ネットワーク・トラフィックのセキュリティのための方法およびシステム
【課題】本発明は、ネットワークのネットワーク・リソースを監視する適応ネットワーキングの方法およびそのためのシステムを提供する。
【解決手法】本願方法発明は、ネットワーク内のトラフィックを使用することによってユーザを自動的に発見するステップと、ユーザに関連するアプリケーションのパフォーマンスを監視するステップと、アプリケーションのパフォーマンスを査定するステップと、トラフィックを制御することを備える。本願システム発明は、適応ネットワーキングのためのシステムであって、複数のサブセットを備えるトラフィックであって、第1のサブセットが疑わしいトラフィックを含むトラフィックと、トラフィック用のリソースと、トラフィックを受信するための第一の装置であって、受信されたトラフィックを分類し、およびこの分類されたトラフィックをリソースに任意に割り当てるよう構成された第1の装置とを備える。
【解決手法】本願方法発明は、ネットワーク内のトラフィックを使用することによってユーザを自動的に発見するステップと、ユーザに関連するアプリケーションのパフォーマンスを監視するステップと、アプリケーションのパフォーマンスを査定するステップと、トラフィックを制御することを備える。本願システム発明は、適応ネットワーキングのためのシステムであって、複数のサブセットを備えるトラフィックであって、第1のサブセットが疑わしいトラフィックを含むトラフィックと、トラフィック用のリソースと、トラフィックを受信するための第一の装置であって、受信されたトラフィックを分類し、およびこの分類されたトラフィックをリソースに任意に割り当てるよう構成された第1の装置とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク・トラフィックのセキュリティに関する。詳細には、本発明は、トラフィック分類および/またはリソース配分を使用することによってネットワーク・トラフィックのセキュリティを提供することに関する。
【背景技術】
【0002】
本出願は、参照により本明細書に組み込まれている、2004年9月9日に出願した同時係属の米国仮特許出願第60/609062号「METHODS AND SYSTEMS FOR REMOTE OUTBOUND CONTROL, SECURITY STRAWMAN」の米国法典第35編119条に基づく優先権を主張するものである。
【0003】
相互運用するネットワークの現在の接続世界では、望まれないアクセスおよび望まれない侵入を防ぐことは恒常的な問題である。ネットワークベースの攻撃に対処するための一部の手法は、応答を系統立てて作成するための工程として、侵入の発生を検出することを伴う。一般の侵入検出技術は偽陽性と偽陰性を被り、その両方ともが悲惨な結果をしばしばもたらす。偽陰性は攻撃からネットワークを保護し損なうという結果を招き、偽陽性は商機の逸失、または「虚報を伝えて周囲を騒がせる(cry wolf)」システムをもたらす。したがって、偽陽性は、このタイプの誤りが最終的にはネットワークを真の攻撃から保護するための解決策の効果をも減少させるので、ネットワーク保護の失敗をももたらす。
【0004】
偽陽性および偽陰性の問題は、一般的な侵入検出システムの2つの特性からもたらされる。たとえばサービス拒否攻撃(DoS:Denial of Service)などの侵入または攻撃からデータ・センタ、サーバおよびネットワーク・リソースを保護しようとする多くの製品および手法が存在するにもかかわらず、一般的な手法はすべて、以下の特性を共有している。
(1)この手法は、侵入検出の基礎を、ネットワーク・トラフィックのある種の調査だけに置く。すなわち、この手法がオンラインであろうとオフラインであろうと、各パケットを見て、その特性および内容を調査することによって攻撃が存在するかどうかこの手法が判断する。したがって、より具体的には、検出の助けとするために、ネットワーク内の他のツールおよびプロトコルとの対話から得られる外部からの知識はほとんど使用されない。さらに、トラフィックが信用できるか、それとも悪いと知られているかの判断は、現在のトラフィック自体の調査だけに基づく場合にはしばしば効果的でなく、または有用となるには手遅れである。
(2)侵入検出の結果は「黒」か「白」である。すなわち、トラフィックは信頼できる、または悪いと知られているに分類される。一般に、信頼できるものでも、悪いと知られているものでもないトラフィックの追加の分類はない。従来のシステムには、グレー・ゾーンの概念はない。したがって、中間の知られていない、または疑わしいが、悪いと知られているとはまだ判断されていないトラフィックのカテゴリはない。一般に、特定の実装およびユーザ構成に応じて、こうした疑わしいトラフィックは、信頼できる、または悪いと知られているに分類される。
【0005】
上述したように、「信頼できる」または「悪いと知られている」の2つのカテゴリしかもたないことの1つの問題は、ユーザが結局はかなりの量の偽陽性、偽陰性またはその両方を有することになることである。偽陰性と偽陽性の両方には、多大な時間および金がかかり得る。偽陽性と偽陰性の両方は、悲惨な結果をもたらし得る。たとえば、偽陰性が発生する場合、検出措置は望まれない侵入に対する保護に失敗し、組織のリソースが侵入者に露呈される。また偽陽性は損害が大きいこともある。実装に応じて、悪いと知られているに分類されたトラフィックは、警告をトリガし、または破棄される(drop)。良いトラフィックを破棄すると一般に、商売を逃し、機会を逸することになり、しばしば追加の結果をもたらす。警告のトリガによって、情報技術(IT:information technology)要員が発生についての調査に時間を費やすことになり、それは従業員リソース、システムのダウン時間およびお金に関して企業に損失を負わせ得る。複数の誤った警告を有すると、システムが十分な時間「虚報を伝えて周囲を騒がせる」場合には警告が無視され、あるいは安全対策、反応のよい対抗策、ならびに通知および/または保護が効果的であるには過度に低く調整され、保護システムの信頼が損なわれる。これによって、保護システムが真の攻撃を検出し、それから保護する能力が低下する。
【0006】
1996年6月17日に出願された米国特許第5835726号「System for securing the flow of and selectively modifying packets in a computer network」および1999年4月1日に出願された米国特許第6701432号「Firewall including local bus」は、ファイヤウォール・タイプのシステムを含めて、上述の従来のシステムについて論じている。米国特許第5835726号および6701432号を、参照により本明細書に組み込む。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】米国仮特許出願第60/609062号
【特許文献2】米国特許第5835726号
【特許文献3】米国特許第6701432号
【特許文献4】米国特許出願第10/070515号
【特許文献5】米国特許出願第09/923924号
【特許文献6】米国特許出願第09/960623号
【特許文献7】米国特許出願第10/070338号
【特許文献8】PCT国際出願第PCT/US03/03297号
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明は、ネットワーク保護のためのシステムおよびその方法である。このシステムは、ネットワークに害を及ぼし得るデータ・トラフィックを防止する。さらに、このシステムは、望まれない潜在的な侵入に関する偽陽性および偽陰性の判断を防止する。
【課題を解決するための手段】
【0009】
トラフィックは、信頼できる、悪いと知られているおよび疑わしいを含めて、少なくとも3つのカテゴリに分類される。このシステムは、それぞれ異なるトラフィック・カテゴリのためにそれぞれ異なるリソースを使用し得る。これは、悪いデータまたは疑わしいデータがネットワーク・リソースに損害を与えることを防止し、また信頼できるトラフィックに向上されたサービスを提供し得る。このシステムは、ネットワーク・ユーザの履歴および使用を追跡する。履歴は、トラフィックについてどのカテゴリが指定されているか判断する際に使用される。新しいエンドポイントおよび/またはトラフィックは最初に疑わしいものとして取り扱われ、次いで後に信頼できるに格上げされ、または悪いに格下げされ得る。履歴は、向上された取扱いを受け得るいわゆるフリークエント・フライヤーを判断するために使用されることもできる。
【0010】
悪いと判断されるトラフィックは、破棄され、またはネットワークのエッジへとブラックホールに入れられることもできる。疑わしいトラフィックは、異なるリソースを通って向けられ得る。異なるリソースは、異なる物理リソース、あるいは同じ物理リソース内にあるが、異なる優先度で取り扱われる異なる論理リソースであり得る。攻撃の検出は、ソース・ベース、宛先ベース、フリークエント・フライヤー・ベースまたはフロー・レート・ベースであり得る。
【0011】
セキュリティ向上のため、追加の境界が、従来の侵入検出と併せて使用され得る。疑わしいおよび悪いトラフィックをそれぞれ異なるネットワーク・リソースで取り扱うことによって、従来の侵入検出方法によってもたらされるどんな誤りの影響もが最小限に抑えられる。本発明は、ハードウェア、ソフトウェアまたはその組合せで実装され得る。
本発明の新規な諸特徴について、添付の特許請求の範囲で述べる。しかし、説明のため、本発明の複数の実施形態について、以下の図面で述べる。
【図面の簡単な説明】
【0012】
【図1A】本発明によるトラフィック分類のためのプロセスを示す図である。
【図1B】追加の工程を伴う図1Aのプロセスを示す図である。
【図2】ネットワークを介して第2の装置にトラフィックを送信する第1の装置を示す図である。
【図3】2つ以上のリソースを使用することによって第2の装置にトラフィックを送信する第1の装置を示す図である。
【図4】第3のリソースを使用する第1の装置を示す図である。
【図5】本発明によるリソース配分のためのプロセス・フローを示す図である。
【図6】ネットワークのリソース配分を概念的に示す図である。
【図7】ネットワークのリソース配分を使用してトラフィックを送信する複数の装置を概念的に示す図である。
【図8】一部の実施形態のネットワーク装置が知的であり、悪いトラフィックを局所的に破棄することを示す図である。
【図9A】一般的な侵入検出システム内のクリティカル境界を概念的に示す図である。
【図9B】一般的な侵入検出システム内のクリティカル境界を概念的に示す図である。
【図10】特定の実施形態で実施されるクリティカル境界を概念的に示す図である。
【図11】本発明のシステム・アーキテクチュアを示す図である。
【図12】企業アーキテクチュアをさらに詳細に示す図である。
【図13】サービス・プロバイダ・アーキテクチュアをさらに詳細に示す図である。
【図14】本発明によるアップストリーム通知を示す図である。
【図15】本発明によるフィードバック通知を示す図である。
【発明を実施するための形態】
【0013】
以下の記述では、説明するために、複数の詳細および代替物について述べる。しかし、本発明は、これらの具体的な詳細を使用せずに実施され得ることが当業者には理解されよう。他の場合では、不必要な詳細で本発明の説明を不明瞭にしないために、よく知られている構造および装置がブロック図の形で示されている。以下の節Iは、本発明の一部の実施形態のプロセス実施について述べている。節IIは、一部の実施形態の実施によりもたらされるクリティカル境界について述べている。節IIIは複数のシステム実装について述べており、節IVは本発明の具体的な利点について論じている。
【0014】
