルを利用してネットワークデバイス・インタフェースを横断するパケットの平均サイズを測定することにより、差し迫ったネットワーク欠陥に関して決断を下すことも可能である。平均パケットサイズの顕著な低下は、典型的には欠陥ハードウェアを表す高レベルのネットワークパケット破砕を示す可能性もある。平均パケットサイズが所定のしきい値より下がると、NFIサーバ110は、NFI OpenFlowエージェント113にこのイベントを通知してもよい。次に、NFI OpenFlowエージェント113は、OpenFlowコントローラ101に、問題のあるネットワークデバイスを迂回してトラフィックをリルートすることにより是正措置を講じるように、かつ/またはシステム管理者に問題を通知するように指図してもよい。
It is also recognized that the
別の例示的な実施形態において、NFIサーバ110は、ボリュームおよび処理されるパケット毎のトラフィックレートのばらつきを、予め設定された、または動的に計算されるしきい値と比較することによって、ネットワーク欠陥を予報してもよい。フローレポート着信時間のばらつきを、計算される、または予め設定されたしきい値と比較することは、別のNFIサーバ110のネットワーク欠陥報告基準である可能性もある。
In another exemplary embodiment, the
このようなネットワーク欠陥しきい値は、ファジー論理ベースのアルゴリズム、統計的測定値および他の方法によって計算される可能性もあり、かつネットワーク欠陥が、自己回帰モデル、移動平均モデルまたは他の予測分析方法等の線形予測アルゴリズムを用いて予測されてもよいことは認識される。また、NFI OpenFlowエージェント113は、その決定を、複数のNFIサーバ110から受信される情報を基礎として行なう場合があることも認識される。
Such network defect thresholds may be calculated by fuzzy logic-based algorithms, statistical measurements and other methods, and network defects may be calculated using autoregressive models, moving average models or other predictive analyses. It will be appreciated that it may be predicted using a linear prediction algorithm such as a method. It is also recognized that the
さらに、ネットワークデバイス102のデータプレーンを制御するために使用されるプロトコルが、OpenFlow以外のもの、OpenFlowコントローラ101以外の制御プレーン実装である可能性もあり、制御プレーンとの通信に使用されるAPIが、OpenFlow「ノースバウンド」API114以外のものである可能性もあり、かつNFI OpenFlowエージェント113が、制御プレーンと同じ場所に位置づけられる、または遠隔に存在する可能性もあることは認識される。同一場所に位置づけられる場合、NFI OpenFlowエージェント113は、ローカルプログラマティックAPIを利用する可能性もあれば、ネットワークプロトコルを用いて制御プレーンと相互作用する可能性もある。
Furthermore, the protocol used to control the data plane of the
アプリケーションレベル情報をパケット転送機能に統合することの明らかな利点は、ネットワーク管理者がネットワーク帯域幅の利用ポリシを表現できる簡易さにある。これにより、既存のネットワークリソースを使用する最適さが高まり、かつ既存のSLAがより良く履行されることによって顧客満足度が高まる。 The obvious advantage of integrating application level information into the packet forwarding function is the ease with which network administrators can express network bandwidth usage policies. This increases the optimality of using existing network resources and increases customer satisfaction by better performing existing SLA.
サービスとしてのインフラストラクチャのためのNFI NFI for infrastructure as a service
サービスとしてのインフラストラクチャ(IaaS)は、サーバ、ネットワークおよびストレージを含む組織がコンピューティングオペレーションをサービスプロバイダへ外注するクラウドのコンピューティング・プロビジョニング・モデルである。プロバイダは、ハードウェアを所有し、操作しかつ保持する。さらに、個々の組織は、その既存のローカル・コンピューティング・リソースをプールし、かつ専ら前記組織による使用に限定される私的なIaaSオファリングを提供する可能性もある。 Infrastructure as a service (IaaS) is a cloud computing provisioning model in which organizations including servers, networks and storage outsource computing operations to service providers. The provider owns, operates and maintains the hardware. In addition, an individual organization may pool its existing local computing resources and provide a private IaaS offering that is limited exclusively to use by the organization.
図3を参照すると、OpenStackは、サーバ、ストレージおよびネットワーキングデバイスを含む大規模なコンピューティングリソース・グループを制御しかつこれらのリソースをOpenStackダッシュボード120と呼ばれるコンソールを介して管理するように設計される、ベンダ非依存クラウドのオペレーティングシステムである。
Referring to FIG. 3, OpenStack is designed to control a large group of computing resources including servers, storage and networking devices and manage these resources through a console called
ある例示的な実施形態において、OpenStackシステムは、サービスプロバイダによってそのIaaSオファリングを管理するために、またはある組織によってその固有のコンピューティングリソース・プールを管理するために使用される可能性もある。 In an exemplary embodiment, the OpenStack system may be used by a service provider to manage its IaaS offering or by an organization to manage its own pool of computing resources.
