ES2574788T3 - Método para configurar ACL en dispositivo de red basándose en información de flujo - Google Patents
Método para configurar ACL en dispositivo de red basándose en información de flujo Download PDFInfo
- Publication number
- ES2574788T3 ES2574788T3 ES08863780.6T ES08863780T ES2574788T3 ES 2574788 T3 ES2574788 T3 ES 2574788T3 ES 08863780 T ES08863780 T ES 08863780T ES 2574788 T3 ES2574788 T3 ES 2574788T3
- Authority
- ES
- Spain
- Prior art keywords
- network
- flow
- address
- records
- flow records
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 26
- 238000007405 data analysis Methods 0.000 claims abstract description 20
- 238000004891 communication Methods 0.000 claims abstract description 12
- 238000013179 statistical model Methods 0.000 claims abstract description 6
- 238000007726 management method Methods 0.000 description 15
- 238000004458 analytical method Methods 0.000 description 9
- 241000700605 Viruses Species 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 7
- 238000013480 data collection Methods 0.000 description 7
- 238000013500 data storage Methods 0.000 description 7
- 238000012544 monitoring process Methods 0.000 description 7
- 201000009032 substance abuse Diseases 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 238000012552 review Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000005259 measurement Methods 0.000 description 3
- 238000005070 sampling Methods 0.000 description 3
- 238000007792 addition Methods 0.000 description 2
- 230000032683 aging Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 239000000523 sample Substances 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 238000012356 Product development Methods 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000001627 detrimental effect Effects 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Un sistema (500) para controlar dinámicamente comunicaciones de redes, comprendiendo el sistema: un dispositivo de red (520) configurado para recibir tráfico de red y para producir una pluralidad de registros de flujo que describen dicho tráfico de red; y un almacenamiento de registro de flujo (140) configurado para recibir dichos registros de flujo de dicho dispositivo de red (520) y para almacenar dichos registros de flujo; caracterizado por una herramienta de análisis de datos (150) configurada para acceder al almacenamiento de registro de flujo (140) para recuperar dichos registros de flujo almacenados y para evaluar cada uno de dichos registros de flujo de acuerdo con criterios predefinidos para identificar dinámicamente una dirección, en el que la herramienta de análisis de datos está configurada adicionalmente para implementar modelos estadísticos configurados para resolver problemas relacionados con el uso de red, y en el que la herramienta de análisis de datos usa los registros de flujo y modelos estadísticos para generar un resultado estadístico que se almacena entonces en el almacenamiento de registros de flujo; en el que cada uno de dicha pluralidad de registros de flujo comprende al menos uno de una dirección de nodo de origen, una dirección de nodo de destino, una dirección de puerto de origen y una dirección de puerto de destino, en el que dichos registros de flujo comprenden un tamaño de byte transmitido en cada flujo asociado, y en el que los criterios predefinidos comprenden el número total de bytes transmitidos en el flujo asociado para cada una de las direcciones de nodo o de puerto, en el que el dispositivo de red (520) está configurado para recibir dicha dirección identificada y para añadir dicha dirección identificada a una lista de control de acceso.
Description
Método para configurar ACL en dispositivo de red basándose en información de flujo
5 Campo de la invención
La presente invención se refiere al uso de datos de flujos de red exportados de encaminadores de red para proporcionar información sobre el tráfico entrante/saliente del dispositivo. Los encaminadores de red se pueden configurar para autorizar o denegar diversos tipos de tráfico de red entre dos dispositivos de red cuyo tráfico transita a través del encaminador. El método presentado describe la creación dinámica y la aplicación de listas de control de acceso en el encaminador de la información obtenida a partir de la información de flujo de red exportada por el encaminador de red.
Antecedentes de la invención
15 Los datos de uso de red son útiles para muchas funciones de negocio importantes, tales como facturación de abonados, mercadotecnia y atención al cliente, desarrollo de productos, gestión de operaciones de red, planificación de capacidad de la red y de sistemas y seguridad. Los datos de uso de red no incluyen la información real intercambiada en una sesión de comunicaciones entre las partes, sino que más bien incluye numerosos registros de detalle de uso, conocidos como “registros de flujo” que contienen uno o más tipos de metadatos (es decir, “datos sobre datos”). Los protocolos de registros de flujo de redes conocidos incluyen Netflow®, sFlow®, jFlow®, cFlow® o Netstream®. Tal como se usa en la presente descripción, un registro de flujo se define como una pequeña unidad de medida de uso unidireccional de red por una cadena de paquetes de IP que comparten parámetros comunes de origen y de destino durante un intervalo de tiempo.
25 Los tipos de metadatos incluidos dentro de cada registro de flujo varían basándose en el tipo de servicio y de red involucrado y, en algunos casos, basándose en el dispositivo de red particular que proporciona los registros de flujo, En general, un registro de flujo proporciona información de uso detallado sobre un evento particular o una conexión de comunicaciones entre las partes, tales como el tiempo de inicio y de fin de la conexión, la fuente (o el originador) de los datos que se están transportando, el destino o receptor de los datos y la cantidad de datos transferidos. Un registro de flujo resume información de uso para periodos muy cortos de tiempo (desde milisegundos hasta segundos, ocasionalmente minutos). Dependiendo del tipo de servicio y de red involucrado, un registro de flujo puede incluir también información sobre el protocolo de transferencia, el tipo de datos transferido, el tipo de servicio (ToS, type of service) proporcionado, etc. En las redes de telefonía, los registros de flujo que constituyen la
35 información de uso se conocen como registros de detalle de llamada (CDR, call detail record).
En la supervisión de redes, los registros de flujo de red se recopilan, se almacenan y se analizan para producir un resultado significativo. Los sistemas de análisis de uso de red procesan estos registros de flujo y generan informes o archivos de datos resumidos que soportan diversas funciones de negocio. Los sistemas de análisis de uso de red proporcionan información sobre cómo se están usando, y por quién, los servicios de una red. Los sistemas de análisis de uso de red se pueden usar también para identificar (o predecir) cuestiones relacionadas con la satisfacción del cliente, tales como las causadas por la congestión de la red y por abusos en la seguridad de la red. En un ejemplo, el uso y el desempeño de la red, como una función del comportamiento de uso del abonado, se pueden supervisar para rastrear la experiencia de un usuario, para predecir la capacidad futura de la red o para
45 identificar indicativos de comportamiento de uso de fraude, robo y abuso de red.
En la seguridad informática, una lista de control de acceso (ACL, access control list) es una lista de permisos adjunta a un objeto. De manera más específica, ACL en redes se refiere a una lista de reglas que detalla reglas de filtrado de tráfico. Las ACL pueden permitir o denegar el tráfico a través de un dispositivo de red. Solo los encaminadores y los servidores de seguridad pueden tener ACL de red. Las listas de control de acceso se pueden configurar en general para controlar tráfico tanto de entrada como de salida.
Las ACL son una manera para controlar el tráfico de red al limitar el acceso del usuario y del dispositivo hacia y desde direcciones y/o puertos no deseados. Las ACL filtran el tráfico de red al controlar si los paquetes
55 encaminados se reenvían o se bloquean, por lo general en una interfaz de encaminador, a pesar de que otros dispositivos puedan filtrar paquetes. El encaminador examina cada paquete para determinar si reenviar o soltar el paquete, basándose en los criterios especificados dentro de las listas de acceso. Un criterio de una lista de control de acceso podría ser la dirección de origen del tráfico o la dirección de destino del tráfico, el puerto objetivo o el protocolo, o alguna combinación de los mismos. Por lo general las direcciones de Protocolo de Internet (IP, Internet Protocol) sirven como identificadores del dispositivo de origen en una red basada en IP. Las listas de control de acceso permiten accesos diferenciados basándose en este identificador de IP dentro de la red.
A pesar de que las ACL dan servicio a funciones útiles, establecer las ACL puede ser muy laborioso. En particular, comúnmente las ACL se programan manualmente. Además, la selección de direcciones de IP para colocar en las
65 ACL puede ser arbitraria e impredecible.
En particular, muchas redes de IP autónomas o de empresa son grandes, complejas y dinámicas, lo que las hace difíciles de gestionar. Las tareas de gestión de redes tales como supervisar el tráfico en una red, analizar el desempeño de la red o reconfigurar la red para un mejor desempeño requieren información sobre la red. No obstante, debido a que las grandes redes de IP son altamente dinámicas, es difícil adquirir información útil para 5 muchas tareas de gestión de redes. Considérese que una red de IP grande puede tener decenas de miles de nodos y centenares de encaminadores y pasarelas. Una red corporativa grande puede tener 300.000 nodos y 2.500 encaminadores. En ocasiones, los encaminadores, las pasarelas, los conmutadores y otros dispositivos de red fallan, se desconectan o retornan a servicio. Los enlaces a menudo fallan, retornan a servicio o se deteriora su desempeño. Por ejemplo, un enlace de microondas o de satélite puede experimentar interferencia que reduce su ancho de banda. Protocolos tales como OSPF y BGP que se usan para encaminar tráfico en grandes redes de IP son dinámicos y cambian las trayectorias de encaminamiento en una red grande a medida que cambian las condiciones en la red. Incluso a redes relativamente estables les puede llevar un tiempo prolongado alcanzar un estado de convergencia de encaminamiento. Por diseño, la trayectoria de comunicación entre dos ordenadores en una red de IP puede cambiar aun durante el periodo de una sola conexión entre ellas. A la vista de estos factores y
15 de otros que se analizarán a continuación, ha sido difícil para las herramientas de gestión de redes obtener una información que, con el tiempo, esboce una imagen algo completa y precisa de una red.