本発明は、ネットワーク・リソースを監視し、インターネットまたは別のネットワークを介してアプリケーションを操作するエンドユーザのシステム上でパフォーマンスを測定するために使用される。監視を使用することによって、ネットワーク活動の固有のビューが、アプリケーションの知識、ネットワーク内のユーザの履歴知識、ユーザが使用するアプリケーション、トラフィック・パターン、ユーザおよびアプリケーションの予想される特性および要件を組み合わせる。この固有のビューは、偽陽性および偽陰性の数を減少させることによって侵入検出の効果を向上させるために使用される。これらの利点は新規の1組のアプリケーション・プログラミング・インターフェース(API:application programming interface)、ネットワーク管理ツールおよびアプリケーションを使用することによって提供されるが、特定の代替物は、既存の侵入監視ツールに複数の新規な概念を取り入れる。
【0015】
I プロセスの実施
A.トラフィックの分類
図1Aは、本発明の特定の実施形態によって実施されるプロセス100を示している。図1Aに示すように、工程105で、ネットワーク・リソースが監視される。次いで、工程110で、アプリケーション・パフォーマンスも監視される。たとえば、ネットワーク・リソースおよびアプリケーション・パフォーマンスの監視は、エンドユーザのシステム上でネットワークを介したアプリケーション操作のパフォーマンスを測定することを含み得る。ネットワークは、インターネット、ならびにたとえばローカル・エリア・ネットワーク、イントラネット、プライベート・ネットワークおよび仮想プライベート・ネットワークなど、他のタイプのネットワークを含み得る。トラフィックは一般に、ネットワーク内の1つのエンドポイントたとえばソースから、ネットワーク内の別のエンドポイントたとえば宛先に流れる。トラフィックは、ネットワーク上を流れるデータを指す。
【0016】
一例として、図2は、例示的なネットワーク200を介して第2の装置210にトラフィックを提供する第1の装置205を示している。ネットワーク200は、たとえばインターネット201など、ネットワークのネットワークである。第1装置205は、宛先の働きをする第2装置210へのソースとして働く。第1および第2装置205、210はそれぞれ、サブネットワーク204Aおよび204Dに個々に結合される。この実施形態では、第1および第2装置205および210は、インターネット201と、サブネットワーク204Aおよび204Dとの間のインターフェースを提供する。図2に示すように、トラフィックは、ネットワーク・リソース215を通って第2装置210に到着する。図2に示すネットワーク200は例示的なものであることが当業者には理解されよう。したがって、ネットワーク200は、たとえばMPLSネットワーク、MPLS−VPNネットワーク、プライベート・ネットワーク、VPNネットワークおよび/またはATMネットワークなど、ネットワークの他のタイプおよび構成を表すものである。
【0017】
上述したように、トラフィックは、それがネットワークを通ってソースから宛先に流れるときに監視される。図1Aを再び参照すると、トラフィックがネットワークを通って流れる間、プロセス100の工程115で、トラフィックの第1のサブセットが第1のカテゴリに分類される。第1のカテゴリのトラフィック・タイプは、信頼できる、悪いと知られている、疑わしいトラフィックおよび/またはその組合せを含む。追加のカテゴリ・レベルが、本発明に従って実施され得ることが当業者には理解されよう。次いで、工程130で、第1トラフィック・サブセットのカテゴリに基づいて、第2のトラフィック・サブセットについての措置が判断される。次いで、プロセス100は終了する。第1トラフィック・サブセットは、ネットワーク・リソースの監視および/またはアプリケーションのパフォーマンスの監視に基づいて分類される。同様に、第2サブセットについての措置も、ネットワーク・リソースおよび/またはアプリケーションのパフォーマンスに基づく。
【0018】
図1Aに示す特定のプロセス実施の変形形態が当業者にはさらに理解されよう。たとえば、代替実装のプロセスは、追加の工程および/または工程のそれぞれ異なる順序を含む。具体的には、特定の実装のシステムは好ましくは、ネットワークのリソースおよび/またはアプリケーションを監視しながら、ユーザおよびネットワーク使用のそのパターンに基づく情報を含む履歴を追跡する。このシステムは、第1サブセットについての措置を判断し、および/または第2のトラフィック・サブセットを分類することもできる。図1Bは、これらの追加の工程を含むプロセス101の追加の例示的な実施を示している。複数の図の要素に関して使用されている参照番号は、図示する諸実施形態の同じ要素に関して同じである。たとえば、図1Bのプロセス101内の同様にラベル付けされた諸工程は、図1Aのプロセス100に関して上述した諸工程と同じである。図1Bに示すように、第1トラフィック・サブセットが工程115で分類された後に、プロセス101は工程120に移り、第1トラフィック・サブセットについて措置が判断される。次いで、プロセス101は工程125に移り、第2トラフィック・サブセットが分類される。次いで、工程130で、第2トラフィック・サブセットについて措置が判断され、プロセス101は工程135に移る。工程135で、ユーザ、およびそのネットワーク使用パターンの履歴が追跡される。次いで、プロセス101は終了する。上述したように、図1Aおよび1Bに示した例示的な実装の可能な変形形態が当業者には理解されよう。たとえば、図1Bに示すプロセス101の等価のプロセス実施では、第2トラフィック・サブセットは、第1トラフィック・サブセットについて措置が判断される前に分類される。
【0019】
好ましくは、トラフィックの第1サブセットと第2サブセットは重複しない。たとえば、本発明の特定の代替物によれば、第1トラフィック・サブセットは疑わしいトラフィックを含み、第2トラフィック・サブセットは信頼できるトラフィックを含む。代替の実施形態は、トラフィックをそれぞれ異なるやり方で扱う。たとえば、図3は、こうした実施形態によるネットワークを示している。図3は、追加のネットワーク・リソース320があることを除いて、図2と実質上同じ要素を伴う実質上同じネットワークを示している。図3に示すように、信頼できると分類されるトラフィックは、疑わしいトラフィックとは別に、追加のリソース320を介してルーティングされる、他の代替実施形態は、悪いと知られているトラフィックの第3のカテゴリを含む。一部の実施形態の悪いトラフィックはさらに、信頼できるおよび疑わしいトラフィックとは別のやり方で扱われる。図4は、追加のネットワーク・リソース425があることを除いて、図3と実質上同じ要素を伴う実質上同じネットワークを示している。図4に示すように、悪いと知られていると分類されるトラフィックは、追加のリソース425を介してルーティングされる、一部の実施形態では、トラフィックは、信頼できると既に判断されているトラフィックを含む。これらの実施形態については、節IIIでさらに述べる。
【0020】
1.トラフィック監視
好ましくは本発明は、トラフィックを観察し、ネットワークのユーザを監視する。代替の実施形態はさらに、1つまたは複数のネットワーク・リソースを監視する。たとえば、一部の実施形態は、帯域幅の使用状況を監視する。これらの実施形態は、ネットワークを介したアプリケーションの操作のパフォーマンスを査定し、宛先での十分なアプリケーション・パフォーマンスを保証する必要性に応じてネットワークに変更を加える(inject)。また他の実施形態は、たとえば重要な取引が最良のサービスを受けることを保証することによって企業ポリシーを実施する。これらの実施形態では、ネットワーク上のユーザの母集団は、共有されるネットワーク・リソースのコストおよび使用を最小限に抑える十分なサービスを受け続ける。
【0021】
共有されるネットワーク・リソースは、たとえばチャネル、プロトコルおよび/またはサービスなど、トラフィックのためのそれぞれ異なるルーティング機構を含む。これは、リソース配分を制限することによってトラフィックの流れを制約し、および/または変更を加え得る。リソース配分は、それぞれ別のやり方で分類されたトラフィックを、
(1)トラフィックがある方向または別の方向にルーティングされるようにそれぞれ異なるパスに、または
(2)トラフィックが、様々なサービス・レベルによるサービスのためにタグ付けされるようにそれぞれ異なるタグを付けて、または
(3)一部のトラフィック・タイプが他のトラフィック・タイプより優先されるようにそれぞれ異なるマークを付けて割り当てることによって実施され得る。
しかし、使用され得る様々な追加のリソース配分が当業者には理解されよう。リソース配分について、以下でさらに論じる。
【0022】
2.トラフィックのカテゴリ
トラフィックは、異常な特性を有するトラフィックを検出することによって分類され得る。異常な特性を有するトラフィックが検出されるときに、異常なトラフィックには、トラフィックの信頼度を表す、攻撃の一環であることの非ゼロの確率が割り当てられ得る。信頼度が所定の閾値未満である場合、このシステムはこうしたトラフィックが攻撃であると見なすことができ、異常なトラフィックは疑わしいと分類される。
【0023】
上述したように、ネットワーク・リソースおよび/またはアプリケーション・パフォーマンスは、第1のトラフィック・サブセットを分類するために監視される。監視および/または分類は、第1および/または第2トラフィック・サブセットについて取るべき措置を判断するために使用され得る。ネットワーク・リソースおよびパフォーマンスを測定することによってこのシステムは、それぞれ異なるリソースに渡るトラフィックの所与のサブセットのアプリケーション・パフォーマンスを認識する。その測定は、トラフィックを信頼できるまたは疑わしいと分類するために使用される。図3に関して上述したように、これらの実施形態は一般に、信頼できるトラフィックを第1の1組のリソースに送信し、疑わしいトラフィックを第2の1組のリソースに送信する。
【0024】
第1および第2の別個のリソースは、疑わしいトラフィックが信頼できるトラフィックから分離されることを保証する。この分離によって、疑わしいトラフィック、具体的には問題があると判明する疑わしいトラフィック、たとえば後に悪いと判断される疑わしいトラフィックの悪影響が最低限に抑えられる。さらに、一部の実施形態の信頼できるトラフィックによって運ばれるデータには、疑わしいデータと比べて低い遅延など、より高い優先度が与えられる。これらの実施形態では、信頼できるトラフィックは疑わしいトラフィックに先手を取り、それによって、後に有害と判明するデータを運ぶ疑わしいトラフィックの潜在的に有害な効果を最小限に抑える。
【0025】
3.新しいエンドポイントおよび降格
新しいエンドポイントおよび/または新しいトラフィックは最初に、疑わしいと分類される。これらの新しいエンドポイントおよび/または新しいトラフィックは後に、複数の要因に基づいて、疑わしいカテゴリから信頼できるまたは悪いカテゴリへと調整され得る。さらに、予想されるより多くのトラフィックを生成しているいずれのエンドポイントもが、疑わしいまたは悪いと分類され得る。さらに、異常なトラフィック、および/または異常な振る舞いをしているエンドポイントからのトラフィックは、疑わしいまたは悪いカテゴリに降格され得ることはめずらしい。トラフィックは、たとえばDoS攻撃からの過度なトラフィックなど、システム内にプログラムされた基準に従ってそれが動作するときに異常と判断される。異常なトラフィックおよび/またはエンドポイントは、当該のトラフィックが以前は信頼できると見なされていた場合でも降格され得る。これらの実施形態は一般に、攻撃の性質に関係なく、信頼できるエンドポイントであると見えるものから生じる攻撃から保護する。たとえば、信頼できるトラフィックが多過ぎるリソースを消費する場合、信頼できるトラフィックでも、信頼できるエンドポイントから行われる攻撃に対して保護するために一時的に降格される。一部の実施形態の信頼できるエンドポイントからの攻撃は、以下を含めて複数の可能なタイプのものであり得る。(1)信頼できるエンドポイントのソース・アドレスがスプーフィングされる。(2)信頼できるエンドポイントが実際には攻撃に関与している。(3)信頼できるエンドポイントが損なわれている。