図3をさらに参照すると、OpenStackシステムは、クラウド内に配備される仮想デバイスのプロビジョニングおよび操作を可能にする、OpenStackシステムAPI124(OpenStackコンピュート、OpenStackオブジェクトストレージ、OpenStack識別サービスおよびOpenStack画像ストア)と呼ばれるウェブベースAPIのコレクションを提供する。OpenStackAPI124は、クラウドのオペレータが、仮想マシン(VM)インスタンス、ストレージおよび識別サービスを含むクラウドインフラストラクチャを提供し、かつクラウド123内に配備される仮想化デバイス125を操作できるようにする。OpenStackシステムは、仮想化デバイス125の立ち上げ、仮想化デバイス125ステータスのチェック、仮想化デバイス125のシャットダウン、等々のようなOpenStackシステムサービスを利用するために、cURL、レストクライアント、nova、他等の幾つかのツールを提供する。
Still referring to FIG. 3, the OpenStack system is a web called OpenStack System API 124 (OpenStack Compute, OpenStack Object Storage, OpenStack Identification Service, and OpenStack Image Store) that enables provisioning and manipulation of virtual devices deployed in the cloud. Provides a collection of base APIs. The
図4を参照すると、ロバストなOpenStackAPI124は、ハードウェアまたは仮想ネットワークデバイス102によって報告されるNetFlow情報111を利用することにより、OpenStackベースシステムのプロビジョニングおよび保全を自動化する機会を提供する。さらに、VMハイパーバイザによって報告されるNetFlow情報111は、NFIサーバ110によって、仮想化デバイス125の状態に関する完全な洞察を提供する。
Referring to FIG. 4, the
図4をさらに参照すると、NFIサーバ110は、ハードウェアまたは仮想ネットワークデバイス102および仮想化デバイス125によって生成されるNetFlow情報111を処理し、かつ統合されたフローデータを、クラウド123内に配備されるOpenStack制御の仮想化デバイス125と通信可能なアプリケーションとして実装されるNFI OpenStackエージェント122へ伝達する。ある例示的な実施形態において、NFI OpenStackエージェント122とOpenStack制御のクラウド123との間の通信は、NFI OpenStackエージェント113とOpenStack制御のクラウド123との間の双方向通信をサポートするOpenStackAPI124によって実装されてもよい。
Still referring to FIG. 4, the
図4をさらに参照すると、ある例示的な実施形態において、NFIサーバ110は、NFI OpenStackエージェント122がクラウド125のコンピューティングリソースの利用方法に関してインテリジェントな決定を下すことができるようにするOSIレベル7アプリケーション−レベルデータを含む、但しこれに限定されないネットワークフロー情報を提供する。
With further reference to FIG. 4, in one exemplary embodiment, the
NFI OpenStackエージェント122は、NFIサーバ110から、保護された通信チャネル121を介して、OSIレベル7のアプリケーション情報およびユーザ識別情報を含む、但しこれらに限定されないフローに関する情報を受信する。
The
OSIレベル7アプリケーション情報は、アプリケーション識別子が添付されるPANA−L7等の分類、または他の類似のアプリケーション分類によって供給されてもよい。通信チャネル121は、SSL/TLSまたはDTLSプロトコル等の標準的な暗号手段によって保護されてもよい。
OSI level 7 application information may be provided by a classification such as PANA-L7 with an application identifier attached, or other similar application classification. The
NFIサーバ110は、OSIレベル7アプリケーション情報をネットワークデバイス102により生成されるNetFlowメッセージにおいて受信し、かつNetFlowセキュリティイベントログ(NSEL)等のユーザ識別を認識したNetFlowメッセージから、またはCiscoセキュアグループタグ(SGT)等のOSIレイヤ2拡張において、ユーザ情報を導出する。
The
ある例示的な実施形態において、システム管理者は、NFI OpenStackエージェント122上に、仮想化デバイス125のプロビジョニングおよび保全に関するポリシを設定する。ポリシは、限定的ではなく、XML文書、独自仕様のフォーマット、他で表現される可能性もある。ポリシは、OSIレベル7アプリケーション情報、ユーザまたはグループ識別、ユーザまたはグループロール、時刻、他から導出されるアプリケーションタイプを基礎とする可能性もある。
In an exemplary embodiment, the system administrator sets a policy for provisioning and maintaining the
システム管理者によりNFI OpenStackエージェント122上に設定される例示的なポリシは、特定のアプリケーションに対する要望が高まる場合に追加的な仮想化デバイス125を生成すること、既存の仮想化デバイス125へ追加的なリソースを提供すること、既存の仮想化デバイス125をクラウド123内のより強力なハードウェアへ移動させること、アイドル状態の仮想化デバイス125をシャットダウンすること、他、である可能性もある。
An exemplary policy set on the
NetFlow情報111を利用することにより、NFI OpenStackエージェント122は、クラウド123の管理を自動化することができ、よって、クラウドプロバイダの、またはクラウド所有者の運用コストが低減し、かつ物理ハードウェアリソースの利用が増大する。
By using the
OpenStackは、クラウドのオペレーティングシステムの一例であるが、本明細書に開示する方法が、ベンダ固有のクラウド・オペレーティングシステム、または汎用クラウド・オペレーティングシステムの何れにも適用可能であることは認識される。 OpenStack is an example of a cloud operating system, but it will be appreciated that the methods disclosed herein can be applied to either a vendor specific cloud operating system or a general purpose cloud operating system.
仮想化環境のためのNFI NFI for virtualized environments
NFI OpenFlowエージェントおよびNFI OpenStackエージェントと結合されたNFIサーバは、OpenFlowベースのソフトウェア定義ネットワークおよびOpenStack駆動のクラウドインフラストラクチャを含む統合された仮想化環境の要となることが認識される。 It is recognized that the NFI OpenFlow agent and the NFI server combined with the NFI OpenStack agent are at the heart of an integrated virtualization environment that includes an OpenFlow-based software-defined network and an OpenStack-driven cloud infrastructure.
図5は、NFIサーバ110のソフトウェア定義ネットワーキングおよびクラウドコンピューティング環境を含む統合されたセッティングへのアプリケーションを示す。
FIG. 5 illustrates an application to an integrated setting that includes a software-defined networking and cloud computing environment for the
図5をさらに参照すると、NFIサーバ110は、ハードウェアまたは仮想ネットワークデバイス102および仮想化デバイス125によって生成されるNetFlow情報111を処理し、かつ統合されたフローデータを、クラウド123内に配備されるOpenStack制御の仮想化デバイス125と通信可能なアプリケーションとして実装されるNFI OpenStackエージェント122へ伝達する。ある例示的な実施形態において、NFI OpenStackエージェント122とOpenStack制御のクラウド123との間の通信は、NFI OpenStackエージェント113とOpenStack制御のクラウド123との間の双方向通信をサポートするOpenStackAPI124によって実装されてもよい。
Still referring to FIG. 5, the
図5をさらに参照すると、NFIサーバ110は、OpenFlow準拠のネットワーキングデバイス102および仮想化デバイス125によって生成されるNetFlow情報111を処理し、かつ統合されたフローデータを、OpenFlowコントローラ101と通信可能なアプリケーションとして実装されるNFI OpenFlowエージェント113へ伝達する。ある例示的な実施形態において、NFI OpenFlowエージェント113とOpenFlowコントローラ101との間の通信は、NFI OpenFlowエージェント113とOpenFlowコントローラ101との間の双方向通信をサポートするOpenFlow「ノースバウンド」API114によって実装されてもよい。
With further reference to FIG. 5, the
仮想化コンピューティング環境におけるNFIサーバ110の独自的ポジションに起因して、NFIサーバ110のOpenStack制御クラウド123およびOpenFlowコントローラ101との相互作用は、OpenStackプロトコルにより駆動されるクラウド123の計算リソースと、OpenFlowコントローラ101によって監督されるネットワーキングリソースとを一体化するロバストな制御機構をもたらし、よって、フロー制御コンピューティングプラットフォームの新しいコンピューティングパラダイムが生成される。
Due to the unique position of the
NFIサーバ110が、複数のクラウド123および複数のOpenFlowコントローラ101と相互作用してもよいことは認識される。
It will be appreciated that the
また、ソフトウェア定義のネットワークと相互作用する場合、OpenFlow以外のプロトコルが利用されてもよく、かつ仮想化コンピューティングリソースを制御するために、OpenStack以外のAPIが使用される場合があることも認識される。 It is also recognized that protocols other than OpenFlow may be used when interacting with software-defined networks, and APIs other than OpenStack may be used to control virtualized computing resources. The
オンデマンドのNetFlow情報 On-demand NetFlow information
フロー情報データは、膨大であることで有名であって、Cisco ASR1000のような単一のミドルレンジルータは、毎秒400,000個のNetFlowレコードを生成する能力があり、結果的に、一日当たり約1.6TBのデータが生成される。高いデータレートおよびデータ量に起因して、NFIポリシの多くは、データを統合しかつ/またはフィルタリングして、大幅に低減された量の重大な情報のみを、限定なしにSIEMシステム等のバックエンドシステムへ報告するように設計される。 Flow information data is famous for its enormous volume, and a single middle-range router like the Cisco ASR1000 is capable of generating 400,000 NetFlow records per second, resulting in about a day 1.6 TB of data is generated. Due to high data rates and data volumes, many NFI policies consolidate and / or filter data to provide only a significantly reduced amount of critical information, without limitation, backends such as SIEM systems. Designed to report to the system.