La complejidad de las redes hace que la gestión de las redes sea costosa debido a que esta ha requerido de la intervención manual por parte de operadores humanos cualificados. La configuración y gestión de una red de IP grande ha sido difícil de automatizar. Esta necesidad de estrecha vigilancia humana ha llevado a muchos operadores a adoptar una política conservadora de preferir la estabilidad de red frente a la reconfiguración frecuente para optimizar el desempeño de la red. En consecuencia, otro problema en el campo de la gestión de redes ha sido que las redes de IP mantienen unas configuraciones de red subóptimas durante más tiempo del requerido, lo que conduce a un uso ineficiente de costosa capacidad de ancho de banda y a unas latencias de comunicación
25 potencialmente más altas de lo que de lo contrario sería posible. No se han adoptado de forma generalizada unas herramientas para gestión y configuración automatizada.
A pesar de que existen, de hecho, herramientas para gestión de redes, incluyendo la supervisión y el mantenimiento de las ACL, las herramientas no son sofisticadas y tienen muchas deficiencias. La mayor parte de las herramientas de gestión de redes simplemente descubren y sondean dispositivos de red en vivo para generar informes que contienen mapas, valores de contadores, promedios, áreas de tráfico elevado, etcétera. Las herramientas comunes tienden a ignorar las dinámicas globales del comportamiento de redes, concentrándose en unificar centralmente datos potencialmente conflictivos tomados localmente de dispositivos de red individuales. Las herramientas comunes no facilitan a un operador ejecutar una variedad de tareas potencialmente útiles tales como descubrir la
35 trayectoria que un conjunto particular de tráfico toma a través de la red, investigar el comportamiento de la red, investigar el comportamiento de la red en escenarios del tipo ¿qué pasaría si?, supervisar la evolución de la red a medida que tengan lugar fallos y recuperaciones o analizar el tráfico de la red según esté relacionado con aplicaciones o servicios particulares, etcétera.
Tal como se ha descrito en lo que antecede, ha habido intentos para medir el tráfico de red en ordenadores de usuario individuales, pero los datos de tráfico de ordenadores centrales ha sido de alcance limitado y en general no pueden revelar información relacionada con el flujo de tráfico a lo largo de trayectorias particulares en una red de IP. La medición de red de ordenador central o de sistema de extremo no proporciona información útil sobre la topología de la red. También hay herramientas que agregan datos de tráfico de IP en dispositivos de red como encaminadores
45 y conmutadores, por ejemplo, NetFlow® de Cisco Systems. No obstante, estas aproximaciones han probado ser inadecuadas por numerosas razones tales como tráfico opaco (por ejemplo, cifrado, tunelizado), patrones de comunicación de aplicación complejos, artefactos de muestreo, carga en encaminadores introducida por la supervisión, y otras.
Además, las técnicas conocidas para identificar virus son limitadas. Las técnicas conocidas en general buscan los efectos secundarios de los virus, tales como supervisar el uso de recursos de la red e identificar aplicaciones que solicitan una cantidad innaturalmente grande de recursos de la red. No obstante, puede ser difícil diferenciar entre los virus y aplicaciones legítimas que requieren una gran cantidad de recursos de red. Asimismo, los virus se están volviendo más inteligentes para evitar su detección. Por ejemplo, un virus puede permanecer latente en un sistema
55 por algún tiempo, esperando por una señal para iniciar. Por ejemplo, un virus malicioso puede permanecer latente hasta que se adquieren datos confidenciales. Por lo tanto, mientras el virus está esperando para actuar, sería difícil de detectar debido a que este produce unos efectos secundarios mínimos.
El documento US 2006/0282895 A1 divulga una técnica a la que se hace referencia como Rastreo de Sistemas Infectados que proporciona un mecanismo automatizado para crear y desplegar dinámicamente unos controles que reducen la difusión de soporte lógico malicioso usando, por ejemplo, un análisis heurístico.
El documento US 2005/0259654 A1 divulga un método que controla el acceso de un usuario a una red que incluye una pluralidad de ordenadores centrales acoplados entre sí a través de un conmutador de red. El método incluye 65 almacenar en el conmutador de red una lista de control de acceso potenciada que contiene datos en relación con al menos uno de nombres de usuario, nombres de DNS, nombres de dominio y direcciones físicas. Se genera una lista
de control de acceso dinámica a partir de la lista de control de acceso potenciada, con la lista de control de acceso dinámica conteniendo una pluralidad de direcciones de IP que restringen el acceso del usuario a la red.
El documento US 2007/0192862 A1 divulga un sistema y método para segregar de forma automática tráfico
5 perjudicial de otro tráfico en una pluralidad de nodos de red que incluyen conmutadores y encaminadores. El sistema comprende un sistema de detección de intrusiones para determinar la identidad de un intruso y un servidor adaptado para instalar de forma automática una regla de aislamiento sobre los uno o más nodos de red para poner en cuarentena paquetes procedentes del intruso.
Sumario de la invención
En respuesta a estas y otras necesidades, las realizaciones de la presente invención proporcionan un sistema y método para usar registros de flujo de red exportados de encaminadores de red para proporcionar información acerca del tráfico entrante/saliente del dispositivo. Los encaminadores de red se pueden configurar para autorizar o
15 denegar diversos tipos de tráfico de red entre dos dispositivos de red cuyo tráfico transite a través del encaminador. El método presentado describe la creación y aplicación de listas de control de acceso en el encaminador de información obtenida a partir de la información de flujo de red exportada por el encaminador de la red.
De acuerdo con un aspecto de la invención, se proporciona un sistema tal como se define en la reivindicación 1.
De acuerdo con otro aspecto de la invención, se proporciona un método tal como se define en la reivindicación 6.
En las reivindicaciones dependientes se exponen aspectos y características adicionales de la invención.
25 Un sistema proporciona controlar dinámicamente una red, incluyendo el sistema: un almacenamiento de registros de flujo configurado para recibir registros de flujo de la red y para agregar los registros de flujo; una herramienta de análisis de datos configurada para recibir los registros de flujo agregados y para analizar los registros de flujo agregados de acuerdo con criterios predefinidos para identificar uno o más direcciones y puertos de red, y un dispositivo de red configurado para recibir las direcciones de red identificadas y para añadir las direcciones y puertos de red identificados a una lista de control de acceso. Opcionalmente, el sistema incluye adicionalmente un almacenamiento de lista de control de acceso opcionalmente configurado para almacenar las direcciones y puertos de red identificados y para proporcionar las direcciones de red identificadas al dispositivo de red. Opcionalmente, cada uno de los registros de flujo incluye una dirección de origen y los registros de flujo se agregan de acuerdo con las direcciones de origen. De lo contrario, los registros de flujo incluyen un tamaño de byte transmitido en cada uno
35 de los flujos asociados, y en donde los criterios predefinidos incluyen el número total de bytes transmitidos en el flujo asociado para cada una de las direcciones de origen. Opcionalmente, un dispositivo de entrada de datos recibe una entrada de un usuario para definir los criterios predefinidos.
Los componentes en la red se pueden supervisar recibiendo registros de flujo de los componentes sobre el tráfico en una red. Los datos que definen criterios para el control de acceso se reciben opcionalmente, y los registros de flujo se analizan usando los criterios de control de acceso. Unas direcciones o rangos de red objetivo y de origen y/o puerto objetivo y de origen que cumplen con los criterios de control de acceso se identifican y presentan al usuario. El usuario puede revisar las direcciones o rangos identificados, y/o los puertos y optar por reenviar estos a uno de los componentes de red. Si se envían, el componente añade la dirección de red y/o el puerto de red identificado a
45 una lista de control de acceso asociada, previniendo la lista de control de acceso que el tráfico alcance la dirección de red y/o puerto identificado. Opcionalmente, los periodos de tiempo para cada lista de control de acceso pueden establecerse para permitir retirar las entradas de la ACL que entraron de forma automática.