【0026】
以前に信頼できると分類されたエンドポイントおよび/またはトラフィックには、たとえば「フリークエント・フライヤー」として特別なステータスが割り当てられ得る。フリークエント・フライヤーのステータスについて、次に詳細に論じる。
【0027】
4.フリークエント・フライヤー
「フリークエント・フライヤー」の概念が、特定のトラフィック・サブセットのカテゴリの判断および/またはそのサブセットについての措置の判断に役立てるために追加され得る。ネットワークおよびトラフィックを監視する間、特定の宛先または1組の宛先に向けられるトラフィックのソース・アドレスに関する履歴情報が追跡され得る。この履歴に関係する特定のパラメータの動向が発見され得る。一部の実施形態で動向が判断される対象のパラメータは以下を含む。
(1)それぞれのソース・アドレスの出現頻度のヒストグラム
(2)所与のソース・アドレスが1日の所与の時に発生する確率
(3)所与のソース・アドレスからのフロー間の到着時間間隔、および/または
(4)当業者によって理解される別のパラメータまたは動向
【0028】
パラメータ動向のサブセットが、1つの宛先または1組の宛先に関連してアドレスを「フリークエント・フライヤー」と分類するために使用される。フリークエント・フライヤーは、正当であり、したがって信頼できると判断されるソース・アドレスである。この判断は、このソース・アドレスから当該宛先へのトラフィックの出現頻度および時間に関する履歴の観察に基づく。フリークエント・フライヤーを識別するための他の基準は、(1)そのアドレスから来ており、その宛先または1組の宛先に向けられたトラフィックに関係する時刻についての考慮、(2)トランザクション上の異常、および/または(3)たとえばトランザクションの頻度および/または新しさなど、完了したトランザクションに基づく。
【0029】
フリークエント・フライヤーの概念は、特定の利点を有する。たとえば、単一パケットのインバウンド攻撃の特性は、かつて見たことのない単一のパケットが、エンドポイントから見えることである。一部の実施形態は、双方向トランザクションを完了するエンドポイントをフリークエント・フライヤーと宣言することによってこの特性を活用する。スプーフィングされるソースは一般に双方向トランザクションを完了し得ないので、スプーフィングされたアドレスの真の所有者による予想される応答は、第1のパケットを破棄しまたは無視することである。したがって、信頼できるデータおよび/またはトラフィックのフリークエント・フライヤー・カテゴリによって、スプーフィングされたソースの攻撃に対する保護を提供し得る。フリークエント・フライヤーの概念を使用する様々な追加の実施形態が当業者には理解されよう。たとえば、トランザクションで第3のパケットが、信頼できるエンドポイントについての良い表示と識別され得る。一部の実施形態は、第3のパケットがリセット(RST)パケットでないことを必要とし得る。
【0030】
一部の実施形態は、フリークエント・フライヤーを判断するために、トランザクションにおける異常を利用する。これらの実施形態はしばしば、様々なタイプの単一パケットUDP(user datagram protocol:ユーザ・データグラム・プロトコル)Microsoft(登録商標)の様々な攻撃、たとえば「スラマー」に対して効果的である。スラマー・タイプの攻撃は、トランザクション上の異常を一般に含む。これらの実施形態はしばしば、かなりの割合のフリークエント・フライヤー顧客に、たとえばスラマー・トラフィックよりも高い優先度のリソースなど、よりよいサービスを提供する。したがって、これらの実施形態のフリークエント・フライヤーは、リソースの優先度が高いため、スラマー・トラフィックによる影響を受けない。感染していない場所からのフリークエント・フライヤー顧客の割合が大きくなるほど、これらの実施形態はスラマー・タイプの攻撃をますます最小限に抑える。図1〜4に示す諸実施形態によって実施される検出および制御は、上述のフリークエント・フライヤーの概念を含む。フリークエント・フライヤーの概念は、サービス・プロバイダおよび/または企業のために実装され得る。これらの実施形態は一般に、サービス・プロバイダと企業の間の通信を伴う。企業および/またはサービス・プロバイダのために実施される様々な実施形態の一部の例については、以下の節IIIで述べる。しかし、この議論は次に、一部の実施形態のリソースに進む。分類されるとトラフィックは一般に、1つまたは複数のリソースを通ってその宛先に到達しなければならない。
【0031】
B.リソース配分
図5は、一部の実施形態のリソース配分のプロセス・フローを示している。この図に示すように、プロセス500は工程505で開始し、データ・ストリームが受信される。一部の実施形態のデータ・ストリームは、データ・パケットを備える。次いで、工程510で、パケットは分類され、または上述したように、トラフィックはサブセットに分類される。工程515で、トラフィックがたとえば悪いと知られているデータを伴うパケットを含む場合、プロセス500は工程520に移り、一部の実施形態では、悪いデータ(パケット)が破棄される。次いで、プロセス500は終了する。
【0032】
工程515で、トラフィックが悪いと(工程510で)分類されなかった場合、プロセス500は工程525に移り、トラフィックが疑わしいかどうかの判断が行われる。工程525でトラフィックが信頼できると判断される場合、プロセス500は工程530に移り、トラフィックは、たとえば信頼できるトラフィック用に指定された第1のリソースに割り当てられる。次いで、プロセス500は終了する。工程525でトラフィックが疑わしい場合は、プロセス500は工程535に移り、トラフィックは、たとえば疑わしいトラフィック用に指定された第2のリソースに割り当てられる。次いで、プロセス500は終了する。
【0033】
図6は、一部の実施形態のネットワーク600が、例えば、リソースのタイプまたは品質によって複数のリソースに分割可能であることを示している。この図に示すように、一部の実施形態のネットワーク・リソースの配分は、疑わしい630、信頼できる635および悪い640トラフィックおよび/またはデータのためのリソースを含む。したがって、ネットワーク600を通って第1の装置605から第2の装置610に移動するトラフィックは、これらのリソース・タイプのうちの1つまたは複数に関連付けられる。
【0034】
図7は、一部の実施形態のリソース配分の別の例を示している。この図に示すように、ネットワーク700は、疑わしいトラフィック用のリソース730と、信頼できるトラフィック735用のリソース735と、悪いと知られているトラフィック用のリソース740と、ソース705と、宛先710と、複数のネットワーク装置745、750、755および760とを含む。一部の実施形態のネットワーク装置745、750、755および760は、たとえば、ルータ、ブリッジおよび/または別のネットワーク特徴を含むネットワーク上のノードまたは「ホップ」など、ネットワーク・トポロジの特定の特徴を表す。ネットワーク装置745、750、755および760については、節IIIで以下でさらに論じる。
【0035】
図7に示すように、ソース705から宛先710へのトラフィックは、様々な時および/またはネットワーク700内の場所で、信頼できる、疑わしいまたは悪いと知られていると判断される。一部の実施形態は、トラフィックを分類するために、図1Aおよび1Bに関して上述したプロセスを使用する。次いで、トラフィックの各カテゴリは、そのトラフィック・カテゴリに割り当てられたリソースに向けられる。たとえば、ネットワーク装置745からのトラフィックは、疑わしい730、信頼できる735および/または悪い740トラフィック用のリソースに向けられ、ネットワーク装置755からのトラフィックは、悪いトラフィック用のリソース740に向けられる。図7に示すように、一部の実施形態のリソースは、悪いトラフィックが疑わしいトラフィックに影響を及ぼさず、また疑わしいトラフィックが信頼できるトラフィックに影響を及ぼさないようにする。一部の実施形態は、リソース配分を別のやり方で実施する。これらの違いについて以下で述べる。
【0036】
1.ブラックホール化
図8は、ネットワーク800のネットワーク装置845、850、855および860が、悪いと分類されたトラフィックを別のやり方で扱い得ることを示している。たとえば、悪いトラフィックは破棄され得る。破棄されたトラフィックは、ネットワークのエッジでブラックホールに入れられる。図8は、トラフィックが破棄されおよび/またはブラックホールに入れられる一例を示している。ネットワーク装置は、データを破棄しおよび/またはブラックホールに入れる能力を含む。これらの実施形態では、データはしばしばパケットの形である。図8に示すように、一部の実施形態のネットワーク装置845、850、855および860は、悪いトラフィックを認識しおよび/または破棄するための手段865などの拡張された特徴を含む。一部の実施形態は、廃棄されたデータを悪いトラフィック用のリソース840などのリソースに配分しおよび/または割り当てずに、破棄および/またはブラックホール化を実施する。このシステムは、悪いと知られているトラフィックがこのように破棄されるように指定されることができ、また一部の実施形態では、破棄されたトラフィックはネットワークのエッジでブラックホールに入れられる。
【0037】
2.レート制限
疑わしいトラフィックはレート制限され得る。一部の実施形態はトークン・バケットを使用することによってレート制限を達成し、一部の実施形態はたとえば重み付けされた公平なキューイングなど、別の手段によってレート制限を達成する。これらの実施形態では、疑わしいトラフィックに割り当てられる重みは、信頼できるトラフィックに割り当てられる重みより低い。
【0038】
また、インターネット・サービス・プロバイダなどのサービス・プロバイダは、そのピアに関係する1つまたは複数のパラメータの知識を有する。たとえば、サービス・プロバイダは、その企業顧客のインバウンド・リンクの容量の知識を有する。こうした場合では、一部の実施形態のサービス・プロバイダは、この知識を使用して、企業のリンクの容量が圧倒されないようにトラフィックの流れを抑える。たとえば、特定の企業顧客は、そのサブネットワークの方におよび/またはそれを通って向けられるトラフィックを取り扱うための総インバウンド容量を有する。企業のサブネットワークを通って向けられる信頼できるおよび疑わしいトラフィックの合計が特定の企業サブネットワークの総インバウンド容量より多くなる場合、サービス・プロバイダは、レート制限しまたは疑わしいトラフィックの一部を破棄し得る。これらの場合、サービス・プロバイダは、疑わしいトラフィックを害するほどに、信頼できるトラフィックに関して企業に提供されるサービス品質を維持する。トラフィックのレート制限および/または破棄は、様々な方法を使用することによって達成される。一部の実施形態では、レート制限は、たとえばトークン・バケット、ToSマーキングおよび/またはMPLS(マルチプロトコル・ラベル・スイッチ:multiprotocol label switch)タグを使用することによって実施される。一部の実施形態は、上述したように、バッファ管理手法および/またはブラックホール化を使用することによってパケットを破棄する。追加の手段が、たとえばトラフィックを備えるパケットをレート制限しおよび/または破棄することによってトラフィックを制御するために使用され得ることが当業者には理解されよう。
【0039】