典型的には、NFIにより提供される統合された情報は、バックエンドシステムにとって十分なものであるが、所定の状況下、特にセキュリティ関連の状況下において、バックエンドシステムは、問題のイベントに先行する状態、およびイベント直後の状態に関するさらなる情報を必要とする場合がある。イベントのコンテキストを考慮することにより、バックエンドシステムは、観察されるイベントの範囲および結果の決定に際して、遙かに良好なポジションを得る場合がある。 Typically, the integrated information provided by NFI is sufficient for the back-end system, but under certain circumstances, particularly in security-related situations, the back-end system will precede the event in question. You may need more information about the state to be and the state immediately after the event. By considering the context of the event, the backend system may obtain a much better position in determining the range of events observed and the outcome.
例えば、SIEMシステムが、ユーザAによる感応デバイスD上の設定変更に関する通知を受信した事例について考察されたい。一見したところ、ユーザAは、デバイスDを設定する認可を受けているものと思われ、デバイスDにアクセスする十分な資格認証を有していて設定変更を行っていることから、このイベントを精査する必要はない。しかしながら、SIEMシステムも同様にNFIからデータを受信するとなると、SIEMシステムは、設定変更アクションと、設定変更要求が発行された場所からのネットワーク上のロケーションとを相関することができるようになる場合がある。設定変更要求が、設定変更イベントの時点でユーザAに関連づけられていたネットワークロケーション以外のネットワークロケーションから発行された事例は、なりすまし攻撃を示す可能性がある。 For example, consider the case where the SIEM system has received a notification regarding a setting change on sensitive device D by user A. At first glance, user A appears to have been authorized to set up device D, and since it has sufficient credentials to access device D and has made configuration changes, this event has been reviewed. do not have to. However, if the SIEM system receives data from the NFI as well, the SIEM system may be able to correlate the configuration change action with the location on the network from where the configuration change request was issued. is there. A case where the setting change request is issued from a network location other than the network location associated with the user A at the time of the setting change event may indicate a spoofing attack.
上述のなりすまし攻撃は、認証認可システムのみによって検出され得ないことが認識される。認証認可システムの観点からすれば、関与者が有効なアクセス資格認証を保有することから、設定変更は、完全に合法的である。 It will be appreciated that the above-mentioned spoofing attack cannot be detected only by the authentication authorization system. From the point of view of the authentication authorization system, the configuration change is completely legal because the participants have valid access credentials.
本発明に開示されるNFIオンデマンドフロー情報機構の一実施形態は、SIEMシステムが、ネットワーク情報を、事後に全てのインバウンド・ネットワーク・データの巨大フローであると思われるものを絶えず処理する必要なく他のマシンデータに相関するために必要な情報を受信できるようにする。 One embodiment of the NFI on-demand flow information mechanism disclosed in the present invention eliminates the need for the SIEM system to continually process network information that appears to be a huge flow of all inbound network data after the fact. Enables reception of information necessary to correlate with other machine data.
図6を参照すると、別の例示的な実施形態において、NFIサーバ110は、1つまたは複数のネットワークデバイスからNetFlowデータ111を受信する。NFIポリシ141の設定されたコレクションによって、NFIサーバ110は、NetFlowデータ111を処理し、かつ統合NetFlowデータ142をSIEMシステム140へ、SIEMシステム140により理解されるフォーマットで報告する。
Referring to FIG. 6, in another exemplary embodiment,
このようなアクションと同時に、NFIサーバ110は、受信されるNetFlowデータ111を短期ストレージ145へ伝搬し、短期ストレージ145において、NetFlowデータ111は、最左の時間窓144内へ置かれる。
Simultaneously with such an action, the
ある例示的な実施形態において、短期ストレージ145は、おそらくはRAM内、SSD上または他の何らかの高速および/またはローカル・ストレージ・デバイス上の、アクセス時間が短いレポジトリである。論理的には、短期ストレージ145は、設定可能な数のセクション、例えば時間窓144、に分割されてもよく、その各々が、設定可能な期間Dtに渡って受信されるNetFlowデータ111情報を含む。短期ストレージ145は、概して、スライド式窓スキーマを実装し、期間Dtが終わる毎に増大されたNetFlowフォーマット143の最右時間窓144が長期ストレージ146へ転送され、短期ストレージ145が論理的にシフトして、着信するNetFlowデータ111情報を格納するための新しい最右時間窓144が生成される。長期ストレージ146は、概して、短期ストレージ145のアクセス時間および記憶容量以上のアクセス時間および記憶容量を有する。
In an exemplary embodiment, short-term storage 145 is a repository with short access time, possibly in RAM, on SSD, or on some other high-speed and / or local storage device. Logically, short-term storage 145 may be divided into a configurable number of sections, eg, time window 144, each of which contains
増大されたNetFlowフォーマット143は、オリジナルNetFlowデータ111と同じであってもよく、長期ストレージで用いるための追加的なマークアップ情報を含んでもよいことは認識される。
It will be appreciated that the
ある例示的な実施形態において、SIEMシステム140は、NFIサーバ110によって供給される統合NetFlowデータ142、および場合により他のマシンデータ153を取り込むポリシセット150を実行してもよい。ポリシセット150からの1つのポリシを実行するプロセスにおいて、SIEMシステム140が時間Tで発生したイベント151を検出すれば、SIEMシステム140は、NFIサーバ110に対し、時間間隔[T−t,T+t]の間にNFIサーバ110により受信される追加的なNetFlowデータ111を提供する要求152を発行することができる。但し、tは、SIEMシステム140により選択される間隔半値幅である。