De esta manera, la ACL son reglas de filtrado de tráfico aplicadas en un encaminador o en un servidor de seguridad. Existen dos clases de ACL, ACL Estándar que bloquean o permiten el tráfico solo por direcciones de IP de origen y ACL Extendidas que bloquean por dirección de IP de origen y de destino y por puerto de origen y de destino. En consecuencia, las realizaciones de la presente solicitud incluyen almacenar las direcciones y puertos identificados.
En un sistema para controlar dinámicamente el tráfico de red, el sistema incluye un dispositivo generador de flujo
55 configurado para acceder a un sistema de almacenamiento para proveer registros de flujo; un sistema de almacenamiento de registros de flujo configurado para recibir y almacenar los registros de flujo; y un dispositivo de análisis de datos configurado para acceder al sistema de almacenamiento y para evaluar los registros de flujo almacenados de acuerdo con criterios predefinidos. Si esos registros de flujo satisfacen los criterios predefinidos, esa dirección/puerto puede reenviarse a un usuario para que revise y apruebe que sea añadido en la ACL. Para ayudar al usuario, también se pueden presentar visualmente al usuario los datos del registro de flujo asociado con la dirección/puerto identificado.
En otra realización, las técnicas descritas en la presente invención describen un método para evaluar dirección/puertos en una ACL. En particular, registros de flujo asociados con una dirección/puertos en la ACL 65 pueden ser evaluados de acuerdo con criterios predefinidos. Si esos registros de flujo satisfacen los criterios predefinidos, esa dirección/puerto puede reenviarse a un usuario para revisión y aprobación para ser renovado en la
ACL. De otro modo, si esos registros de flujo no satisfacen los criterios predefinidos y la dirección/puerto puede reenviarse a un usuario para revisar y aprobar que se retire de la ACL.
Breve descripción de los dibujos
5 Los anteriores y otros objetos, características y ventajas de ciertas realizaciones a modo de ejemplo de la presente invención serán más evidentes a partir de la siguiente descripción tomada junto con los dibujos que la acompañan en los que:
10 La figura 1A muestra una red a modo de ejemplo de acuerdo con realizaciones de la red de la presente invención; La figura 1B (técnica anterior) muestra un sistema de análisis de registros de flujo conocido; La figura 2 (técnica anterior) muestra un registro de flujo a modo de ejemplo conocido; La figura 3 muestra una tabla a modo de ejemplo conocida para almacenar los registros de flujo de acuerdo con realizaciones de la presente invención;
15 La figura 4 muestra una tabla a modo de ejemplo para almacenar registros de flujo agregados de acuerdo con realizaciones de la presente invención; La figura 5 muestra un sistema para crear ACL usando los datos de flujo de acuerdo con realizaciones de la presente invención; La figura 6 es un diagrama de flujo de servicio que explica las comunicaciones entre un nodo de red, un sistema de
20 control de acceso, y un sistema de almacenamiento de registros de flujo de acuerdo con realizaciones de la presente invención; y La figura 7 es un diagrama de flujo que muestra las etapas en un método para crear ACL usando registros de flujo de acuerdo con realizaciones de la presente invención.
25 Descripción detallada de las realizaciones preferidas
Una red 100 de acuerdo con realizaciones de la presente invención se muestra en la figura 1A, en la que se muestra un diagrama de bloques que ilustra una vista de red de la presente invención, de acuerdo con una realización. Tal como se ilustra, los dispositivos cliente 108a -108n se acoplan a servidores 110a -110n a través del tejido de redes 30 112, el cual incluye un número de dispositivos de encaminamiento 106a -106n acoplados entre sí formando una pluralidad de enlaces de red. Dispositivos cliente 108a -108n, a través de los dispositivos de encaminamiento 106a 106n, o más específicamente, sobre enlaces de red formados por dispositivos de encaminamiento 106a -106n, accede a servidores selectivamente 110a -110n para servicios. Desafortunadamente, como apreciarían los expertos en la materia, los mismos enlaces de red que hacen a los servidores 110a -110n fácilmente accesibles a 35 dispositivos de cliente 108a -108n también los hace vulnerables al abuso o mal uso por uno o más de los dispositivos de cliente 108a-108n. Por ejemplo, uno o más dispositivos de cliente 108a -108n pueden comenzar, de forma individual o en combinación, un ataque, tal como un ataque de denegación de servicio, o abusar de otra manera de uno o más servidores 110a -110n, dispositivos de encaminamiento 106a -106b y/o los enlaces interconectando los elementos. De acuerdo con la presente invención, director 102, complementado por un número
40 de sensores 104a -104n, son empleados para detectar y prevenir dicho abuso o mal uso de los enlaces de red que serán descritos más extensamente a continuación. Para la realización ilustrada, los sensores 104a -104n están dispuestos en ubicaciones distribuidas. En realizaciones alternas, algunos o todos los sensores 104a -104n pueden ser dispuestos integralmente con dispositivos de encaminamiento 106a -106b.
45 La red 112 representa un extenso rango de redes tanto privadas como públicas o redes interconectadas, tales como una red de empresa o de una corporación multinacional, o Internet. Los nodos de redes, tales como los clientes 108a-108n y servidores 110a -110n representan un amplio rango de estos elementos conocidos en la técnica, incluyendo máquinas de usuario individual, sitios de comercio electrónico, y similares. Tal como se aludió antes, los dispositivos de encaminamiento 106a -106n representan un amplio rango de equipo de trafico de red, que incluye
50 pero no se limita a encaminadores convencionales, conmutadores, pasarelas, concentrador y similares.
Mientras que para facilitar la comprensión, solo un director 102, y un puñado, cada uno de nodos de red, clientes 108a -108n y servidores 110a -110n, dispositivos de encaminamiento 106a -106n y sensores 104a -104n se incluyen en la ilustración, de la descripción a seguir, los expertos en la técnica apreciarán que la presente invención 55 puede ponerse en práctica con más de un director 102 así como más o menos nodos de red, dispositivos de encaminamiento 106a -106ny sensores 104a -104n. En particular, la presente invención también se puede poner en práctica con uno o más directores 102. Cuando se emplea más de un director 102, a cada director 102 puede asignarse responsabilidad de un subconjunto de sensores 104a -104n, y los directores 102 pueden relacionarse entre sí en una relación maestro/esclavo, con uno de los directores 102 sirviendo como el “maestro” (y los otros
60 como “esclavo”), o como iguales uno del otro u organizados dentro de una jerarquía, para descarga colectiva de las responsabilidades descritas a continuación.
La operación del director 102 es descrito en mayor detalle a continuación y el director 102 incluye un sistema de conexión de datos de flujo y un dispositivo de control de acceso, tal como se describe más detalladamente a 65 continuación.
Tal como se muestra en la figura 1B, un sistema de análisis de uso de red 111 incluye un servidor de sistema de recolección de datos 130 y un sistema de almacenamiento de datos 140, en una realización. El servidor de sistema de recolección de datos 130, también llamado oyente, es un servidor central que recopila los datagramas de flujo 190 de todos los diferentes agentes de red 120 para almacenaje y análisis. El servidor de sistema de recolección de
5 datos 130 recibe registros de flujo 190 del dispositivo generador de registros de flujo 120, el cual es un dispositivo de red que es parte de una red de IP 114. En una realización, la red 114 incluye Internet 115.
En general, los dispositivos generadores de registros de flujo 120 pueden incluir sustancialmente cualquier dispositivo de red capaz de manejar tráfico en bruto de red en “líneas de velocidad” y generar registros de flujo de ese tráfico. Dispositivos de generación de registros de flujo 120 a modo de ejemplo incluyen encaminadores, conmutadores y pasarelas, y en algunos casos, puede incluir servidores de aplicaciones, sistemas, y sondas de red. En muchos casos, los registros de pequeños registros de flujo generados por dispositivos generadores de registros de flujo 120 se exportan como una cadena de registros de flujo 190 al servidor de sistema de recolección de datos
130.
15 Diversos protocolos de red corren en equipos de red para recopilar información del tráfico de red y del protocolo de Internet. Por lo general, diversos agentes de red 120, tales como encaminadores, tiene características de flujo habilitadas para generar registros de flujo. Los registros de flujo 190 se exportan por lo general del agente de red 120 en Protocolo de Datagramas de Usuario (UDP, User Datagram Protocol) o de paquetes de Protocolo de Transmisión de control de cadena (SCTP, Stream Control Transmission Protocol) y se recopilan usando un recopilador de flujo. Para mayor información, favor de referirse remitirse al estándar de Fuerza de Tarea de Ingeniería de Internet (IETF, Internet Engineering Task Force) para la exportación de información de flujo del Protocolo de Internet (IPFIX, Internet Protocol Flow Information eXport) en http://www.ietf.org/html.charters/ipfixcharter.html.