3.タグ付けおよびルーティング
それぞれ異なるトラフィック・カテゴリのためのリソースは、それぞれ異なるToSマーキングを備え得る。たとえば、信頼できるトラフィックには、信頼できるトラフィックが他のカテゴリからのトラフィックよりも優先されることを保証するToSマーキングが割り当てられる。同様に、それぞれ異なるトラフィック・カテゴリは、異なるやり方でルーティングされる。これらの実施形態について、以下の実施例でさらに述べる。一部の実施形態では、それぞれ異なるトラフィック・カテゴリは、それらが論理的にそれぞれ異なる経路を使用するように、異なるやり方でタグ付けされる。
【0040】
4.論理対物理リソース
一部の実施形態のそれぞれ異なるリソースは、それぞれ異なる論理リソースを含む。それぞれ異なる論理リソースは実際に、同じ物理リソースを共有する。それぞれ異なる論理および/または物理リソースは好ましくは、それぞれ異なる優先度レベルに対応する。たとえば、優先キューイング(PQ:priority queuing)は一部の実施形態のそれぞれ異なる優先レベルを提供するが、一部の実施形態はクラス・ベースの重み付けされた公平キューイング(CBWFQ:class-based weighted fair queuing)を使用して、それぞれ異なる優先度レベルを提供する。
【0041】
C.リソース配分を伴う分類の実施例
1.ソース・ベース
それぞれ異なる実施形態は、攻撃の検出、ならびにトラフィックおよびルーティングの制御のためのそれぞれ異なる基準を使用する。上述したように、それぞれ異なる実施形態は、制御を行うために、それぞれ異なるカテゴリ、リソースおよび配分を使用する。検出および制御の対象のトラフィックについて、一部の実施形態はソースを使用するが、一部の実施形態は宛先を使用する。一部の実施形態では、パケットの属性が使用される。一部の実施形態は、特定の宛先アドレスに向けたトラフィックのソースをトラッキングする。ソースおよび/または宛先アドレスに基づいてこれらの実施形態は、トラフィックが信頼できるか、それとも疑わしいか判断する。ソース・アドレスは、トラフィックを適切なリソースに送信するために使用される。たとえば、そのソースのせいで疑わしいと判断されるトラフィックは、疑わしいトラフィックのために予約されたリソースへと向きが変更される。より具体的には、一部の実施形態は、疑わしトラフィックなどのトラフィックを、たとえば以下によって様々なリソースに向ける。
(1)指定された範囲のToSマーキングをトラフィックに割り当てる。
(2)トラフィックを1組の異なる物理経路に割り当てる。
(3)トラフィックがMPLSタグ付けされた特定の1組のルートに沿って、または特定の1組のMPLS対応ルータに向けられるように、特定のMPLSタグでトラフィックをマーキングする。
【0042】
2.宛先ベース
さらに、一部の実施形態は、特定の宛先アドレスまたは1組の宛先を有するトラフィックを追跡する。この宛先アドレスに基づいてこれらの実施形態は、トラフィックが信頼できるか、それとも疑わしいか判断する。一部の実施形態では、宛先アドレスは、トラフィックを適切なリソースに送信するために使用される。たとえば、宛先に基づいて疑わしいと判断されるトラフィックは、一部の実施形態では、疑わしいトラフィックのために予約されたリソースへと向きが変更される。上述したように、一部の実施形態では、たとえばToSマーキング、特定の物理経路および/またはタグ付けされたルート上のMPLSタグを使用することによって、それぞれ異なるやり方で疑わしいトラフィックを扱う。
【0043】
3.フリークエント・フライヤー・ベース
一部の実施形態は、上述のフリークエント・フライヤー・モデルに基づいてトラフィックを識別し、分類しおよび/または制御する。また、上述したように、フリークエント・フライヤー・トラフィックは一般に、このトラフィック・カテゴリに最高のサービス品質を提供するために、最良の使用可能なリソースに割り当てられる。
【0044】
4.フロー・ベース
他の識別、分類および/または制御方法のコンテキストにおけるソース・ベースおよび/または宛先ベースの分類および/またはリソース配分の諸特徴が適用され得る。たとえば、検出、制御およびフリークエント・フライヤーの地位の判断は、ソースと宛先の情報の組合せに基づく。これらの判断は、フロー単位の情報に基づく。トラフィックを識別しおよび/または分類する他のやり方が当業者には明らかである。たとえば、一部の実施形態は、宛先、あるいは企業、サービス・プロバイダおよび/または他の宛先とのその組合せを含む1組の宛先に基づいて構成される。
【0045】
D.他のコンテキスト
上記内容は、他のコンテキストに拡張され得る。これらのコンテキストは、上述のスプーフィングされるソースの単一パケット攻撃、およびたとえば実トランザクションを演じるゾンビ・ファーム(zombie farm)など、追加のコンテキストを含む。これらの場合、成功したトランザクションが、時間をかけて1つまたは複数のエンドポイント単位に追跡される。長期の顧客を含むそれらエンドポイントは信頼できる。これらの実施形態は、新しいどのエンドポイントをも疑わしいまたは悪いと分類し、同様に、一部の実施形態は既定により、知られていないおよび/または新しいトラフィックを、悪いとしてではなく、疑わしいと分類する。
【0046】
E.ユーザおよびトラフィック履歴
当技術分野の従来の侵入検出システム(IDS:intrusion detection system)は一般にトラフィックが悪いことを判断するが、これらの侵入検出システムは一般に、疑わしいトラフィックが実際には信頼できることを判断しない。以下の節IIは、従来の侵入検出システムの一部の共通の特徴について述べている。一般的な侵入検出システムとは異なり、一部の実施形態は、リソース使用、アプリケーション・パフォーマンス、およびネットワークの様々なユーザの他のパターンの履歴を保持する。履歴は一般に、データベース内に保持される。履歴は一般に、疑わしいトラフィックが信頼されるべきかどうか判断するために使用される。第1のトラフィック・サブセットの分類および/または第2のトラフィック・サブセットについての措置の判断は、1組のアプリケーション管理ツールおよびディレクトリを使用して実施され得る。たとえば、アプリケーション管理ツールおよびディレクトリが、疑わしいトラフィックが信頼されるべきかどうか判断するために使用される。特定の場合では、これらのアプリケーション管理ツールおよびディレクトリは、Avaya Inc.社によって提供される。
【0047】
信頼できるトラフィックを他のトラフィックと区別するために、ディレクトリからの情報、および他のネットワーク管理およびアプリケーション管理ツールが使用される。これらのツールには、たとえば、ライトウェイト・ディレクトリ・アクセス・プロトコル(LDAP:lightweight directory access protocol)、セッション開始プロトコル(SIP:session initiation protocol)および/またはNetflows(登録商標)コンピュータ・ネットワーク・パフォーマンス・システムが含まれる。Netflows(登録商標)は、ジョージア州ApplingのJanus Research Group inc.社の商標である。ユーザの特性および要件の知識は、トラフィックが本当に信頼できるかどうかの判断に資する。たとえば、一部の実施形態は、所与のユーザが現在特定の地理的領域内に存在し、特定のアプリケーションを実行すると予想され、またセルラ装置を使用していることを知っている。一部の実施形態はSIPディレクトリを使用することによってこの情報を取得するが、一部の実施形態はコール・サーバとの統合によって情報を発見する。トラフィックは、信頼できるエンドポイントの予想されるパターンにそれが一致するかどうか判断するために、このユーザから観察される。第1トラフィック・サブセットのカテゴリを判断する助けとし、および/または第2トラフィック・サブセットについての措置を判断するために、プロトコル・スイートが使用され得る。
【0048】
一部の実施形態は、たとえば境界ゲートウェイ・プロトコル(BGP:border gateway protocol)および単純ネットワーク管理プロトコル(SNMP:simple network management protocol)など、様々なプロトコルを使用することによって、たとえばルータなどの他のネットワーク要素と対話する。これらの実施形態は、検出と制御の両方の段階におけるプロトコルを活用する。たとえば、一部の実施形態は、プレフィックス情報を使用する。これらの実施形態は、知られているアドレス・プレフィックスを有するアドレスから生じる(それを源とする)トラフィックを疑わしいと見なす。次いで、これらの実施形態は、そのプレフィックスからの疑わしいトラフィックが実際に悪いと知られているかどうか判断する。また、疑わしいまたは悪いと知られているトラフィックを制御しようとするときに、一部の実施形態は、適切なプレフィックスを求めて適切なルート変更を送信するために、1組のBGP制御を活用する。さらに、SNMPは、一部の実施形態の検出および制御において相乗作用的な役割を果たす。たとえば一部の実施形態では、検出および/または制御は、たとえばSNMPから得られるように、負荷の読出しの変化に基づく。
【0049】
II.クリティカル境界の実装
監視、査定および制御技術の提供によって、ネットワーク環境に追加の制約を加えることによりセキュリティ品質の解決策が向上する。追加の境界が、従来の侵入検出システム(IDS)の境界と併せて実装される。これらの実施形態は、ネットワーク・トラフィックおよび攻撃に対処する際の追加の粒度レベルを提供する。攻撃に反応する際の巧妙さが向上すると、高い粒度レベルと共に、1つまたは複数のタイプのトラフィック用のリソースを選択することによってトラフィックを制御するシステムの固有の能力が活用される。疑わしいと判断されるトラフィックは、疑わしいトラフィックのために使用されるリソースが信頼できるトラフィックによって使用されるリソースと異なることを保証することによって、害を及ぼすことなしに依然として転送される。高い確実性のレベルで悪いと判断されるトラフィックだけが破棄される。アプリケーション・パフォーマンスを監視することによって、信頼できるトラフィックは、最良のサービス・レベルを受ける。これらの実施形態は、疑わしいトラフィックが受けるサービス・レベルをも制御する。たとえば、最も疑わしいトラフィックは、具体的には攻撃中などリソースが制約されるようになる場合には、最も格下げされたまたは最も低いサービス品質を受ける。
【0050】
図9Aおよび9Bは、当技術分野で知られている一般的な侵入検出の実装のクリティカル検出境界を概念的に示している。これらの図に示すように、当技術分野で知られている実装のクリティカル境界905は、拒否される悪いと知られているトラフィックと、通過を許される他のすべてのトラフィックとの間にある。当技術分野で知られているこれらの手法の欠点は、これらの実装の成功が、悪いトラフィックを武器として使用する攻撃の正確な検出に大きく依存していることである。しかし。上述したように、一般的な実装は、従来の境界で無数の攻撃を検出することにしばしば失敗する。したがって、これらの手法は、偽陽性および偽陰性の形の、斜線で示された大きい誤差範囲をもたらし得る。
【0051】
それとは異なり、図10は、本発明の好ましい実施形態によって実装される境界を示している。この図に示すように、一部の実施形態のクリティカル境界1010は、信頼できると判断されるトラフィックと、たとえば疑わしいおよび悪いと知られているトラフィックなど、他のすべてのトラフィックとの間にある。したがって、これらの実施形態の攻撃の検出および/または防止の成功は、悪いと知られているトラフィックと他のすべてのトラフィックとの間の従来の境界905を正確に特定する高い精度に依存しなくなる。