In an exemplary embodiment, the
SIEMシステム140の要求152を受信すると、NFIサーバ110は、要求された時間間隔[T−t,T+t]の開始時刻および終了時刻を基礎として、要求された情報のストレージにおけるロケーションを決定する。要求152の時点で、短期ストレージ145が時間間隔[T1,T2]、T2≧T1、に対応するNetFlowデータ111を含み、かつ要求された時間間隔[T−t,T+t]が短期ストレージ145の時間間隔[T1,T2]以内に存在するものとすると、NFIサーバ110は、要求された情報を短期ストレージ145から検索し、かつ156において、検索された情報を、場合により追加処理を用いてSIEMシステム140へ転送する。
Upon receiving the
要求された時間間隔[T−t,T+t]が短期ストレージ145の時間間隔[T1,T2]外に存在すれば、NFIサーバ110は、要求された情報を長期ストレージ146から検索することを試行し、検索に成功すれば、場合により追加処理をする時点で、検索された情報を応答156内でSIEMシステム140へ転送する。
If the requested time interval [T−t, T + t] is outside the time interval [T1, T2] of the short-term storage 145, the
要求された時間間隔[T−t,T+t]が、短期ストレージ145の時間間隔[T1,T2]と長期ストレージ146との間で分割されていれば、NFIサーバ110は、要求された情報の第1の部分を短期ストレージ146から、かつ要求された情報の第2の部分を長期ストレージ146から検索し、情報の検索された第1の部分と検索された第2の部分とを連結し、かつ連結された情報を、場合により追加処理を用いて応答156内でSIEMシステム140へ転送する。
If the requested time interval [T−t, T + t] is divided between the time interval [T1, T2] of the short-term storage 145 and the long-
要求された時間間隔[T−t,T+t]の右側の境界T+tが、長期ストレージ146における情報時間範囲を外れている、または要求された時間間隔[T−t,T+t]の左側の境界T−tが、短期ストレージ145における情報時間範囲を外れている場合、NFIサーバ110は、トランケートされた時間範囲の情報を検索し、かつこのトランケーションを応答156内でSIEMシステムに通知する。
The right boundary T + t of the requested time interval [T−t, T + t] is out of the information time range in the long-
要求された時間間隔[T−t,T+t]が、短期ストレージ145および長期ストレージ146によってカバーされる時間範囲を外れている場合、NFIサーバ110は、このエラー状態を応答156内でSIEMシステムに通知する。
If the requested time interval [T−t, T + t] is outside the time range covered by short-term storage 145 and long-
本明細書に開示するNetFlowデータを格納するためのこの新しい多層的アプローチは、先行するNetFlowコレクタにより使用される従来的な単層NetFlow情報ストレージに比べて、即時的報告または対策を必要とするイベントを分析する場合に著しい優位点を提供する。即時的報告または対策を必要とするイベントに関しては、高速の短期ストレージ145における要求された情報の探索が、より遅速の長期ストレージ146の場合より各段に速く、SIEMシステム140の応答時間が良質化されることになる。
This new multi-tiered approach to storing NetFlow data disclosed herein is an event that requires immediate reporting or countermeasures compared to the traditional single-layer NetFlow information storage used by previous NetFlow collectors. Provides significant advantages when analyzing For events that require immediate reporting or remedial action, searching for the requested information in the fast short-term storage 145 is much faster in each stage than in the slower long-
追加情報に対するSIEMシステム140の要求152には、時間間隔の指定以外に、NetFlowレコードの起源、ソースまたは宛先IPアドレス等の、但しこれらに限定されない固有のフロー情報、またはこれらの組合せ等の他のパラメータが含まれてもよいことは認識される。また、短期ストレージ145および長期ストレージ146内のNetFlow情報は、ソースまたは宛先IPアドレス、ソースまたは宛先のOSIレイヤ4ポート、等々といった、但しこれらに限定されないNetFlow関連情報を基礎として、時間により、およびゼロ、1つまたは複数のキーによりインデックスされる場合があることも認識される。
The
図7をさらに参照すると、短期ストレージ145および長期ストレージ146は、NFIサーバ110によって、NetFlowデータ111を最初に処理したNFIサーバ110のインスタンス以外のNFIサーバ110のインスタンスによって、および/またはNFIサーバ110以外のプロセスによって動作されてもよいことが認識される。また、短期ストレージ145および長期ストレージ146は、NFIサーバ110の異なるインスタンスによって、またはNFIサーバ110以外のプロセスによって動作される場合があることも認識される。さらに、短期ストレージ145および長期ストレージ146へのアクセス時間は、同じであってもよく、かつ3以上である複数のストレージ層が存在してもよい。また、長期ストレージ146は、任意選択のコンポーネントであり、かつ短期ストレージ145内の情報は、時を経て設定された寿命を超えると放棄される場合があることも認識される。
Still referring to FIG. 7, the short-term storage 145 and the long-
本明細書に開示する、ネットワークと他のマシンデータとを関連づける新しいアプローチは、ネットワークまたは他のマシンデータのみが考慮される場合には検出されないと思われる攻撃を検出できるようにする。本明細書に開示する、ネットワーク情報を格納する新しいアプローチは、ネットワーク情報を「必要なときにのみ」予備的な処理なしで提供できるようにする。 The new approach disclosed here for associating a network with other machine data makes it possible to detect attacks that would not be detected if only the network or other machine data was considered. The new approach for storing network information disclosed herein allows network information to be provided “only when needed” without preliminary processing.
地理−空間分析ベースのボットネットスレーブ検出(図8参照) Botnet slave detection based on geo-spatial analysis (see Figure 8)
精巧なマルウェアエージェントは、そのマスタと通信する際に、複雑なイベイジョン検出技術を頼む。例えば、あるエージェントは、マスタとの無作為な時間間隔での接触、最後の通信セッションの間に受信された情報を基礎として次のマスタを選択することによる複数のマスタとの通信、コマンド&制御チャネルのトラフィックパターンの難読化、他、を行なう可能性がある。 Sophisticated malware agents rely on complex evasion detection techniques when communicating with their masters. For example, an agent contacts a master at random time intervals, communicates with multiple masters by selecting the next master based on information received during the last communication session, command and control May obfuscate the traffic pattern of the channel, etc.