25 Tal como se ha descrito en lo que antecede, los registros de flujo 190 se envían usualmente por los agentes de red 120 a través de un UDP o SCTP, y por razones de eficiencia, los agentes de red 120 no almacenan registros de flujo una vez que ellos son exportados. Con un flujo UDP, si el registro de flujo 190 se cae debido a congestión de la red, entre el agente de red 120 y el servidor de recolección de datos 130, puede perderse para siempre debido a que no hay forma en que el agente de red 120 reenvíe el registro de flujo 190. El flujo puede ser habilitado también de una forma en función de la interfaz para evitar sobrecargar innecesariamente el procesador del encaminador. Por lo tanto, los registros de flujo 190 se basan en general en la entrada de paquetes a interfaces en las que está habilitado para evitar el doble conteo y para ahorrar trabajo para el agente de red 120. Asimismo, el agente de red 120 puede exportar un registro de flujo para paquetes caídos.
35 Los flujos de red han sido definidos de muchas maneras. En una implementación, un flujo incluye una tupla de 5: una secuencia unidireccional de paquetes para definir dirección de IP de origen, dirección de IP de destino, puerto de TCP de origen, puerto de TCP de destino y protocolo IP. Por lo general, el agente de red 120 arrojará un registro de flujo cuando determine que el flujo ha terminado. El agente de red 120 hace esto mediante “envejecimiento de flujo” reinicializando el agente de red 120 un contador de envejecimiento en el que el agente de red 120 observa nuevo tráfico para un flujo existente. Asimismo, la terminación de una sesión TCP en un flujo TCP causa que el agente de red 120 expire el flujo. EL agente de red 120 puede también ser configurado para arrojar un registro de flujo en un intervalo fijo aun si el flujo está todavía en marcha. Como alternativa, un administrador puede definir las propiedades del flujo en un agente de red 120.
45 Un registro de flujo 190 puede contener una amplia variedad de información sobre el tráfico en un flujo dado. Un registro de flujo a modo de ejemplo 200 contiene los siguientes valores, tal como se define en la figura 2. En particular, registros de flujo típicos 200 pueden incluir un número de versión 210 para identificar el tipo de flujo usado. Un número de secuencia 220 identifica el registro de flujo.
Continuando con la figura 2, se pueden usar índices 230 de protocolo de gestión de redes simple (SNMP, simple network management protocol) de interfaz de entrada y salida para identificar dinámicamente dispositivos de red a través del SNMP. El SNMP se usa por los sistemas de gestión de redes para supervisar dispositivos ligados a la red para condiciones que garanticen atención administrativa, y consiste en un conjunto de estándares para gestión de
55 redes, incluyendo un protocolo de capa de aplicaciones, un esquema de base de datos y un conjunto de objetos de datos. El SNMP expone los datos de gestión en la forma de variables en los sistemas gestionados, los cuales describen la configuración del sistema. Por lo tanto, estas variables pueden consultarse (y en ocasiones ajustarse o establecerse) por aplicaciones de gestión. Los dispositivos modulares pueden reenumerar sus índices de SNMP siempre que se añade o se retira soporte físico ranurado. Los valores de los índices son asignados por lo general en el tiempo de inicio y permanecen fijos hasta el siguiente reinicio.
Continuando con la figura 2, cada uno de los registros de flujo 200 incluye adicionalmente por lo general información sobre la transmisión de datos, incluyendo una marca de tiempo de los tiempos de inicio y de fin 240. Otra información en los datos de transmisión incluye información sobre el número de bytes y/o paquetes en un flujo 250.
65 Los condicionales de la transferencia de datos pueden incluirse también en el registro de flujo 200, tales como datos del encabezado 260 que describen las direcciones de origen y de destino, los números de puerto de las direcciones de origen y de destino, el protocolo de transmisión, y el tipo de servicio (ToS). Para el Protocolo de Control de Transmisión (TCP, Transmission Control Protocol), el registro de flujo 200 puede indicar adicionalmente la unión de todos los indicadores de TCP durante el flujo. Como bien se conoce del TCP, una transmisión de datos involucra una serie de confirmaciones de comunicaciones, por ejemplo, por pares de indicadores de reconocimientos (ACK).
5 Un desequilibrio de indicadores de TCP sugiere un fallo de mensaje, mediante lo cual un mensaje fue enviado y nunca recibido.
La falta de fiabilidad en el mecanismo de transporte UDP no afecta significativamente la precisión de las mediciones obtenidas de un flujo incluido en la muestra. Por ejemplo, si las muestras de flujo se pierden, entonces se enviarán nuevos valores cuando el siguiente intervalo de sondeo haya pasado. De esta forma, la pérdida de muestras de flujo de paquete es una ligera reducción en la tasa de muestreo efectivo. Cuando se emplea el muestreo, la carga útil de UDP contiene el datagrama de flujo muestreado. Por lo tanto, en lugar de incluir un registro de flujo entero 190 cada datagrama en su lugar proporciona información tal como la versión del flujo, su dirección de IP del agente originador, un número de secuencia, cuántas muestras contiene y las muestras de flujo.
15 Continuando con la figura 1B, el servidor de sistema de recolección de datos 130 recibe los registros de flujo encadenados 190 del dispositivo de generación de registros de flujo 120 a través de un enlace de comunicación 170. En una realización, el dispositivo de generación de registros de flujo 120 puede incluirse dentro de la red 114. En otra realización, el dispositivo de generación de registros de flujo 120 puede implementarse en una ubicación físicamente apartada, aunque funcionalmente acoplado a, la red 114. A pesar de que se muestra en la figura 1 como separado del servidor de sistema de recolección de datos 130, el dispositivo de generación de registros de flujo 120 puede ser una parte del servidor de sistema de análisis de datos 130, en otra realización.
Un servidor de sistema de análisis de datos 150 accede a, y usa, los registros de flujo 190 para realizar un análisis
25 estadístico del uso de red predeterminado. En general, el servidor de sistema de análisis de datos 150 implementa diversos modelos estadísticos que están definidos para resolver uno o más problemas relacionados con el uso de red, tales como congestión de la red, abuso de la seguridad de la red, fraude y robo, entre otros. El servidor de sistema de análisis de datos 150 usa registros de flujo 190 y los modelos estadísticos para generar un resultado estadístico, el cual también se puede almacenar subsecuentemente dentro de un sistema de almacenamiento de datos 140. Realizaciones a modo de ejemplo para almacenar el resultado estadístico serán descritas en más detalle a continuación. Analizando datos de flujo, el servidor de sistema de análisis de datos 150 puede construir una imagen del flujo del tráfico y del volumen de tráfico en una red. El solicitante del sistema de análisis de datos 150 es descrito en mayor detalle a continuación.
35 En un aspecto, el servidor de sistema de análisis de datos 150 puede ser sensible a una interfaz de usuario 160 para análisis interactivo de los registros de flujo 190. La interfaz de usuario 160 puede comprender sustancialmente cualquier dispositivo de entrada/salida conocido en la técnica, tales como un teclado, un ratón, un almohadilla táctil, una pantalla de presentación visual, etcétera. En un ejemplo, una pantalla o visualizador gráfico de los resultados estadísticos puede ser arrojado a una pantalla de presentación visual en una interfaz de usuario 160.
En una realización, el servidor de sistema de análisis de datos 150 comprende un programa de soporte lógico informático, el cual es ejecutable en uno o más ordenadores o servidores para analizar los datos de uso de la red de acuerdo con diversas realizaciones de la invención. A pesar de que el sistema de almacenamiento de datos 140 se muestra como externo al servidor de sistema de recolección de datos 130 y/o el servidor de sistema de análisis de
45 datos 150, el sistema de almacenamiento de datos 140 podría arreglarse, como alternativa, dentro de cualquiera de los servidores 130 y 150. El sistema de almacenamiento de datos 140 puede comprender sustancialmente cualquier memoria volátil (por ejemplo, RAM) o memoria no volátil (por ejemplo, una unidad de disco duro u otro dispositivo de almacenaje persistente) conocido en la técnica.
Refiriéndose ahora a la figura 3, se presenta una tabla a modo de ejemplo 300 para almacenar múltiples registros de flujo 200 en un dispositivo de almacenamiento 140. En particular, la tabla mostrada 300 incluye una columna que asigna un identificador de registro de flujo 310 para cada uno de los n registros de flujo recibidos 200. La tabla 300 también incluye una columna que contiene una dirección de IP de origen 320 para cada uno de los registros de flujo recibidos 200, una columna que contiene una marca de tiempo 330 para cada uno de los registros de flujo recibidos 55 200, y una columna que contiene un tamaño de byte 340 en los flujos asociados con los registros de flujo recibidos
200.