これは、疑わしいトラフィック・フローが依然としてアクセスを得ることができるという事実を活用し得る。疑わしいトラフィックのこの扱いは、境界をより「中心に」移動する傾向にある。この特徴は、偽陽性と偽陰性の間のより正確な均衡を可能にする。これは、疑わしいものになる、以前には信頼されていたトラフィックを信頼できるステータスから疑わしいステータスに降格または格下げする比較的な緩やかな措置を課すという利点を提供することもできる。したがって、降格は、当技術分野で知られている従来の許可/拒否の境界905で取られる措置より緩やかである。
【0052】
III.システム実装
A.システムおよびルータ
アプリケーション・プログラミング・インターフェース(API)、ネットワーク管理ツール、アプリケーションを使用することによって、またエンドユーザへのネットワーク・リソースおよびアプリケーション・パフォーマンスの監視によって、アプリケーション知識、ユーザの履歴知識、そのトラフィック・パターン、およびユーザが使用するアプリケーション、ならびにユーザおよびそのアプリケーションの予想される特性および要件を組み合わせる固有のビューが提供される。より知的なこのビューは、本発明の諸実施形態に、攻撃の検出およびそれへの応答のさらなる知識を提供する。一部の実施形態はさらに、攻撃に対するより厳密なおよび/または巧妙な反応をさらに可能にする。攻撃検出の知性は、標準の侵入検出手法の2つのカテゴリではなく、少なくとも3つのトラフィック・カテゴリを識別することによって大きく向上される。一部の実施形態は、アプリケーションを調査し、アプリケーションの知識の適用を従来のシステムに拡張し、既存の侵入検出システムを他のやり方でさらに向上させる。一部の実施形態は、たとえばダウン時間など、従来のシステムが直面する問題にさらに対処する。
【0053】
様々な実施形態が、ソフトウェアおよび/またはハードウェアで実装される。ハードウェア実装は、装置、ネットワーク、ならびに/またはソフトウェア、ハードウェアおよび1つまたは複数の装置の組合せを含む。一部の実施形態は、たとえばソフトウェアおよび/またはハードウェアで実装されるルータなどのネットワーク装置内でネットワーク制御および管理機能を実装する。一部の実施形態のネットワーク装置は、当技術分野で知られている一般的な装置に比べて拡張された特徴を含む。これらの拡張型装置には、たとえば、Avaya Inc.社によって提供されるルーティング・インテリジェンス・ユニット(RIU:routing intelligence unit)が含まれる。
【0054】
一部の実施形態は、ネットワーク・アーキテクチュア内でルータおよび/またはルーティング・インテリジェンス・ユニットのうちの1つまたは複数にルート変更を加えることによって制御を行う。これらの実施形態は、トラフィックを所与のトラフィック・カテゴリに適したリソースに割り当てる。たとえば、一部の実施形態は、トラフィック・カテゴリの識別のためにToSマーキングを割り当てる。これらの実施形態がたとえば信頼できるおよび/またはフリークエント・フライヤ・トラフィックなど、より重要であると識別するトラフィックは、優先される扱いを受ける。
【0055】
B.ISPおよび企業システム
上述した諸実施形態の様々な特徴は、それぞれ異なる実施形態で異なるやり方で組み合わされる。これらの実施形態は、企業および/またはインターネット・サービス・プロバイダ(ISP)環境での実装を含む。たとえば図11は、一部の実施形態のシステム1100を示している。この図に示すように、システム1100は、ネットワーク1115を介して企業サブネット1110に結合されたISPサブネット1105を含む。ネットワーク1115は一般に、広域ネットワーク、またはインターネットなどのネットワークのネットワークである。図11にやはり示すように、ネットワーク・ルーティング装置1120、1125および1130の複数のインスタンスが、ネットワーク1115上の1つまたは複数の場所に設置される。図11のシステム1100内の装置は、たとえばルーティング・インテリジェンス・ユニット1120および1130、ならびに標準のルータ1125など、ネットワーク化された装置の異種の集合を含む。
【0056】
C.実装場所
本発明は、企業および/またはインターネット・サービス・プロバイダのネットワーク内で実装され得る。企業内で実装される場合、一部の実施形態は、企業の中央本社、本社の端、支店内および/または支店の端で実装される。同様に、サービス・プロバイダ内で実装される場合、一部の実施形態は中心で、および/またはサービス・プロバイダのネットワークのエッジで実装される。具体的には、一部の実施形態は、企業および/またはサービス・プロバイダのネットワークのエッジのできるだけ近くに実装される。様々な実装場所は、通知およびフィードバックなどの特定の特徴を提供する。これらの実装について、以下で参照する図に関連して述べる。
【0057】
1.企業サブネットワークのエッジおよび内部
たとえば、本発明は、企業ネットワークのエッジに配置され得る。これらの実施形態は具体的には、特定のサイトへの入トラフィックをスキャンすることに役立つ。図12は、企業サブネットワーク1210のエッジに位置するネットワーク装置1230を含むネットワーク1200を示している。この図に示すように、サブネット1210は、ネットワーク化された装置1230および1235と連携して動作する。サブネット1210は、ネストされた下位サブネット1255を含めて、サブネット1210を形成する複数のネットワーク装置1240、1245および1250をも含む。ネットワーク装置1230はルーティング・インテリジェンス・ユニットである。図12に示す代表的な実施形態は、企業のサブネット1210内に入るトラフィックを分類するために、節Iで上記に論じた方法を一般に使用する。したがって、これらの実施形態は一般に、入トラフィックを、信頼できる、疑わしい、または悪いと知られていると分類する。悪いと知られているトラフィックは破棄され、またはブラックホールに入れられるが、信頼できるおよび疑わしいトラフィックは、これらのトラフィック・カテゴリのそれぞれに割り当てられるリソースに向けられる。上述したように、こうしたリソースには、たとえばToSマーキング、MPLSタグ付けされたルート、それぞれ異なる物理リンク、それぞれ異なるルート、および/あるいは1つまたは複数のレート制御装置が含まれる。一部の実施形態では、レート制御は、トークン・バケットを使用することによって達成される。たとえば、一部の実施形態では、疑わしいトラフィックは、トークン・バケットを使用することによってサイトの基盤内でレート制限される。図12にやはり示すように、追加のルーティング・インテリジェンス・ユニット1250が、企業サブネットワーク1210の基盤のかなり内部に置かれる。一部の実施形態はサブネットワーク1210内に下位サブネットのネストされた複数の層を有し、また追加のネットワーク装置および/またはルーティング・ユニットが任意選択で、ネストされたこれらのサブネットワークの非常に深い層内に設置されることが当業者には理解されよう。
【0058】
ネットワーク装置1235〜45は、それぞれ異なるサーバであり得る。こうした実施形態では、企業サブネットワーク1210内に入る信頼できるおよび疑わしいトラフィック・ストリームは、それぞれ異なるサーバ1235〜45に向けられる。たとえば、一部の実施形態の疑わしいトラフィックは具体的にはネットワーク・サーバ装置1240に向けられるが、信頼できるトラフィックは信頼できるサーバ1245に向けられる。これらの実施形態は、信頼できるサーバが疑わしいトラフィックの内容によって影響を受ける状態にする可能性を小さくする。
【0059】
図12に示すネストされた装置および/またはサブネットワークのアーキテクチュアは、さらなる利点を有する。たとえば、ルーティング・インテリジェンス・ユニットの複数の設置1230および1250は、サイト、およびサイト内の様々な場所に向かう予定のトラフィックが、複数の段階で、様々な粒度レベルでチェックされることを可能にする。さらに、これらの実施形態では、悪いと知られているトラフィックは、ルーティング・インテリジェンス・ユニット1230で、またルーティング・インテリジェンス・ユニット1250でも破棄される。さらに、前に分類されたトラフィックは、これらの様々な位置で、格の上げ下げが行われる。さらに、図12に示すルーティング・インテリジェンス・ユニット1250は、サイトの基盤内のより深くに、また特定のサーバのより近くに設置される。この位置の配置は、近くのサーバのためにより特化された検出および/または制御を可能にするなど、特定の利点を有する。
【0060】
さらに、このシステム・アーキテクチュアは、それぞれ異なるサーバのサイト・サブネットワーク内の深くに到達するトラフィック量が、サイトのエッジで交差する総トラフィック量より小さいので、スケーラビリティを向上させ得る。さらに、本発明は、それぞれ異なるトラフィック・カテゴリをそれぞれ異なるサーバに向けるなど、前の実施例で述べた諸機能を実施する。
【0061】
2.サービス・プロバイダ・サブネットワークのエッジおよび内部
図13は、一部の実施形態のネットワーク装置が、サービス・プロバイダ・サブネット1305の複数の位置、たとえばネットワーク装置1330、1350および1360上にも設置されるネットワーク1300を示している。この図に示す例示的なサイト(この場合、例示的なサービス・プロバイダ・サイト1305)は、サイト内への2つ以上のエントリ・ポイントを含む。具体的には、これらのエントリ・ポイントは、それぞれネットワーク装置1330および1360によって保護される。これらの外部の設置1330および1360は一般に、節Iで上述した方法のうちの1つまたは複数を使用して、エントリ・ポイントでトラフィックを調査しおよび/または分類する。上述したように、悪いと知られているトラフィックは、それがサイト1305内に入る前に破棄され得る。
【0062】
やはり図13に示すように、サービス・プロバイダ・サブネット1305は、下位サブネット1355、およびサイト内に設置されたネットワーク装置1350をも含む。したがって、図12に示す企業モデルと同様に、一部の実施形態のサービス・プロバイダ・サブネット1305は、外部の設置1330および1360、ならびに内部の設置1350を含む。これらの実施形態では、それぞれ異なる設置場所が、複数の回線、および/または攻撃からの防御レベルを提供する。具体的には、内部設置1350は、サービス・プロバイダ・サイト1305のためのより粒度の高い検出および制御を提供する。
【0063】
さらに、複数の設置は、サイト内に追加の特徴を提供し得る。これらの追加の特徴は、フィードバックおよび/またはアップストリーム通知を含む。たとえば、図13に示すように、内部設置1350は、アップストリーム通知を使用することによって、そのより詳細な情報をネットワーク・エッジの外部設置1330と共有する。これらの実施形態のアップストリーム通知は一般に、たとえば(1)フリークエント・フライヤー情報を含めて、信頼できると判断されるトラフィック、(2)疑わしいと判断されるトラフィックおよび/または(3)悪いと判断されるトラフィックに関する制御/シグナリング・タイプの情報を含む。一部の実施形態のアップストリーム通知は、サイトのエッジの外部設置1330に、それぞれ異なるトラフィック・カテゴリについて異なるやり方で振舞うように要求する。一部の実施形態は、上述のそれぞれ異なるトラフィック・カテゴリについて異なる措置を実施する。同様に、外部位置1330は、サービス・プロバイダ・サブネットワーク1305内のある場所に向かう予定のトラフィックに関して情報を前方に送る。
【0064】
3.さらなる通知例