方法 Method
インラインクラスタ分析アルゴリズム(BIRCH−Balanced Iterative Reducing and Clustering using Hierarchies)を用いて、アウトバウンドトラフィックを分類する。BIRCHは、「外れ値」−即ち、一般的な基礎を成すパターンの一部ではないデータポイント、を効率的に決定することで知られている。 Outbound traffic is classified using an inline cluster analysis algorithm (BIRCH-Balanced Iterative Reducing and Clustering using Hierarchies). BIRCH is known to efficiently determine “outliers” —data points that are not part of the general underlying pattern.
特徴集合 Feature set
S={Si},SiI{freq(dist,az),app,f1,f2,f3,f4,T} S = {Si}, SiI {freq (dist, az), app, f1, f2, f3, f4, T}
freq−通信頻度 freq-communication frequency
dist−宛先ホストまでの物理的距離 dist—physical distance to the destination host
az−方位角 az-azimuth
app−L7アプリケーションid、またはL4宛先ポート app-L7 application id or L4 destination port
f1−流量、フロー数/時 f1-flow rate, number of flows / hour
f2−1フロー当たりのパケット数 f2-1 Number of packets per flow
f3−パケットサイズ、B f3-packet size, B
f4−トラフィックレート、bps f4-traffic rate, bps
「dist」および「az」は、フローレコードに見出されるソースおよび宛先IPアドレスを基礎として計算される。相似関数「freq」は、特定の地理的エリアへの通信頻度である。アプリケーションは、その各々が監視対象ホストに割り当てられたカテゴリに関連づけられる複数のグループに分類される(「標準アプリケーション」)。 “Dist” and “az” are calculated based on the source and destination IP addresses found in the flow record. The similarity function “freq” is a communication frequency to a specific geographical area. Applications are classified into a plurality of groups, each of which is associated with a category assigned to the monitored host (“standard application”).
報告基準 Reporting criteria
普通でないトラフィック特性を有する非標準アプリケーションまたは標準アプリケーションによるピアとの独自的または低頻度の通信を警戒する。 Watch out for unique or infrequent communications with peers by non-standard or non-standard applications with unusual traffic characteristics.
侵入試験、設定検証者 Penetration test, setting verifier
ネットワークのサイズが拡大するにつれて、そのトポロジーはますます複雑になる。トポロジーの複雑さは、次に、設定の複雑さを増大し、設定エラーをさらに発生しやすくする。システム管理者が、その管理下にあるネットワークの設定およびセキュリティ姿勢にアクセスしかつ検証する手助けとなるツールは、幾つか存在する。これらのツールは、ネットワーク内の脆弱性を決定するために様々な方法を用いる。例えば、侵入試験ツールは、組織のファイアウォールを「攻撃」し、設定検証ツールは、認証認可ポリシにおける抜け穴を見出そうとし、IDS/IPSシステムは、組織のネットワークを出入りするトラフィックフローを監視する、等々。これらの防護技術は、長期に渡って開発され、よって既知の、かつ時として予測されていない脅威を止められるほどに成熟している。 As the size of the network grows, its topology becomes increasingly complex. The complexity of the topology in turn increases the complexity of the configuration and makes it more prone to configuration errors. There are several tools that help system administrators access and verify the settings and security posture of the networks under their control. These tools use various methods to determine vulnerabilities in the network. For example, penetration testing tools “attack” an organization's firewall, configuration verification tools attempt to find loopholes in authentication authorization policies, IDS / IPS systems monitor traffic flows in and out of the organization's network, and so on. These protection technologies have been developed over time and are therefore mature enough to stop known and sometimes unforeseen threats.
今日のネットワーク防御姿勢に関連する問題は、その静的な性質にある。即ち、一旦設定され、かつおそらくは検証されると、ネットワーク防御は、第二次世界大戦前にマジノ線がそうであったように難攻不落であると考えられている。防護対策は、概して一度だけ適用されるか、せいぜいたまに査定されるだけで、次のチェックまで、組織は、実際のセキュリティ姿勢状態の品質が保証されないままにされる。 The problem associated with today's network defense posture is its static nature. That is, once set up and possibly verified, network defense is considered impregnable, as was the Magino Line prior to World War II. Protective measures are generally applied only once or at best assessed, leaving the organization unsure of the quality of the actual security posture state until the next check.
今日のネットワーク防御におけるさらに別の問題は、これらの防護エレメントが提供されかつ設定される方法の多様さにある。防護グリッド内の全てのノードの出所が単一の売り手であることは、極めてまれである。一般的なIT慣行は、明らかに多様なネットワーク技術プロバイダから求める最高品質のデバイスを用いることである。多様かつ複雑な設定方法は、今日の多層的なネットワークセキュリティ配備におけるエラーの蓋然性を高める。 Yet another problem in today's network defense is the variety in how these protection elements are provided and configured. It is extremely rare that the source of all nodes in the protection grid is a single seller. A common IT practice is to use the highest quality devices that are clearly desired from a variety of network technology providers. Various and complex configuration methods increase the probability of errors in today's multi-layer network security deployment.
NetFlowは、組織のネットワーキングインフラストラクチャの動的な品質管理を提供することができるツールの生成を可能にする技術である。本発明で開示するNFI技術は、組織全体に渡るネットワークトラフィックを監視しかつ静的に設定された防御によって監督されたフローインスタンスを識別する可能性もある任意のポリシを導入できるようにする。 NetFlow is a technology that enables the generation of tools that can provide dynamic quality control of an organization's networking infrastructure. The NFI technology disclosed in the present invention allows for the introduction of any policy that can monitor network traffic throughout the organization and identify flow instances that are supervised by statically configured defenses.
本発明を幾つかの実施形態に関連して説明したが、本発明の範囲に含まれる変形、変更、置換、および代替等価物が存在する。本発明の説明を補助するために、小項目のタイトルを付しているが、これらは単に例示的なものであって、本発明の範囲を限定するためのものではない。 Although the invention has been described with reference to several embodiments, there are variations, modifications, substitutions, and alternative equivalents that fall within the scope of the invention. In order to assist the description of the present invention, subtitles are given, but these are merely illustrative and are not intended to limit the scope of the present invention.
また、本発明の方法および装置の実装に当たっては、多くの代替方法が存在することも留意されるべきである。したがって、添付した下記の請求の範囲は、このような変形、変更、置換および代替等価物を全て本発明の真の精神および範囲内にあるものとして包含すると解釈されるべきものである。 It should also be noted that there are many alternative ways of implementing the method and apparatus of the present invention. Accordingly, the appended claims should be construed to include all such variations, modifications, substitutions and alternative equivalents as falling within the true spirit and scope of this invention.