En el ejemplo de la figura 3, la tabla de flujo a modo de ejemplo 300 incluye siete registros de flujo que describen siete flujos, como se indica por el identificador de registro de flujo 310. En este particular ejemplo, los siete flujos fueron originados en tres únicas direcciones de origen 320. Por ejemplo, los registros de flujo 1, 2, 3, y 7 fueron todos originados de las mismas fuentes. A pesar de que no se muestran, la tabla de flujo a modo de ejemplo 300 podría similarmente incluir otros aspectos del registro de flujo 200, tal como se ha descrito en lo que antecede en la figura 2, tales como la ubicación de destino, QoS, protocolo de transmisión, etc. Continuando con la tabla de flujo a modo de ejemplo 300 en la figura 3, un valor de marca de tiempo 330 indica un tiempo asociado con cada uno de los
65 flujos y valor de tamaño de bytes 340 para indicar el tamaño de cada uno de los flujos asociados con los registros de flujo listados 1 -7 identificados en la columna 310.
5
15
25
35
45
55
65
Refiriéndose ahora a la figura 4, los datos en la tabla de datos de flujo a modo de ejemplo 300 se agregan en la tabla de flujo agregada 400 de acuerdo con la dirección de IP de origen 4240. Por lo general, la agregación es hecha sobre uno o más periodos de tiempo predefinidos. Por ejemplo, la tabla de flujo agregada 400 a modo de ejemplo incluye una columna que con el número agregado de registros de flujo 410 asociada con cada una de las direcciones de IP de origen 420 en la tabla 300. La tabla de flujo agregada 400 indica adicionalmente el total de tamaño de byte de los flujos para cada una de las direcciones de IP de origen 420 en la tabla 300. Aplicaciones de la tabla de flujo agregada 400 son descritas a continuación. Como con la tabla de registro de flujo 300, debería de apreciarse que los registros de flujo 190 se pueden agregar según se desee, por ejemplo de acuerdo con una o más de las categorías de registros de flujo descritas en el registro de flujo a modo de ejemplo 200 en la figura 2.
Refiriéndose ahora a la figura 7, se describe ahora un método de control de acceso 700 de acuerdo con realizaciones de la presente invención. En la etapa 710, el tráfico en los componentes de red son supervisores de acuerdo con técnicas conocidas, tal como se ha descrito en lo que antecede, y registros de flujo se recopilan en la etapa 720. Por lo general, las etapas 710 y 720 se pueden ejecutar usando las funcionalidades ya incluidas en muchos componentes de red, tales como encaminadores, concentrador, servidores, etc. y se pueden usar para recopilar y almacenar un registro de flujo, tal como la tabla de registro de flujo a modo de ejemplo 300. Los registros de flujo recopilados de la etapa 720 son analizados en la etapa 730. Por ejemplo, los registros de flujo se pueden agregar, tal como la formación de una tabla de registros de flujo agregados 400 descrita en lo que antecede.
Continuando con el método de control de acceso 700, las condiciones de control de acceso se definen en la etapa
740. Las condiciones de control de acceso previamente definidas por omisión se pueden usar para evaluar a los registros de flujo. Por ejemplo, direcciones o puertos asociados con un cierto porcentaje o cantidad de tráfico pueden identificarse. Por ejemplo, el acceso se puede limitar para las direcciones de IP de origen 420 basándose en el mayor número de transacciones 410, tiempos de los 330, o la mayor cantidad de datos transferidos 430. Estos criterios pueden ser objetivos tales como establecer un máximo umbral para ciertos criterios, o subjetivo basándose en clasificaciones de los criterios por la dirección de IP o puerto de origen o de destino con los mayores o más frecuentes consumidores de recursos de red (u otros criterios). Opcionalmente, los criterios pueden ser proporcionados por un usuario.
La dirección de IP de origen u objetivo y/o el puerto que cumple con estos criterios puede ser identificada en la etapa 750 usando simple lógica. En la etapa 760, la dirección de IP de origen o de destino identificada y/o identificadores de puerto pueden presentarse a un usuario. Estas direcciones de IP de origen (u otros identificadores de dispositivos) para los dispositivos de red identificados pueden entonces colocarse en una ACL en la etapa 770 para solicitar dispositivos de red para ignorar o de otra manera denegar el transmitir tráfico asociado con puertos/direcciones identificados, si son aprobados por un usuario.
Refiriéndose ahora a la figura 5, un sistema de control de acceso 500 de acuerdo con realizaciones de la presente invención es ahora descrita. Tal como se ha descrito en lo que antecede, un sistema de almacenamiento de datos de flujo 140 puede recibir los registros de flujo en bruto 190. El sistema de almacenamiento de datos de flujo 140 puede agregar los registros de flujo 190, tal como se ha descrito en lo que antecede, en diversas maneras conocidas para alcanzar las metas de sistema o los registros de flujo se pueden almacenar en una forma en bruto. La herramienta de análisis de datos 150 puede acceder a, y evaluar, los registros de flujo de acuerdo con criterios recibidos y/o definidos a través de la interfaz de usuario 160 para definir direcciones/puertos de red para añadirse a las ACL. De manera similar, debería apreciarse que los puertos/direcciones que no cumplen con los criterios predefinidos sobre un periodo de tiempo pueden ser también identificados de forma automática y sugerir al usuario retirarlos de las ACL. Por lo general, cualquier dirección en los registros de flujo o direcciones en la ACL identificados dinámicamente de acuerdo con criterios predefinidos se reenvía a la interfaz de usuario para ser revisado por un administrador. El administrador puede entonces aprobar la adición/remoción del puerto/dirección identificado de la ACL.
Las ACL 590 en un dispositivo de red 520 u, opcionalmente, se pueden almacenar en un sistema de almacenamiento de ACL 530 y reenviar a cualquier dispositivo de red 520 que recibe tráfico a través de las LAN 510
o Internet 115. El dispositivo de red 520 por lo general deniega reenviar cualquier tráfico asociado con un dispositivo identificado en la ACL o bien en el dispositivo 520 o bien en el almacenamiento de ACL opcional 530. Es decir, el tráfico destinado a y/u originándose de una dirección en la ACL llega al dispositivo 520 y no se reenvía a través de las redes 510, 115. Cuando las comunicaciones del tráfico caducan, la comunicación se retira del almacenamiento y nunca alcanza un destino indicado.
Refiriéndose ahora al diagrama de flujo de servicio 600 en la figura 6, un nodo de red 610 puede reenviar informes de flujo 650 que describen el tráfico de red a un sistema de supervisión de red 620. Tal como se ha descrito en lo que antecede, el sistema de supervisión de red 620 puede recopilar y almacenar los registros de flujo 650. Puede accederse a los registros de flujo almacenados 660 por un sistema de control de acceso 630 que evalúa los registros de flujo almacenados 660 de acuerdo con criterios predefinidos para identificar de forma automática direcciones/puertos de red. Las direcciones identificadas se reenvían a una interfaz de usuario 640 para ser revisados. Si la dirección/puerto identificado es aceptado por el usuario, la dirección/puerto puede ser enviado al nodo de red 610 como datos de actualización de ACL 680 para implementación del ACL.
Aunque la invención ha sido descrita con referencia a unas realizaciones a modo de ejemplo, diversas adiciones, supresiones, sustituciones u otras modificaciones pueden hacerse sin apartarse del alcance de la invención. En consecuencia, no debe considerarse que la invención se limita por la descripción anterior, sino que solo está limitada por el alcance de las reivindicaciones adjuntas.
Claims (9)
-
imagen1 REIVINDICACIONES1. Un sistema (500) para controlar dinámicamente comunicaciones de redes, comprendiendo el sistema:5 un dispositivo de red (520) configurado para recibir tráfico de red y para producir una pluralidad de registros de flujo que describen dicho tráfico de red; y un almacenamiento de registro de flujo (140) configurado para recibir dichos registros de flujo de dicho dispositivo de red (520) y para almacenar dichos registros de flujo; caracterizado por una herramienta de análisis de datos (150) configurada para acceder al almacenamiento de registro de flujo (140)10 para recuperar dichos registros de flujo almacenados y para evaluar cada uno de dichos registros de flujo de acuerdo con criterios predefinidos para identificar dinámicamente una dirección, en el que la herramienta de análisis de datos está configurada adicionalmente para implementar modelos estadísticos configurados para resolver problemas relacionados con el uso de red, y en el que la herramienta de análisis de datos usa los registros de flujo y modelos estadísticos para generar un resultado estadístico que se almacena entonces en el almacenamiento de15 registros de flujo; en el que cada uno de dicha pluralidad de registros de flujo comprende al menos uno de una dirección de nodo de origen, una dirección de nodo de destino, una dirección de puerto de origen y una dirección de puerto de destino, en el que dichos registros de flujo comprenden un tamaño de byte transmitido en cada flujo asociado, y en el que los criterios predefinidos comprenden el número total de bytes transmitidos en el flujo asociado para cada una de las20 direcciones de nodo o de puerto, en el que el dispositivo de red (520) está configurado para recibir dicha dirección identificada y para añadir dicha dirección identificada a una lista de control de acceso. - 2. El sistema de la reivindicación 1, que comprende adicionalmente un almacenamiento de lista de control de acceso25 (530) configurado para almacenar dicha dirección identificada y para proporcionar dicha dirección identificada al dispositivo de red (520).