上述のサイト内の通知は、サイト間の場所に適応され得る。こうしたシステムでは、サービス・プロバイダと企業の両方のサブネットワーク内のルーティング・インテリジェンス・ユニットなどのネットワーク装置は、上述の諸機能のうちの1つまたは複数を独立に実施する。サービス・プロバイダは、企業のネットワークに向けられた疑わしいトラフィックの存在について企業に通知する。これらの実施形態では、サービス・プロバイダは、トラフィック分類および制御に関係する様々な側面について企業に通知する。一部の実施形態のサービス・プロバイダは、企業顧客へのサービスとして通知を提供する。たとえば、図14は、追加の制御タイプの情報、たとえば、企業1410に向けられたトラフィックが疑わしトラフィックを含むことの情報を付けて企業1410に通知するサービス・プロバイダ1405を含むネットワーク1400を示している。図14に示す異種のネットワーク装置の混合物は、ルーティング・インテリジェンス・ユニット1230および1330などの「インテリジェント」装置、ならびに一般的なルータ1435などの標準のネットワーク装置を含む。一部の実施形態は、インテリジェント装置を使用することによって、通知などの制御−信号情報を送受信する。
【0065】
図15は、企業サブネット1510上のネットワーク装置1230が、アップストリーム・サービス・プロバイダ1505上に置かれたネットワーク装置1330にフィードバック通知を送信することを示している。これらの通知は一般に、たとえば受信されたトラフィックの分類に関する情報など、制御タイプの情報をも含む。企業はしばしば、たとえばトラフィック・フローに関するより進歩した検出手法を使用することによって、より多くの知識を有するよりよい状況に置かれる。一部の実施形態の企業はさらに、サービス・プロバイダによりよいアップストリーム通知を提供する。たとえば、トラフィックは、企業の構内を離れるときにしばしば暗号化される。したがって、ネットワーク装置は、具体的にはサービス・プロバイダのエッジでは、分類/格付けの判断においてトラフィック(パケット)の内容を使用することができない。これらの判断については、図1〜6に関連して上記で論じている。
【0066】
一部の実施形態の通知はさらに、たとえば、疑わしいとマーク付けされる特定のソースの識別、企業によって判断されるフリークエント・フライヤーのリスト、その場所のルーティング・インテリジェンス・ユニットに関する追加の情報、および/あるいは疑わしいトラフィックまたは疑わしいトラフィックのサブセットのレート制限に関する情報を含む。一部の実施形態では、レート制限によって、企業のインバウンド・リンクが圧倒されることを防止する。
【0067】
D.常時オン・アーキテクチュアの提供
1.受動制御
一部の実施形態のネットワーク・ルーティング制御は「受動的」である。受動制御は、制御および保護の特性が常にオンであることを示す。これらの実施形態は、攻撃の検出に基づくトリガを必要としない。これらの実施形態の一部はさらに、完全に正当なトラフィックからなる攻撃に対処する。したがって、一部の実施形態は、「よりスマートな」攻撃を検出する。たとえば、一部の実施形態は、正当なソースから異常な負荷パターンを検出する。場合によっては、これらの実施形態は、負荷パラメータおよび/または一般的な侵入検出システムによっては検出不可能なパターンを検出する。ソースまたはタイプに関係なく、一部の実施形態は、攻撃が開始する場合に、攻撃が進行中であることを判断する必要はない。そうではなく、一部の実施形態では、信頼できるユーザは順調な体験を有し、攻撃は自動的に自己制限される。
【0068】
2.常時オン
一部の実施形態は、攻撃が実際に行われているかどうか判断する能力に依存しない。図1〜6に関して上述したプロセスの判断は、通常と攻撃の状態のもとで同じ働きをするように設定される。こうしたシステムは、疑わしいトラフィックを検出し、疑わしいトラフィックの扱いに対する従来の手法を必ずしも必要としないやり方でそれを取り扱う。上述したように、当技術分野の一般的な手法は、疑わしいトラフィックを、悪いと知られているまたは信頼できるものとして取り扱う。さらに、悪いと知られているトラフィックは一般に破棄され、信頼できるトラフィックは一般に、信頼できるトラフィック用に指定されたリソースに送信される。したがって、一般的な手法は、不所望に多くの偽陽性および偽陰性をもたらす。それとは異なり、一部の実施形態はそうではなく、トラフィックが信頼できると判明する前はそれを疑わしいと扱うことによって「常時オン」アーキテクチュアを実装する。このように、こうしたシステムは、トラフィックが目標の宛先に攻撃データを運ぶ前には攻撃が容易に識別されない場合でも、攻撃の影響を最小限に抑える。これらの実施形態は、様々なやり方で実施される。たとえば、
(1)通常なトラフィックが通常の状態では有利な扱いを受ける。
(2)通常なトラフィックが通常の状態では有利な扱いを受けない。または
(3)通常なトラフィックが、整っている企業ポリシーに従って、または別の原理に従って有利なステータスを受ける。これらの実施形態の一部について次に述べる。
【0069】
信頼できるおよび疑わしいトラフィックは最初に同じリソースを使用し、次いで信頼できるトラフィックがネットワーク動作の特定の期間の間にルーティングされる。常時オン・アーキテクチュアの特定の実装では、すべてのフローは既定により「ボトルネック」リソース内に向けられる。ボトルネックは最初に、通常のトラフィックを収容できるほど十分に広く設定される。あるいは、攻撃が開始されるまで、疑わしいトラフィックに対する検出可能な影響はない。通常のネットワーク動作の間、一部のエンドポイントは「信頼できる」になる。これらのエンドポイントが信頼できるものになるときに、こうしたシステムは、信頼できるエンドポイントにボトルネックを回避するよう指示する。あるいは、信頼できるトラフィックは、たとえば異常なネットワーク活動の期間中など様々な他の期間の間、ボトルネックの周りに、別のリソースを介して向けられ得る。
【0070】
信頼できるおよび疑わしいトラフィックは、時および/またはネットワークの動作に関係なく、それぞれ異なるリソースに割り当てられる。ボトルネック・リソースに入るトラフィックは、たとえば十分には信頼されていないユーザからの(疑わしい)トラフィックなど、悪いおよび/または疑わしいトラフィックを含む。こうしたシステムは、ボトルネックを通って流れる悪いトラフィックをまだ認識さえしていない可能性が高い従来の侵入検出システムに比べて、具体的な利点を有する。したがって、従来のIDSシステムは、悪いトラフィックの阻止(破棄)をそれが手遅れになるまで開始していない可能性が高い。
【0071】
IV.利点
サービス・プロバイダは、上記実施形態のうちの1つまたは複数を企業顧客へのサービスとして提供する。このサービスは、これらの顧客に特定の利益をもたらす。たとえば、疑わしいトラフィックが依然としてサービスを受けることを可能にすることによって一部の実施形態は、信頼できるトラフィックが誤って破棄される機会を減少させる。したがって、商売を逃し、また機会を失うことの発生が最小限に抑えられる。したがって、これらの実施形態は具体的には、偽陽性の数を減少させる。さらに、信頼できるトラフィックが疑わしいトラフィックとは別個のリソースを使用することを保証することによって、信頼できるトラフィックのために特別な保護が提供される。たとえば、これらの実施形態の疑わしいトラフィックは、信頼できるトラフィックに影響を及ぼさない。これは、通過を許された疑わしいトラフィックの一部が実際には悪いものであると判断される場合に特に有利である。
【0072】
さらに、攻撃が一般に企業内またはサービス・プロバイダ・ネットワーク内の輻輳など、負荷関連のパフォーマンス問題を引き起こすことを考慮すると、一部の実施形態は、問題が発生しているネットワークの部分から離すようにトラフィックを向けることによって攻撃関連のパフォーマンス問題を最小限に抑えおよび/または回避する。攻撃を受けるネットワークの負荷、パフォーマンス、輻輳および他の問題については、たとえば2002年7月25日に出願された、公開番号2003/0039212の米国特許出願第10/070515号「Method and apparatus for the assessment and optimization of network traffic」、2001年8月6日に出願された、公開番号2002/0078223の米国特許出願第09/923924号「Method and apparatus for performance and cost optimization in an inter network」、2001年9月20日に出願された、公開番号2002/0075813の米国特許出願第09/960623号「Method and apparatus for coordinating routing parameters via a back-channel communication medium」、2002年12月12日に出願された、公開番号2003/0161321の米国特許出願第10/070338号「Method and apparatus for characterizing the quality of a network path」、および2003年2月4日に出願された、国際公開番号WO/03/067731のPCT国際出願第PCT/US03/03297号「Load optimization」に記載されている。これらの出願を、参考により本明細書に組み込む。
【0073】
さらに、上述の諸実施形態の一部は、既存のアーキテクチュアへの代替のおよび/またはスケーラブルな改良を提供している。たとえば、こうしたシステムは、アウトバウンド・パフォーマンス最適化、アウトバウンド・アプリケーション・パフォーマンス最適化、アウトバウンド負荷最適化、インバウンド・パフォーマンス最適化、インバウンド・アプリケーション・パフォーマンス最適化および/またはインバウンド負荷最適化に関する1つまたは複数の方法および/またはシステムの代わりに、またはそれと併せて実装される。これらのコンテキストについては、たとえば上述の参照により組み込まれている諸米国特許出願に記載されている。
【0074】
本発明について複数の具体的な詳細を参照して述べたが、本発明の精神から逸脱せずに本発明は他の特定の形で実施され得ることが当業者には理解されよう。したがって、本発明は、上記の例示的な詳細によって制限されるものではなく、添付の特許請求の範囲によって定められるものであることが当業者には理解されよう。
【技術分野】
【0001】
本発明は、ネットワーク・トラフィックのセキュリティに関する。詳細には、本発明は、トラフィック分類および/またはリソース配分を使用することによってネットワーク・トラフィックのセキュリティを提供することに関する。
【背景技術】
【0002】
本出願は、参照により本明細書に組み込まれている、2004年9月9日に出願した同時係属の米国仮特許出願第60/609062号「METHODS AND SYSTEMS FOR REMOTE OUTBOUND CONTROL, SECURITY STRAWMAN」の米国法典第35編119条に基づく優先権を主張するものである。
【0003】
相互運用するネットワークの現在の接続世界では、望まれないアクセスおよび望まれない侵入を防ぐことは恒常的な問題である。ネットワークベースの攻撃に対処するための一部の手法は、応答を系統立てて作成するための工程として、侵入の発生を検出することを伴う。一般の侵入検出技術は偽陽性と偽陰性を被り、その両方ともが悲惨な結果をしばしばもたらす。偽陰性は攻撃からネットワークを保護し損なうという結果を招き、偽陽性は商機の逸失、または「虚報を伝えて周囲を騒がせる(cry wolf)」システムをもたらす。したがって、偽陽性は、このタイプの誤りが最終的にはネットワークを真の攻撃から保護するための解決策の効果をも減少させるので、ネットワーク保護の失敗をももたらす。
【0004】
偽陽性および偽陰性の問題は、一般的な侵入検出システムの2つの特性からもたらされる。たとえばサービス拒否攻撃(DoS:Denial of Service)などの侵入または攻撃からデータ・センタ、サーバおよびネットワーク・リソースを保護しようとする多くの製品および手法が存在するにもかかわらず、一般的な手法はすべて、以下の特性を共有している。