Claims (14)
データ処理システムにおける複数のソースからネットワークメタデータを少なくとも1つのデータフォーマットで受信するステップと、
そこから有益な情報を抽出するために、前記ネットワークメタデータが前記ネットワーク上で前記ネットワークメタデータを生成したネットワークデバイスと前記ネットワークメタデータを格納することができるデバイスとの間を移行する間に、前記ネットワークメタデータを処理するステップと、
前記メタデータの処理ステップの結果として、前記ネットワーク上で動作するアプリケーションに関連する情報を決定するステップと、
前記ネットワークコントローラが前記ソフトウェア定義ネットワークのより効率的な管理を実行できるようにするために、前記アプリケーション情報を用いるステップと、を含む、方法。 A method for improving the management of a software-defined network, wherein the network includes a network controller and transmits network traffic using one or more network protocols, at least some of which are input Including a plurality of devices that receive network traffic over an interface and send network traffic over an output interface, the method comprising:
Receiving network metadata from a plurality of sources in a data processing system in at least one data format;
In order to extract useful information therefrom, the network metadata transitions between the network device that generated the network metadata on the network and the device that can store the network metadata. Processing the network metadata;
Determining information associated with an application running on the network as a result of the metadata processing step;
Using the application information to allow the network controller to perform more efficient management of the software-defined network.
前記ネットワークコントローラが前記ソフトウェア定義ネットワークのより効率的な管理を実行できるようにするために、前記ユーザ情報を用いるステップと、をさらに含む、請求項1に記載の方法。 Determining information relating to users present on the network as a result of the processing step of the metadata;
The method of claim 1, further comprising: using the user information to allow the network controller to perform more efficient management of the software-defined network.
前記クラウドベースの仮想コンピューティング環境における複数のソースからネットワークメタデータを少なくとも1つのデータフォーマットで受信するステップと、
そこから有益な情報を抽出するために、前記ネットワークメタデータが前記環境において前記ネットワークメタデータを生成したネットワークデバイスと前記ネットワークメタデータを格納することができるデバイスとの間を移行する間に、前記ネットワークメタデータを処理するステップと、
前記メタデータの処理ステップの結果として、前記環境内で動作するアプリケーションに関連する情報を決定するステップと、
前記クラウド環境コントローラが前記クラウドベース仮想コンピューティング環境のより効率的な管理を実行できるようにするために、前記アプリケーション情報を用いるステップと、を含む、方法。 A method for improving the management of a cloud-based virtual computing environment, the environment comprising a cloud operating system and a cloud environment controller and transmitting network traffic using one or more network protocols, wherein the network Comprises a plurality of devices, at least some of which receive network traffic via an input interface and transmit network traffic via an output interface, the method comprising a plurality of sources in the cloud-based virtual computing environment Receiving network metadata from at least one data format;
In order to extract useful information therefrom, the network metadata moves between the network device that generated the network metadata in the environment and the device that can store the network metadata. Processing network metadata; and
Determining information related to an application running in the environment as a result of the processing step of the metadata;
Using the application information to allow the cloud environment controller to perform more efficient management of the cloud-based virtual computing environment.
前記クラウド環境コントローラが前記クラウドベース仮想コンピューティング環境のより効率的な管理を実行できるようにするために、前記ユーザ情報を用いるステップと、を含む、請求項3に記載の方法。 Determining information relating to users present in the environment as a result of the processing step of the metadata;
Using the user information to allow the cloud environment controller to perform more efficient management of the cloud-based virtual computing environment.
ネットワークメタデータを、設定されたネットワークメタデータの処理ポリシのコレクションに従ってストリーミング式に処理するステップと、
時間でインデックスされたネットワークメタデータ・セットを、高速アクセスストレージ機構内に、規定された期間に渡って保持するステップと、
潜在的なセキュリティ関連ネットワークイベントを識別するステップと、
前記時間でインデックスされたセットから、前記識別された潜在的なセキュリティ関連ネットワークイベントに時間的に関連するネットワークメタデータ・コレクションを提供するステップと、
前記識別された潜在的なセキュリティ関連ネットワークイベントをさらに特徴づけるために、前記ネットワークメタデータ・コレクションを前記識別された潜在的なセキュリティ関連ネットワークイベントと相関する分析を実行するステップとを含む、方法。 A method for providing on-demand access to network metadata relating to identified potential security-related network events in a network in which a device transmits network traffic using one or more network protocols, the network comprising: Comprises a plurality of devices, at least some of which receive network traffic via an input interface and transmit network traffic via an output interface, the method comprising:
Processing the network metadata in a streaming manner according to a collection of configured network metadata processing policies;
Holding a time-indexed network metadata set in a fast access storage mechanism for a specified period of time;
Identifying potential security related network events;
Providing a network metadata collection temporally related to the identified potential security-related network event from the time-indexed set;
Performing an analysis correlating the network metadata collection with the identified potential security related network event to further characterize the identified potential security related network event.
ネットワーク上のアウトバウンドトラフィックを分類するために、インラインクラスタ分析アルゴリズムを適用することであって、前記クラスタ分析アルゴリズムは、識別可能な地理的ロケーションにおけるネットワークホストへの通信頻度、およびアプリケーションタイプ、流量、1フロー当たりのパケット数、各フローにおける平均パケットサイズおよびトラフィックレート等の、但しこれらに限定されないデータ通信パターンを考慮することと、
前記適用するステップを基礎として、前記ネットワーク上の一般的なトラフィックパターンの一部ではない、前記ネットワーク上のアウトバウンドトラフィックを識別することと、
前記ネットワーク上に、前記ネットワーク上の一般的なトラフィックパターンの一部ではないアウトバウンドトラフィックが存在する場合に、警告を伝達することを含む、方法。 A method of detecting a botnet slave on a network connected device,
Applying an inline cluster analysis algorithm to classify outbound traffic on the network, the cluster analysis algorithm including the frequency of communication to network hosts at identifiable geographical locations, and application type, flow rate, Consider data communication patterns such as, but not limited to, the number of packets per flow, the average packet size and traffic rate in each flow,
Identifying outbound traffic on the network that is not part of a general traffic pattern on the network based on the applying step;
Communicating a warning when there is outbound traffic on the network that is not part of a general traffic pattern on the network.