- 3. El sistema de la reivindicación 1, en el que dichos registros de flujo se agregan de acuerdo con dichas direccionesde nodo y/o de puerto. 30
- 4. El sistema de la reivindicación 1, que comprende adicionalmente un dispositivo de entrada/salida (160) configurado para presentar visualmente a un usuario dicha dirección identificada recibida de la herramienta de análisis de datos (150), y en el que la herramienta de análisis de datos está configurada para reenviar la dirección identificada al dispositivo de red (520) para que se añada a la lista de control de acceso solo si el usuario35 proporciona una entrada para aceptar la dirección identificada.
- 5. El sistema de la reivindicación 1, en el que el dispositivo de entrada/salida (160) adicionalmente adquiere y presenta visualmente datos de registros de flujo asociados con dicha dirección identificada.40 6. Un método para gestionar redes que comprende:supervisar (710) tráfico a través de componentes en la red; recibir (720) registros de flujo de dichos componentes que describen dicho tráfico; caracterizado por analizar (730) los registros de flujo e identificar una dirección que cumple con un criterio previamente definido, en el45 que el criterio previamente definido comprende un número total máximo de bytes asociados con una dirección; y reenviar la dirección identificada a uno de los componentes de red, en el que dicho componente añade la dirección de red identificada a una lista de control de acceso asociada, en el que dicha lista de control de acceso dirige el componente para evitar el reenvío de tráfico asociado con dicha dirección identificada.50 7. El método de la reivindicación 6, en el que dicha dirección identificada se retira de forma automática de la lista de control de acceso después de un periodo de tiempo previamente definido.
- 8. El método de la reivindicación 6, en el que dicha dirección identifica al menos uno de un nodo de origen, un nodode destino, un puerto de origen y un puerto de destino. 55
-
- 9.
- El método de la reivindicación 8, en el que dicha dirección identifica un nodo de origen.
-
- 10.
- El método de la reivindicación 6, que comprende adicionalmente presentar visualmente (760) a un usuario dicha
dirección identificada, y mediante lo cual el reenvío de la dirección identificada tiene lugar después de que el usuario 60 apruebe la dirección identificada. - 11. El método de la reivindicación 10, que comprende adicionalmente presentar visualmente al usuario datos de registros de flujo asociados con dicha dirección identificada.10
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/000,910 US8295198B2 (en) | 2007-12-18 | 2007-12-18 | Method for configuring ACLs on network device based on flow information |
| US910 | 2007-12-18 | ||
| PCT/US2008/013694 WO2009082439A1 (en) | 2007-12-18 | 2008-12-12 | Method for configuring acls on network device based on flow information |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2574788T3 true ES2574788T3 (es) | 2016-06-22 |
Family
ID=40566153
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES08863780.6T Active ES2574788T3 (es) | 2007-12-18 | 2008-12-12 | Método para configurar ACL en dispositivo de red basándose en información de flujo |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US8295198B2 (es) |
| EP (1) | EP2241058B1 (es) |
| JP (1) | JP5520231B2 (es) |
| CN (1) | CN101933290B (es) |
| AU (1) | AU2008341099B2 (es) |
| BR (1) | BRPI0821370B1 (es) |
| CA (1) | CA2709973C (es) |
| DK (1) | DK2241058T3 (es) |
| ES (1) | ES2574788T3 (es) |
| MX (1) | MX2010006846A (es) |
| PL (1) | PL2241058T3 (es) |
| WO (1) | WO2009082439A1 (es) |
Families Citing this family (87)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090240802A1 (en) * | 2008-03-18 | 2009-09-24 | Hewlett-Packard Development Company L.P. | Method and apparatus for self tuning network stack |
| US8589541B2 (en) | 2009-01-28 | 2013-11-19 | Headwater Partners I Llc | Device-assisted services for protecting network capacity |
| US9565707B2 (en) | 2009-01-28 | 2017-02-07 | Headwater Partners I Llc | Wireless end-user device with wireless data attribution to multiple personas |
| US10237757B2 (en) | 2009-01-28 | 2019-03-19 | Headwater Research Llc | System and method for wireless network offloading |
| US12452377B2 (en) | 2009-01-28 | 2025-10-21 | Headwater Research Llc | Service design center for device assisted services |
| US10326800B2 (en) | 2009-01-28 | 2019-06-18 | Headwater Research Llc | Wireless network service interfaces |
| US12389218B2 (en) | 2009-01-28 | 2025-08-12 | Headwater Research Llc | Service selection set publishing to device agent with on-device service selection |
| US11985155B2 (en) | 2009-01-28 | 2024-05-14 | Headwater Research Llc | Communications device with secure data path processing agents |
| US12543031B2 (en) | 2009-01-28 | 2026-02-03 | Headwater Research Llc | Adapting network policies based on device service processor configuration |
| US9572019B2 (en) | 2009-01-28 | 2017-02-14 | Headwater Partners LLC | Service selection set published to device agent with on-device service selection |
| US8588056B1 (en) * | 2009-04-15 | 2013-11-19 | Sprint Communications Company L.P. | Elimination of unwanted packets entering a restricted bandwidth network |
| JP2010287189A (ja) * | 2009-06-15 | 2010-12-24 | Canon Inc | 情報処理装置、その制御方法、及びプログラム |
| US8989705B1 (en) | 2009-06-18 | 2015-03-24 | Sprint Communications Company L.P. | Secure placement of centralized media controller application in mobile access terminal |
| US20110085444A1 (en) * | 2009-10-13 | 2011-04-14 | Brocade Communications Systems, Inc. | Flow autodetermination |
| CA2724251C (en) * | 2010-12-22 | 2012-05-15 | Guest Tek Interactive Entertainment Ltd. | System and method for aggregate monitoring of user-based groups of private computer networks |
| US8432907B2 (en) * | 2010-12-29 | 2013-04-30 | Konica Minolta Laboratory U.S.A., Inc. | Method and system having an application for a run time IPv6 only network |
| US20120275311A1 (en) * | 2011-04-29 | 2012-11-01 | Tektronix, Inc. | Automatic Network Topology Detection and Modeling |
| US9002890B2 (en) | 2012-03-14 | 2015-04-07 | International Business Machines Corporation | Rule-based access control list management |
| US9027102B2 (en) | 2012-05-11 | 2015-05-05 | Sprint Communications Company L.P. | Web server bypass of backend process on near field communications and secure element chips |
| US9282898B2 (en) | 2012-06-25 | 2016-03-15 | Sprint Communications Company L.P. | End-to-end trusted communications infrastructure |
| US9066230B1 (en) | 2012-06-27 | 2015-06-23 | Sprint Communications Company L.P. | Trusted policy and charging enforcement function |
| US8649770B1 (en) | 2012-07-02 | 2014-02-11 | Sprint Communications Company, L.P. | Extended trusted security zone radio modem |
| US8667607B2 (en) | 2012-07-24 | 2014-03-04 | Sprint Communications Company L.P. | Trusted security zone access to peripheral devices |
| US9503327B2 (en) | 2012-07-24 | 2016-11-22 | Nec Corporation | Filtering setting support device, filtering setting support method, and medium |
| US9183412B2 (en) | 2012-08-10 | 2015-11-10 | Sprint Communications Company L.P. | Systems and methods for provisioning and using multiple trusted security zones on an electronic device |
| US9015068B1 (en) | 2012-08-25 | 2015-04-21 | Sprint Communications Company L.P. | Framework for real-time brokering of digital content delivery |
| US8954588B1 (en) * | 2012-08-25 | 2015-02-10 | Sprint Communications Company L.P. | Reservations in real-time brokering of digital content delivery |