(1)この手法は、侵入検出の基礎を、ネットワーク・トラフィックのある種の調査だけに置く。すなわち、この手法がオンラインであろうとオフラインであろうと、各パケットを見て、その特性および内容を調査することによって攻撃が存在するかどうかこの手法が判断する。したがって、より具体的には、検出の助けとするために、ネットワーク内の他のツールおよびプロトコルとの対話から得られる外部からの知識はほとんど使用されない。さらに、トラフィックが信用できるか、それとも悪いと知られているかの判断は、現在のトラフィック自体の調査だけに基づく場合にはしばしば効果的でなく、または有用となるには手遅れである。
(2)侵入検出の結果は「黒」か「白」である。すなわち、トラフィックは信頼できる、または悪いと知られているに分類される。一般に、信頼できるものでも、悪いと知られているものでもないトラフィックの追加の分類はない。従来のシステムには、グレー・ゾーンの概念はない。したがって、中間の知られていない、または疑わしいが、悪いと知られているとはまだ判断されていないトラフィックのカテゴリはない。一般に、特定の実装およびユーザ構成に応じて、こうした疑わしいトラフィックは、信頼できる、または悪いと知られているに分類される。
【0005】
上述したように、「信頼できる」または「悪いと知られている」の2つのカテゴリしかもたないことの1つの問題は、ユーザが結局はかなりの量の偽陽性、偽陰性またはその両方を有することになることである。偽陰性と偽陽性の両方には、多大な時間および金がかかり得る。偽陽性と偽陰性の両方は、悲惨な結果をもたらし得る。たとえば、偽陰性が発生する場合、検出措置は望まれない侵入に対する保護に失敗し、組織のリソースが侵入者に露呈される。また偽陽性は損害が大きいこともある。実装に応じて、悪いと知られているに分類されたトラフィックは、警告をトリガし、または破棄される(drop)。良いトラフィックを破棄すると一般に、商売を逃し、機会を逸することになり、しばしば追加の結果をもたらす。警告のトリガによって、情報技術(IT:information technology)要員が発生についての調査に時間を費やすことになり、それは従業員リソース、システムのダウン時間およびお金に関して企業に損失を負わせ得る。複数の誤った警告を有すると、システムが十分な時間「虚報を伝えて周囲を騒がせる」場合には警告が無視され、あるいは安全対策、反応のよい対抗策、ならびに通知および/または保護が効果的であるには過度に低く調整され、保護システムの信頼が損なわれる。これによって、保護システムが真の攻撃を検出し、それから保護する能力が低下する。
【0006】
1996年6月17日に出願された米国特許第5835726号「System for securing the flow of and selectively modifying packets in a computer network」および1999年4月1日に出願された米国特許第6701432号「Firewall including local bus」は、ファイヤウォール・タイプのシステムを含めて、上述の従来のシステムについて論じている。米国特許第5835726号および6701432号を、参照により本明細書に組み込む。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】米国仮特許出願第60/609062号
【特許文献2】米国特許第5835726号
【特許文献3】米国特許第6701432号
【特許文献4】米国特許出願第10/070515号
【特許文献5】米国特許出願第09/923924号
【特許文献6】米国特許出願第09/960623号
【特許文献7】米国特許出願第10/070338号
【特許文献8】PCT国際出願第PCT/US03/03297号
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明は、ネットワーク保護のためのシステムおよびその方法である。このシステムは、ネットワークに害を及ぼし得るデータ・トラフィックを防止する。さらに、このシステムは、望まれない潜在的な侵入に関する偽陽性および偽陰性の判断を防止する。
【課題を解決するための手段】
【0009】
トラフィックは、信頼できる、悪いと知られているおよび疑わしいを含めて、少なくとも3つのカテゴリに分類される。このシステムは、それぞれ異なるトラフィック・カテゴリのためにそれぞれ異なるリソースを使用し得る。これは、悪いデータまたは疑わしいデータがネットワーク・リソースに損害を与えることを防止し、また信頼できるトラフィックに向上されたサービスを提供し得る。このシステムは、ネットワーク・ユーザの履歴および使用を追跡する。履歴は、トラフィックについてどのカテゴリが指定されているか判断する際に使用される。新しいエンドポイントおよび/またはトラフィックは最初に疑わしいものとして取り扱われ、次いで後に信頼できるに格上げされ、または悪いに格下げされ得る。履歴は、向上された取扱いを受け得るいわゆるフリークエント・フライヤーを判断するために使用されることもできる。
【0010】
悪いと判断されるトラフィックは、破棄され、またはネットワークのエッジへとブラックホールに入れられることもできる。疑わしいトラフィックは、異なるリソースを通って向けられ得る。異なるリソースは、異なる物理リソース、あるいは同じ物理リソース内にあるが、異なる優先度で取り扱われる異なる論理リソースであり得る。攻撃の検出は、ソース・ベース、宛先ベース、フリークエント・フライヤー・ベースまたはフロー・レート・ベースであり得る。
【0011】
セキュリティ向上のため、追加の境界が、従来の侵入検出と併せて使用され得る。疑わしいおよび悪いトラフィックをそれぞれ異なるネットワーク・リソースで取り扱うことによって、従来の侵入検出方法によってもたらされるどんな誤りの影響もが最小限に抑えられる。本発明は、ハードウェア、ソフトウェアまたはその組合せで実装され得る。
本発明の新規な諸特徴について、添付の特許請求の範囲で述べる。しかし、説明のため、本発明の複数の実施形態について、以下の図面で述べる。
【図面の簡単な説明】
【0012】
【図1A】本発明によるトラフィック分類のためのプロセスを示す図である。
【図1B】追加の工程を伴う図1Aのプロセスを示す図である。
【図2】ネットワークを介して第2の装置にトラフィックを送信する第1の装置を示す図である。
【図3】2つ以上のリソースを使用することによって第2の装置にトラフィックを送信する第1の装置を示す図である。
【図4】第3のリソースを使用する第1の装置を示す図である。
【図5】本発明によるリソース配分のためのプロセス・フローを示す図である。
【図6】ネットワークのリソース配分を概念的に示す図である。
【図7】ネットワークのリソース配分を使用してトラフィックを送信する複数の装置を概念的に示す図である。
【図8】一部の実施形態のネットワーク装置が知的であり、悪いトラフィックを局所的に破棄することを示す図である。
【図9A】一般的な侵入検出システム内のクリティカル境界を概念的に示す図である。
【図9B】一般的な侵入検出システム内のクリティカル境界を概念的に示す図である。
【図10】特定の実施形態で実施されるクリティカル境界を概念的に示す図である。
【図11】本発明のシステム・アーキテクチュアを示す図である。
【図12】企業アーキテクチュアをさらに詳細に示す図である。
【図13】サービス・プロバイダ・アーキテクチュアをさらに詳細に示す図である。
【図14】本発明によるアップストリーム通知を示す図である。
【図15】本発明によるフィードバック通知を示す図である。
【発明を実施するための形態】
【0013】
以下の記述では、説明するために、複数の詳細および代替物について述べる。しかし、本発明は、これらの具体的な詳細を使用せずに実施され得ることが当業者には理解されよう。他の場合では、不必要な詳細で本発明の説明を不明瞭にしないために、よく知られている構造および装置がブロック図の形で示されている。以下の節Iは、本発明の一部の実施形態のプロセス実施について述べている。節IIは、一部の実施形態の実施によりもたらされるクリティカル境界について述べている。節IIIは複数のシステム実装について述べており、節IVは本発明の具体的な利点について論じている。
【0014】
本発明は、ネットワーク・リソースを監視し、インターネットまたは別のネットワークを介してアプリケーションを操作するエンドユーザのシステム上でパフォーマンスを測定するために使用される。監視を使用することによって、ネットワーク活動の固有のビューが、アプリケーションの知識、ネットワーク内のユーザの履歴知識、ユーザが使用するアプリケーション、トラフィック・パターン、ユーザおよびアプリケーションの予想される特性および要件を組み合わせる。この固有のビューは、偽陽性および偽陰性の数を減少させることによって侵入検出の効果を向上させるために使用される。これらの利点は新規の1組のアプリケーション・プログラミング・インターフェース(API:application programming interface)、ネットワーク管理ツールおよびアプリケーションを使用することによって提供されるが、特定の代替物は、既存の侵入監視ツールに複数の新規な概念を取り入れる。
【0015】
I プロセスの実施
A.トラフィックの分類
図1Aは、本発明の特定の実施形態によって実施されるプロセス100を示している。図1Aに示すように、工程105で、ネットワーク・リソースが監視される。次いで、工程110で、アプリケーション・パフォーマンスも監視される。たとえば、ネットワーク・リソースおよびアプリケーション・パフォーマンスの監視は、エンドユーザのシステム上でネットワークを介したアプリケーション操作のパフォーマンスを測定することを含み得る。ネットワークは、インターネット、ならびにたとえばローカル・エリア・ネットワーク、イントラネット、プライベート・ネットワークおよび仮想プライベート・ネットワークなど、他のタイプのネットワークを含み得る。トラフィックは一般に、ネットワーク内の1つのエンドポイントたとえばソースから、ネットワーク内の別のエンドポイントたとえば宛先に流れる。トラフィックは、ネットワーク上を流れるデータを指す。
【0016】
一例として、図2は、例示的なネットワーク200を介して第2の装置210にトラフィックを提供する第1の装置205を示している。ネットワーク200は、たとえばインターネット201など、ネットワークのネットワークである。第1装置205は、宛先の働きをする第2装置210へのソースとして働く。第1および第2装置205、210はそれぞれ、サブネットワーク204Aおよび204Dに個々に結合される。この実施形態では、第1および第2装置205および210は、インターネット201と、サブネットワーク204Aおよび204Dとの間のインターフェースを提供する。図2に示すように、トラフィックは、ネットワーク・リソース215を通って第2装置210に到着する。図2に示すネットワーク200は例示的なものであることが当業者には理解されよう。したがって、ネットワーク200は、たとえばMPLSネットワーク、MPLS−VPNネットワーク、プライベート・ネットワーク、VPNネットワークおよび/またはATMネットワークなど、ネットワークの他のタイプおよび構成を表すものである。
【0017】