ソフトウェア定義ネットワークにおける複数のソースからネットワークメタデータを少なくとも1つのデータフォーマットで受信するための、少なくとも1つの入力インタフェースと、
そこから有益な情報を抽出するために、前記ネットワークメタデータが前記ネットワーク上で前記ネットワークメタデータを生成したネットワークデバイスと前記ネットワークメタデータを格納することができるデバイスとの間を移行する間に、前記ネットワークメタデータを処理するための処理エンジンとを備え、
前記処理エンジンは、前記ネットワーク上で動作するアプリケーションに関する情報を決定し、かつ前記アプリケーション情報を用いて、前記ネットワークコントローラが前記ソフトウェア定義ネットワークのより効率的な管理を実行できるようにする、システム。 A system for improving the management of a software defined network, the network comprising a network controller and transmitting network traffic using one or more network protocols, the network comprising at least some of them Including a plurality of devices that receive network traffic via an input interface and transmit network traffic via an output interface and generate network metadata relating to the network traffic, the management system comprising:
At least one input interface for receiving network metadata from a plurality of sources in a software defined network in at least one data format;
In order to extract useful information therefrom, the network metadata transitions between the network device that generated the network metadata on the network and the device that can store the network metadata. A processing engine for processing the network metadata,
The system, wherein the processing engine determines information about an application running on the network and uses the application information to allow the network controller to perform more efficient management of the software defined network.
前記クラウドベース仮想コンピューティング環境における複数のソースからネットワークメタデータを少なくとも1つのデータフォーマットで受信するためのインタフェースと、
そこから有益な情報を抽出するために、前記ネットワークメタデータが前記環境内で前記ネットワークメタデータを生成したネットワークデバイスと前記ネットワークメタデータを格納することができるデバイスとの間を移行する間に、前記ネットワークメタデータを処理するための処理エンジンとを備え、
前記処理エンジンは、前記メタデータ処理ステップの結果として、前記環境内で動作するアプリケーションに関する情報を決定し、かつ前記アプリケーション情報を用いて、前記クラウド環境コントローラが前記クラウドベース仮想コンピューティング環境のより効率的な管理を実行できるようにする、システム。 A system for improving management of a cloud-based virtual computing environment, the environment comprising a cloud operating system and a cloud environment controller that transmits network traffic using one or more network protocols, The network includes a plurality of devices, at least some of which receive network traffic via an input interface and transmit network traffic via an output interface, the management system further comprising:
An interface for receiving network metadata from a plurality of sources in the cloud-based virtual computing environment in at least one data format;
In order to extract useful information therefrom, the network metadata transitions between the network device that generated the network metadata in the environment and the device that can store the network metadata. A processing engine for processing the network metadata,
The processing engine determines information about an application running in the environment as a result of the metadata processing step, and using the application information, the cloud environment controller is more efficient in the cloud-based virtual computing environment. A system that allows you to perform basic management.
ネットワークメタデータを、設定されたネットワークメタデータの処理ポリシのコレクションに従ってストリーミング式に処理するための処理エンジンと、
時間でインデックスされたネットワークメタデータ・セットを規定された期間に渡って保持するための高速アクセスストレージ機構と、を備え、
前記処理エンジンは、潜在的なセキュリティ関連のネットワークイベントを識別し、かつ前記時間でインデックスされたセットから、前記識別された潜在的なセキュリティ関連のネットワークイベントに時間的に関連するネットワークメタデータ・コレクションを提供し、かつ、
前記識別された潜在的なセキュリティ関連のネットワークイベントをさらに特徴づけるために、前記ネットワークメタデータ・コレクションを前記識別された潜在的なセキュリティ関連のネットワークイベントと相関する分析を実行するための分析エンジンを備える、システム。 A system for providing on-demand access to network metadata relating to identified potential security-related network events in a network in which a device transmits network traffic using one or more network protocols, comprising: The network includes a plurality of devices, at least some of which receive network traffic via an input interface and transmit network traffic via an output interface, the system comprising:
A processing engine for processing network metadata in a streaming manner according to a collection of configured network metadata processing policies;
A fast access storage mechanism for maintaining a time-indexed network metadata set for a specified period of time;
The processing engine identifies a potential security-related network event, and from the time-indexed set, a network metadata collection that is temporally related to the identified potential security-related network event. And providing
An analysis engine for performing an analysis correlating the network metadata collection with the identified potential security-related network event to further characterize the identified potential security-related network event; A system that provides.
ネットワーク上のアウトバウンドトラフィックを分類するために、インラインクラスタ分析アルゴリズムを適用するための処理エンジンであって、前記クラスタ分析アルゴリズムは、識別可能な地理的ロケーションにおけるネットワークホストへの通信頻度、およびアプリケーションタイプ、流量、1フロー当たりのパケット数、各フローにおける平均パケットサイズおよびトラフィックレート等の、但しこれらに限定されないデータ通信パターンを考慮する、処理エンジンと、
前記クラスタ分析アルゴリズムの結果を基礎として、前記ネットワーク上の一般的なトラフィックパターンの一部ではない、前記ネットワーク上のアウトバウンドトラフィックを識別する分析エンジンと、
前記ネットワーク上に、前記ネットワーク上の一般的なトラフィックパターンの一部ではないアウトバウンドトラフィックが存在する場合に、警告を伝達するための警告発生エンジンと、を備える、システム。 A system for detecting a botnet slave on a network connected device,
A processing engine for applying an inline cluster analysis algorithm to classify outbound traffic on a network, the cluster analysis algorithm comprising: a communication frequency to a network host at an identifiable geographical location, and an application type; A processing engine that takes into account data communication patterns such as, but not limited to, flow rate, number of packets per flow, average packet size and traffic rate in each flow,
Based on the results of the cluster analysis algorithm, an analysis engine that identifies outbound traffic on the network that is not part of a general traffic pattern on the network;
A warning generating engine for communicating a warning when there is outbound traffic on the network that is not part of a general traffic pattern on the network.