| US9215180B1 (en) | 2012-08-25 | 2015-12-15 | Sprint Communications Company L.P. | File retrieval in real-time brokering of digital content |
| US20140149572A1 (en) * | 2012-11-28 | 2014-05-29 | Microsoft Corporation | Monitoring and diagnostics in computer networks |
| US9161227B1 (en) | 2013-02-07 | 2015-10-13 | Sprint Communications Company L.P. | Trusted signaling in long term evolution (LTE) 4G wireless communication |
| US9578664B1 (en) | 2013-02-07 | 2017-02-21 | Sprint Communications Company L.P. | Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system |
| CN104009917B (zh) * | 2013-02-21 | 2017-06-16 | 北京华为数字技术有限公司 | 配置acl规则的方法和设备 |
| US9104840B1 (en) | 2013-03-05 | 2015-08-11 | Sprint Communications Company L.P. | Trusted security zone watermark |
| US9613208B1 (en) | 2013-03-13 | 2017-04-04 | Sprint Communications Company L.P. | Trusted security zone enhanced with trusted hardware drivers |
| US9049013B2 (en) | 2013-03-14 | 2015-06-02 | Sprint Communications Company L.P. | Trusted security zone containers for the protection and confidentiality of trusted service manager data |
| US9049186B1 (en) | 2013-03-14 | 2015-06-02 | Sprint Communications Company L.P. | Trusted security zone re-provisioning and re-use capability for refurbished mobile devices |
| US9374363B1 (en) | 2013-03-15 | 2016-06-21 | Sprint Communications Company L.P. | Restricting access of a portable communication device to confidential data or applications via a remote network based on event triggers generated by the portable communication device |
| US9191388B1 (en) | 2013-03-15 | 2015-11-17 | Sprint Communications Company L.P. | Trusted security zone communication addressing on an electronic device |
| US8984592B1 (en) | 2013-03-15 | 2015-03-17 | Sprint Communications Company L.P. | Enablement of a trusted security zone authentication for remote mobile device management systems and methods |
| US9021585B1 (en) | 2013-03-15 | 2015-04-28 | Sprint Communications Company L.P. | JTAG fuse vulnerability determination and protection using a trusted execution environment |
| US9324016B1 (en) | 2013-04-04 | 2016-04-26 | Sprint Communications Company L.P. | Digest of biographical information for an electronic device with static and dynamic portions |
| US9454723B1 (en) | 2013-04-04 | 2016-09-27 | Sprint Communications Company L.P. | Radio frequency identity (RFID) chip electrically and communicatively coupled to motherboard of mobile communication device |
| US9171243B1 (en) | 2013-04-04 | 2015-10-27 | Sprint Communications Company L.P. | System for managing a digest of biographical information stored in a radio frequency identity chip coupled to a mobile communication device |
| US9060296B1 (en) | 2013-04-05 | 2015-06-16 | Sprint Communications Company L.P. | System and method for mapping network congestion in real-time |
| US9838869B1 (en) | 2013-04-10 | 2017-12-05 | Sprint Communications Company L.P. | Delivering digital content to a mobile device via a digital rights clearing house |
| US9443088B1 (en) | 2013-04-15 | 2016-09-13 | Sprint Communications Company L.P. | Protection for multimedia files pre-downloaded to a mobile device |
| US9069952B1 (en) | 2013-05-20 | 2015-06-30 | Sprint Communications Company L.P. | Method for enabling hardware assisted operating system region for safe execution of untrusted code using trusted transitional memory |
| US9560519B1 (en) | 2013-06-06 | 2017-01-31 | Sprint Communications Company L.P. | Mobile communication device profound identity brokering framework |
| US9183606B1 (en) | 2013-07-10 | 2015-11-10 | Sprint Communications Company L.P. | Trusted processing location within a graphics processing unit |
| US9680916B2 (en) * | 2013-08-01 | 2017-06-13 | Flowtraq, Inc. | Methods and systems for distribution and retrieval of network traffic records |
| US9208339B1 (en) | 2013-08-12 | 2015-12-08 | Sprint Communications Company L.P. | Verifying Applications in Virtual Environments Using a Trusted Security Zone |
| US9185626B1 (en) | 2013-10-29 | 2015-11-10 | Sprint Communications Company L.P. | Secure peer-to-peer call forking facilitated by trusted 3rd party voice server provisioning |
| US9191522B1 (en) | 2013-11-08 | 2015-11-17 | Sprint Communications Company L.P. | Billing varied service based on tier |
| US9161325B1 (en) | 2013-11-20 | 2015-10-13 | Sprint Communications Company L.P. | Subscriber identity module virtualization |
| US9118655B1 (en) | 2014-01-24 | 2015-08-25 | Sprint Communications Company L.P. | Trusted display and transmission of digital ticket documentation |
| US9226145B1 (en) | 2014-03-28 | 2015-12-29 | Sprint Communications Company L.P. | Verification of mobile device integrity during activation |
| US20150381737A1 (en) * | 2014-06-30 | 2015-12-31 | Davra Networks Limited | Gateway device and a gateway system for an internet-of-things environment |
| US9230085B1 (en) | 2014-07-29 | 2016-01-05 | Sprint Communications Company L.P. | Network based temporary trust extension to a remote or mobile device enabled via specialized cloud services |
| US9998341B2 (en) * | 2015-01-09 | 2018-06-12 | Lg Cns Co., Ltd. | Method of constructing data collector, server performing the same and storage medium for the same |
| US9779232B1 (en) | 2015-01-14 | 2017-10-03 | Sprint Communications Company L.P. | Trusted code generation and verification to prevent fraud from maleficent external devices that capture data |
| US9838868B1 (en) | 2015-01-26 | 2017-12-05 | Sprint Communications Company L.P. | Mated universal serial bus (USB) wireless dongles configured with destination addresses |
| US9497165B2 (en) * | 2015-03-26 | 2016-11-15 | International Business Machines Corporation | Virtual firewall load balancer |
| US9473945B1 (en) | 2015-04-07 | 2016-10-18 | Sprint Communications Company L.P. | Infrastructure for secure short message transmission |
| US9819679B1 (en) | 2015-09-14 | 2017-11-14 | Sprint Communications Company L.P. | Hardware assisted provenance proof of named data networking associated to device data, addresses, services, and servers |
| US10282719B1 (en) | 2015-11-12 | 2019-05-07 | Sprint Communications Company L.P. | Secure and trusted device-based billing and charging process using privilege for network proxy authentication and audit |
| US9817992B1 (en) | 2015-11-20 | 2017-11-14 | Sprint Communications Company Lp. | System and method for secure USIM wireless network access |
| US10148690B2 (en) * | 2015-12-21 | 2018-12-04 | Symantec Corporation | Accurate real-time identification of malicious BGP hijacks |
| CN105975852A (zh) * | 2015-12-31 | 2016-09-28 | 武汉安天信息技术有限责任公司 | 一种基于标签传播的样本关联性检测方法及系统 |
| US10270778B2 (en) * | 2016-03-21 | 2019-04-23 | Google Llc | Methods and systems for dynamic creation of access control lists |
| EP3276891B1 (en) * | 2016-07-29 | 2019-02-27 | Deutsche Telekom AG | Techniques for establishing a communication connection between two network entities via different network flows |
| US10263835B2 (en) * | 2016-08-12 | 2019-04-16 | Microsoft Technology Licensing, Llc | Localizing network faults through differential analysis of TCP telemetry |
| CN107786497B (zh) * | 2016-08-25 | 2020-04-14 | 华为技术有限公司 | 生成acl表的方法和装置 |
| US12058015B2 (en) * | 2016-10-21 | 2024-08-06 | Forward Networks, Inc. | Systems and methods for an interactive network analysis platform |
| US10499249B1 (en) | 2017-07-11 | 2019-12-03 | Sprint Communications Company L.P. | Data link layer trust signaling in communication network |
| CN114070537A (zh) * | 2017-08-31 | 2022-02-18 | 华为技术有限公司 | 信息传输方法及网络设备 |
| US10887231B2 (en) * | 2018-05-18 | 2021-01-05 | Juniper Networks, Inc. | Packet fragment forwarding without reassembly |