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201361751243P | 2013-01-10 | 2013-01-10 | |
| US61/751,243 | 2013-01-10 | ||
| US13/830,924 | 2013-03-14 | ||
| US13/830,924 US20140075557A1 (en) | 2012-09-11 | 2013-03-14 | Streaming Method and System for Processing Network Metadata |
| PCT/US2014/010932 WO2014110293A1 (en) | 2013-01-10 | 2014-01-09 | An improved streaming method and system for processing network metadata |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2016508353A true JP2016508353A (en) | 2016-03-17 |
Family
ID=51167380
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015552783A Pending JP2016508353A (en) | 2013-01-10 | 2014-01-09 | Improved streaming method and system for processing network metadata |
Country Status (6)
| Country | Link |
|---|---|
| JP (1) | JP2016508353A (en) |
| KR (1) | KR20150105436A (en) |
| CN (1) | CN105051696A (en) |
| CA (1) | CA2897664A1 (en) |
| RU (1) | RU2015132628A (en) |
| WO (1) | WO2014110293A1 (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020530228A (en) * | 2017-08-03 | 2020-10-15 | ドライブネッツ リミテッド | Network-aware elements and how to use them |
| JP2021090161A (en) * | 2019-12-05 | 2021-06-10 | 日本電信電話株式会社 | Format conversion device, method, and program |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112073214A (en) * | 2015-06-29 | 2020-12-11 | 华为技术有限公司 | Method for realizing application and service controller |
| US10936966B2 (en) | 2016-02-23 | 2021-03-02 | At&T Intellectual Property I, L.P. | Agent for learning and optimization execution |
| CN107665224B (en) * | 2016-07-29 | 2021-04-30 | 北京京东尚科信息技术有限公司 | Method, system and device for scanning HDFS cold data |
| US20180351806A1 (en) * | 2017-05-31 | 2018-12-06 | Cisco Technology, Inc. | Intent specification checks for inconsistencies |
| CN107248959B (en) * | 2017-06-30 | 2020-07-24 | 联想(北京)有限公司 | Flow optimization method and device |
| KR102045844B1 (en) * | 2018-04-18 | 2019-11-18 | 한국전자통신연구원 | Method and apparatus for analyzing traffic based on flow in cloud system |
| CN111292523B (en) * | 2018-12-06 | 2023-04-07 | 中国信息通信科技集团有限公司 | Network intelligent system |
| CN110417680A (en) * | 2019-08-16 | 2019-11-05 | 北京伏羲车联信息科技有限公司 | In-vehicle networking stream data optimization method and device |
| RU2738337C1 (en) * | 2020-04-30 | 2020-12-11 | Общество С Ограниченной Ответственностью "Группа Айби" | Intelligent bots detection and protection system and method |
| CN112256938B (en) * | 2020-12-23 | 2021-03-19 | 畅捷通信息技术股份有限公司 | Message metadata processing method, device and medium |
| CN113507461B (en) * | 2021-07-01 | 2022-11-29 | 交通运输信息安全中心有限公司 | Network monitoring system and network monitoring method based on big data |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7707305B2 (en) * | 2000-10-17 | 2010-04-27 | Cisco Technology, Inc. | Methods and apparatus for protecting against overload conditions on nodes of a distributed network |
| US7633944B1 (en) * | 2006-05-12 | 2009-12-15 | Juniper Networks, Inc. | Managing timeouts for dynamic flow capture and monitoring of packet flows |
| US20100071065A1 (en) * | 2008-09-18 | 2010-03-18 | Alcatel Lucent | Infiltration of malware communications |
| US8954957B2 (en) * | 2009-07-01 | 2015-02-10 | Riverbed Technology, Inc. | Network traffic processing according to network traffic rule criteria and transferring network traffic metadata in a network device that includes hosted virtual machines |
| US9110976B2 (en) * | 2010-10-15 | 2015-08-18 | International Business Machines Corporation | Supporting compliance in a cloud environment |
| CN101977146B (en) * | 2010-10-25 | 2013-04-17 | 成都飞鱼星科技开发有限公司 | Intelligent network traffic controller and implementation method thereof |
| US8971196B2 (en) * | 2011-03-08 | 2015-03-03 | Riverbed Technology, Inc. | Distributed network traffic data collection and storage |
-
2014
- 2014-01-09 KR KR1020157021506A patent/KR20150105436A/en not_active Application Discontinuation
- 2014-01-09 CN CN201480012616.9A patent/CN105051696A/en active Pending
- 2014-01-09 RU RU2015132628A patent/RU2015132628A/en not_active Application Discontinuation
- 2014-01-09 JP JP2015552783A patent/JP2016508353A/en active Pending
- 2014-01-09 CA CA2897664A patent/CA2897664A1/en not_active Abandoned
- 2014-01-09 WO PCT/US2014/010932 patent/WO2014110293A1/en active Application Filing
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020530228A (en) * | 2017-08-03 | 2020-10-15 | ドライブネッツ リミテッド | Network-aware elements and how to use them |
| JP7148596B2 (en) | 2017-08-03 | 2022-10-05 | ドライブネッツ リミテッド | Network-aware elements and how to use them |
| JP2021090161A (en) * | 2019-12-05 | 2021-06-10 | 日本電信電話株式会社 | Format conversion device, method, and program |
| JP7294764B2 (en) | 2019-12-05 | 2023-06-20 | 日本電信電話株式会社 | Format conversion device, method and program |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014110293A1 (en) | 2014-07-17 |
| RU2015132628A (en) | 2017-02-15 |
| CA2897664A1 (en) | 2014-07-17 |
| CN105051696A (en) | 2015-11-11 |
| KR20150105436A (en) | 2015-09-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9860154B2 (en) | Streaming method and system for processing network metadata | |
| US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
| US10892964B2 (en) | Systems and methods for monitoring digital user experience | |
| US10728117B1 (en) | Systems and methods for improving digital user experience | |
| JP2016508353A (en) | Improved streaming method and system for processing network metadata | |
| EP3699766A1 (en) | Systems and methods for monitoring, analyzing, and improving digital user experience | |
| US20200274784A1 (en) | Systems and methods for analyzing digital user experience | |
| US10868834B2 (en) | Detecting targeted data exfiltration in encrypted traffic | |
| EP2777226B1 (en) | A streaming method and system for processing network metadata | |
| US8955091B2 (en) | Systems and methods for integrating cloud services with information management systems | |
| US20160359695A1 (en) | Network behavior data collection and analytics for anomaly detection | |
| US11855869B2 (en) | Secure configuration of a network sensor on a network sensor host | |
| US11343143B2 (en) | Using a flow database to automatically configure network traffic visibility systems | |
| US10296744B1 (en) | Escalated inspection of traffic via SDN | |
| Rajesh et al. | Network forensics investigation in virtual data centers using elk | |
| JP2023540440A (en) | Systems, methods and media for distributed network monitoring using local monitoring devices | |
| Čermák et al. | Stream-Based IP Flow Analysis | |
| Roponena et al. | Use Cases and Design of an Intelligent Intrusion Detection System. | |
| Game et al. | Graph-based Attack Detection in Cloud using KDD CUP 99 Dataset | |
| ANALYTICS et al. | PH. D. THESIS IN |