| KR102661806B1 (ko) * | 2018-11-27 | 2024-04-30 | 삼성전자주식회사 | 디스플레이 장치의 제어 방법 및 그에 따른 디스플레이 장치 |
| US20210336960A1 (en) * | 2018-12-10 | 2021-10-28 | Drivenets Ltd. | A System and a Method for Monitoring Traffic Flows in a Communications Network |
| CN110365807A (zh) * | 2019-06-11 | 2019-10-22 | 北京邮电大学 | 一种基于地址翻译的网络会话流量对准方法 |
| US11451585B2 (en) | 2019-11-13 | 2022-09-20 | Juniper Networks, Inc. | Anti-spoof check of IPv4-in-IPv6 fragments without reassembly |
| EP3873034B1 (de) * | 2020-02-28 | 2024-08-28 | Siemens Aktiengesellschaft | Verfahren und system zur erfassung von datenverkehr in einem kommunikationsnetz |
| US11165701B1 (en) | 2020-03-31 | 2021-11-02 | Juniper Networks, Inc. | IPV6 flow label for stateless handling of IPV4-fragments-in-IPV6 |
| US11570283B1 (en) | 2020-07-20 | 2023-01-31 | Juniper Networks, Inc. | IPv6 extension header for stateless handling of fragments in IPv6 |
| US11695773B2 (en) * | 2020-09-28 | 2023-07-04 | Salesforce, Inc. | Distributing dynamic access control lists for managing interactions with a cloud datacenter |
| CN113438245B (zh) * | 2021-06-29 | 2023-04-07 | 新华三信息安全技术有限公司 | 一种信息更新、报文安全性检测方法及装置 |
| US12495042B2 (en) * | 2021-08-16 | 2025-12-09 | Capital One Services, Llc | Systems and methods for resetting an authentication counter |
| KR102633150B1 (ko) * | 2021-09-15 | 2024-02-02 | 네이버클라우드 주식회사 | 임의 반출이 통제된 데이터 분석 환경을 제공하는 방법, 컴퓨터 시스템, 및 컴퓨터 프로그램 |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7380272B2 (en) * | 2000-05-17 | 2008-05-27 | Deep Nines Incorporated | System and method for detecting and eliminating IP spoofing in a data transmission network |
| US7120931B1 (en) * | 2000-08-31 | 2006-10-10 | Cisco Technology, Inc. | System and method for generating filters based on analyzed flow data |
| JP2002124996A (ja) * | 2000-10-13 | 2002-04-26 | Yoshimi Baba | 高速パケット取得エンジン・セキュリティ |
| US20040054925A1 (en) * | 2002-09-13 | 2004-03-18 | Cyber Operations, Llc | System and method for detecting and countering a network attack |
| JP4520703B2 (ja) * | 2003-03-31 | 2010-08-11 | 富士通株式会社 | 不正アクセス対処システム、及び不正アクセス対処処理プログラム |
| JP2004328307A (ja) * | 2003-04-24 | 2004-11-18 | Mitsubishi Electric Corp | 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 |
| JP3730642B2 (ja) * | 2003-07-24 | 2006-01-05 | 株式会社東芝 | 攻撃パケット検出装置及び方法 |
| JP2005197823A (ja) * | 2003-12-26 | 2005-07-21 | Fujitsu Ltd | ファイアウォールとルータ間での不正アクセス制御装置 |
| JP2005210601A (ja) * | 2004-01-26 | 2005-08-04 | Nippon Telegr & Teleph Corp <Ntt> | 不正侵入検知装置 |
| US7623518B2 (en) * | 2004-04-08 | 2009-11-24 | Hewlett-Packard Development Company, L.P. | Dynamic access control lists |
| US20070192862A1 (en) * | 2004-05-12 | 2007-08-16 | Vincent Vermeulen | Automated containment of network intruder |
| US7725708B2 (en) * | 2004-10-07 | 2010-05-25 | Genband Inc. | Methods and systems for automatic denial of service protection in an IP device |
| US20060242694A1 (en) * | 2004-11-08 | 2006-10-26 | Jeffrey Gold | Mitigation and mitigation management of attacks in networked systems |
| JP4480604B2 (ja) * | 2005-03-08 | 2010-06-16 | 株式会社野村総合研究所 | 電子メールの送信方向判別システム及び判別プログラム |
| JP2006352831A (ja) * | 2005-05-20 | 2006-12-28 | Alaxala Networks Corp | ネットワーク制御装置およびその制御方法 |
| US7606801B2 (en) * | 2005-06-07 | 2009-10-20 | Varonis Inc. | Automatic management of storage access control |
| JP2006345268A (ja) * | 2005-06-09 | 2006-12-21 | Matsushita Electric Ind Co Ltd | パケットフィルタ回路及びパケットフィルタ方法 |
| US7617535B2 (en) * | 2005-06-10 | 2009-11-10 | Intel Corporation | Infected electronic system tracking |
| GB2428533B (en) * | 2005-06-24 | 2007-08-22 | Hewlett Packard Development Co | Determining data flows in a network |
| CN100433715C (zh) * | 2005-08-19 | 2008-11-12 | 华为技术有限公司 | 给数据流提供不同的服务质量策略的方法 |
| US20070055789A1 (en) * | 2005-09-08 | 2007-03-08 | Benoit Claise | Method and apparatus for managing routing of data elements |
| JP4267633B2 (ja) * | 2006-02-27 | 2009-05-27 | 株式会社日立製作所 | ネットワークシステム及びトラヒック情報集約装置 |
| US8228908B2 (en) * | 2006-07-11 | 2012-07-24 | Cisco Technology, Inc. | Apparatus for hardware-software classification of data packet flows |
-
2007
- 2007-12-18 US US12/000,910 patent/US8295198B2/en active Active
-
2008
- 2008-12-12 EP EP08863780.6A patent/EP2241058B1/en active Active
- 2008-12-12 JP JP2010539443A patent/JP5520231B2/ja active Active
- 2008-12-12 CA CA2709973A patent/CA2709973C/en active Active
- 2008-12-12 BR BRPI0821370-4A patent/BRPI0821370B1/pt active IP Right Grant
- 2008-12-12 AU AU2008341099A patent/AU2008341099B2/en active Active
- 2008-12-12 MX MX2010006846A patent/MX2010006846A/es active IP Right Grant
- 2008-12-12 DK DK08863780.6T patent/DK2241058T3/en active
- 2008-12-12 ES ES08863780.6T patent/ES2574788T3/es active Active
- 2008-12-12 WO PCT/US2008/013694 patent/WO2009082439A1/en not_active Ceased
- 2008-12-12 PL PL08863780.6T patent/PL2241058T3/pl unknown
- 2008-12-12 CN CN200880125889.9A patent/CN101933290B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP5520231B2 (ja) | 2014-06-11 |
| CN101933290A (zh) | 2010-12-29 |
| BRPI0821370B1 (pt) | 2020-09-24 |
| CN101933290B (zh) | 2014-04-16 |
| BRPI0821370A2 (pt) | 2015-06-16 |
| CA2709973C (en) | 2016-07-12 |
| JP2011507453A (ja) | 2011-03-03 |
| AU2008341099B2 (en) | 2013-08-01 |
| US8295198B2 (en) | 2012-10-23 |
| DK2241058T3 (en) | 2016-07-18 |
| EP2241058B1 (en) | 2016-04-06 |
| EP2241058A1 (en) | 2010-10-20 |
| CA2709973A1 (en) | 2009-07-02 |
| PL2241058T3 (pl) | 2016-10-31 |
| AU2008341099A1 (en) | 2009-07-02 |
| US20090154348A1 (en) | 2009-06-18 |
| MX2010006846A (es) | 2010-12-20 |
| WO2009082439A1 (en) | 2009-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2574788T3 (es) | Método para configurar ACL en dispositivo de red basándose en información de flujo | |
| US10728117B1 (en) | Systems and methods for improving digital user experience | |
| US10972437B2 (en) | Applications and integrated firewall design in an adaptive private network (APN) | |
| US7500014B1 (en) | Network link state mirroring | |
| US7742406B1 (en) | Coordinated environment for classification and control of network traffic | |
| US10135841B2 (en) | Integrated security system having threat visualization and automated security device control | |
| US9876672B2 (en) | Network operating system for managing and securing networks | |
| US7664048B1 (en) | Heuristic behavior pattern matching of data flows in enhanced network traffic classification | |
| US9584531B2 (en) | Out-of band IP traceback using IP packets | |
| US7774456B1 (en) | Methods, apparatuses and systems facilitating classification of web services network traffic | |
| US20080316922A1 (en) | Data and Control Plane Architecture Including Server-Side Triggered Flow Policy Mechanism | |
| Lara et al. | OpenSec: A framework for implementing security policies using OpenFlow | |
| Ibrahim et al. | A secure mechanism to prevent ARP spoofing and ARP broadcasting in SDN | |
| WO2021083324A1 (zh) | 一种信息上报方法、数据处理方法及装置 | |
| Schindler et al. | IPv6 network attack detection with HoneydV6 | |
| Nagy | Automation of DDoS Attack Mitigation | |
| Treseangrat | Performance analysis of defense mechanisms against UDP flood attacks | |
| AU2018203193A1 (en) | Network operating system for managing and securing networks | |
| Vordos | Mitigating distributed denial of service attacks with Multiprotocol Label Switching--Traffic Engineering (MPLS-TE) | |
| Crawford | Creating a distributed network traffic analyser | |
| Krejčí | Network Traffic Collection with IPFIX Protocol | |
| Žádník | Network monitoring based on ip data flows | |
| CN115462048A (zh) | 分布式网络流记录 | |
| Scarlato | Network Monitoring in Software Defined Networking | |
| Zack | IPv6 Network Attack Detection with HoneydV6 |