上述したように、トラフィックは、それがネットワークを通ってソースから宛先に流れるときに監視される。図1Aを再び参照すると、トラフィックがネットワークを通って流れる間、プロセス100の工程115で、トラフィックの第1のサブセットが第1のカテゴリに分類される。第1のカテゴリのトラフィック・タイプは、信頼できる、悪いと知られている、疑わしいトラフィックおよび/またはその組合せを含む。追加のカテゴリ・レベルが、本発明に従って実施され得ることが当業者には理解されよう。次いで、工程130で、第1トラフィック・サブセットのカテゴリに基づいて、第2のトラフィック・サブセットについての措置が判断される。次いで、プロセス100は終了する。第1トラフィック・サブセットは、ネットワーク・リソースの監視および/またはアプリケーションのパフォーマンスの監視に基づいて分類される。同様に、第2サブセットについての措置も、ネットワーク・リソースおよび/またはアプリケーションのパフォーマンスに基づく。
【0018】
図1Aに示す特定のプロセス実施の変形形態が当業者にはさらに理解されよう。たとえば、代替実装のプロセスは、追加の工程および/または工程のそれぞれ異なる順序を含む。具体的には、特定の実装のシステムは好ましくは、ネットワークのリソースおよび/またはアプリケーションを監視しながら、ユーザおよびネットワーク使用のそのパターンに基づく情報を含む履歴を追跡する。このシステムは、第1サブセットについての措置を判断し、および/または第2のトラフィック・サブセットを分類することもできる。図1Bは、これらの追加の工程を含むプロセス101の追加の例示的な実施を示している。複数の図の要素に関して使用されている参照番号は、図示する諸実施形態の同じ要素に関して同じである。たとえば、図1Bのプロセス101内の同様にラベル付けされた諸工程は、図1Aのプロセス100に関して上述した諸工程と同じである。図1Bに示すように、第1トラフィック・サブセットが工程115で分類された後に、プロセス101は工程120に移り、第1トラフィック・サブセットについて措置が判断される。次いで、プロセス101は工程125に移り、第2トラフィック・サブセットが分類される。次いで、工程130で、第2トラフィック・サブセットについて措置が判断され、プロセス101は工程135に移る。工程135で、ユーザ、およびそのネットワーク使用パターンの履歴が追跡される。次いで、プロセス101は終了する。上述したように、図1Aおよび1Bに示した例示的な実装の可能な変形形態が当業者には理解されよう。たとえば、図1Bに示すプロセス101の等価のプロセス実施では、第2トラフィック・サブセットは、第1トラフィック・サブセットについて措置が判断される前に分類される。
【0019】
好ましくは、トラフィックの第1サブセットと第2サブセットは重複しない。たとえば、本発明の特定の代替物によれば、第1トラフィック・サブセットは疑わしいトラフィックを含み、第2トラフィック・サブセットは信頼できるトラフィックを含む。代替の実施形態は、トラフィックをそれぞれ異なるやり方で扱う。たとえば、図3は、こうした実施形態によるネットワークを示している。図3は、追加のネットワーク・リソース320があることを除いて、図2と実質上同じ要素を伴う実質上同じネットワークを示している。図3に示すように、信頼できると分類されるトラフィックは、疑わしいトラフィックとは別に、追加のリソース320を介してルーティングされる、他の代替実施形態は、悪いと知られているトラフィックの第3のカテゴリを含む。一部の実施形態の悪いトラフィックはさらに、信頼できるおよび疑わしいトラフィックとは別のやり方で扱われる。図4は、追加のネットワーク・リソース425があることを除いて、図3と実質上同じ要素を伴う実質上同じネットワークを示している。図4に示すように、悪いと知られていると分類されるトラフィックは、追加のリソース425を介してルーティングされる、一部の実施形態では、トラフィックは、信頼できると既に判断されているトラフィックを含む。これらの実施形態については、節IIIでさらに述べる。
【0020】
1.トラフィック監視
好ましくは本発明は、トラフィックを観察し、ネットワークのユーザを監視する。代替の実施形態はさらに、1つまたは複数のネットワーク・リソースを監視する。たとえば、一部の実施形態は、帯域幅の使用状況を監視する。これらの実施形態は、ネットワークを介したアプリケーションの操作のパフォーマンスを査定し、宛先での十分なアプリケーション・パフォーマンスを保証する必要性に応じてネットワークに変更を加える(inject)。また他の実施形態は、たとえば重要な取引が最良のサービスを受けることを保証することによって企業ポリシーを実施する。これらの実施形態では、ネットワーク上のユーザの母集団は、共有されるネットワーク・リソースのコストおよび使用を最小限に抑える十分なサービスを受け続ける。
【0021】
共有されるネットワーク・リソースは、たとえばチャネル、プロトコルおよび/またはサービスなど、トラフィックのためのそれぞれ異なるルーティング機構を含む。これは、リソース配分を制限することによってトラフィックの流れを制約し、および/または変更を加え得る。リソース配分は、それぞれ別のやり方で分類されたトラフィックを、
(1)トラフィックがある方向または別の方向にルーティングされるようにそれぞれ異なるパスに、または
(2)トラフィックが、様々なサービス・レベルによるサービスのためにタグ付けされるようにそれぞれ異なるタグを付けて、または
(3)一部のトラフィック・タイプが他のトラフィック・タイプより優先されるようにそれぞれ異なるマークを付けて割り当てることによって実施され得る。
しかし、使用され得る様々な追加のリソース配分が当業者には理解されよう。リソース配分について、以下でさらに論じる。
【0022】
2.トラフィックのカテゴリ
トラフィックは、異常な特性を有するトラフィックを検出することによって分類され得る。異常な特性を有するトラフィックが検出されるときに、異常なトラフィックには、トラフィックの信頼度を表す、攻撃の一環であることの非ゼロの確率が割り当てられ得る。信頼度が所定の閾値未満である場合、このシステムはこうしたトラフィックが攻撃であると見なすことができ、異常なトラフィックは疑わしいと分類される。
【0023】
上述したように、ネットワーク・リソースおよび/またはアプリケーション・パフォーマンスは、第1のトラフィック・サブセットを分類するために監視される。監視および/または分類は、第1および/または第2トラフィック・サブセットについて取るべき措置を判断するために使用され得る。ネットワーク・リソースおよびパフォーマンスを測定することによってこのシステムは、それぞれ異なるリソースに渡るトラフィックの所与のサブセットのアプリケーション・パフォーマンスを認識する。その測定は、トラフィックを信頼できるまたは疑わしいと分類するために使用される。図3に関して上述したように、これらの実施形態は一般に、信頼できるトラフィックを第1の1組のリソースに送信し、疑わしいトラフィックを第2の1組のリソースに送信する。
【0024】
第1および第2の別個のリソースは、疑わしいトラフィックが信頼できるトラフィックから分離されることを保証する。この分離によって、疑わしいトラフィック、具体的には問題があると判明する疑わしいトラフィック、たとえば後に悪いと判断される疑わしいトラフィックの悪影響が最低限に抑えられる。さらに、一部の実施形態の信頼できるトラフィックによって運ばれるデータには、疑わしいデータと比べて低い遅延など、より高い優先度が与えられる。これらの実施形態では、信頼できるトラフィックは疑わしいトラフィックに先手を取り、それによって、後に有害と判明するデータを運ぶ疑わしいトラフィックの潜在的に有害な効果を最小限に抑える。
【0025】
3.新しいエンドポイントおよび降格
新しいエンドポイントおよび/または新しいトラフィックは最初に、疑わしいと分類される。これらの新しいエンドポイントおよび/または新しいトラフィックは後に、複数の要因に基づいて、疑わしいカテゴリから信頼できるまたは悪いカテゴリへと調整され得る。さらに、予想されるより多くのトラフィックを生成しているいずれのエンドポイントもが、疑わしいまたは悪いと分類され得る。さらに、異常なトラフィック、および/または異常な振る舞いをしているエンドポイントからのトラフィックは、疑わしいまたは悪いカテゴリに降格され得ることはめずらしい。トラフィックは、たとえばDoS攻撃からの過度なトラフィックなど、システム内にプログラムされた基準に従ってそれが動作するときに異常と判断される。異常なトラフィックおよび/またはエンドポイントは、当該のトラフィックが以前は信頼できると見なされていた場合でも降格され得る。これらの実施形態は一般に、攻撃の性質に関係なく、信頼できるエンドポイントであると見えるものから生じる攻撃から保護する。たとえば、信頼できるトラフィックが多過ぎるリソースを消費する場合、信頼できるトラフィックでも、信頼できるエンドポイントから行われる攻撃に対して保護するために一時的に降格される。一部の実施形態の信頼できるエンドポイントからの攻撃は、以下を含めて複数の可能なタイプのものであり得る。(1)信頼できるエンドポイントのソース・アドレスがスプーフィングされる。(2)信頼できるエンドポイントが実際には攻撃に関与している。(3)信頼できるエンドポイントが損なわれている。
【0026】
以前に信頼できると分類されたエンドポイントおよび/またはトラフィックには、たとえば「フリークエント・フライヤー」として特別なステータスが割り当てられ得る。フリークエント・フライヤーのステータスについて、次に詳細に論じる。
【0027】
4.フリークエント・フライヤー
「フリークエント・フライヤー」の概念が、特定のトラフィック・サブセットのカテゴリの判断および/またはそのサブセットについての措置の判断に役立てるために追加され得る。ネットワークおよびトラフィックを監視する間、特定の宛先または1組の宛先に向けられるトラフィックのソース・アドレスに関する履歴情報が追跡され得る。この履歴に関係する特定のパラメータの動向が発見され得る。一部の実施形態で動向が判断される対象のパラメータは以下を含む。
(1)それぞれのソース・アドレスの出現頻度のヒストグラム
(2)所与のソース・アドレスが1日の所与の時に発生する確率
(3)所与のソース・アドレスからのフロー間の到着時間間隔、および/または
(4)当業者によって理解される別のパラメータまたは動向
【0028】
パラメータ動向のサブセットが、1つの宛先または1組の宛先に関連してアドレスを「フリークエント・フライヤー」と分類するために使用される。フリークエント・フライヤーは、正当であり、したがって信頼できると判断されるソース・アドレスである。この判断は、このソース・アドレスから当該宛先へのトラフィックの出現頻度および時間に関する履歴の観察に基づく。フリークエント・フライヤーを識別するための他の基準は、(1)そのアドレスから来ており、その宛先または1組の宛先に向けられたトラフィックに関係する時刻についての考慮、(2)トランザクション上の異常、および/または(3)たとえばトランザクションの頻度および/または新しさなど、完了したトランザクションに基づく。
【0029】
フリークエント・フライヤーの概念は、特定の利点を有する。たとえば、単一パケットのインバウンド攻撃の特性は、かつて見たことのない単一のパケットが、エンドポイントから見えることである。一部の実施形態は、双方向トランザクションを完了するエンドポイントをフリークエント・フライヤーと宣言することによってこの特性を活用する。スプーフィングされるソースは一般に双方向トランザクションを完了し得ないので、スプーフィングされたアドレスの真の所有者による予想される応答は、第1のパケットを破棄しまたは無視することである。したがって、信頼できるデータおよび/またはトラフィックのフリークエント・フライヤー・カテゴリによって、スプーフィングされたソースの攻撃に対する保護を提供し得る。フリークエント・フライヤーの概念を使用する様々な追加の実施形態が当業者には理解されよう。たとえば、トランザクションで第3のパケットが、信頼できるエンドポイントについての良い表示と識別され得る。一部の実施形態は、第3のパケットがリセット(RST)パケットでないことを必要とし得る。
【0030】
一部の実施形態は、フリークエント・フライヤーを判断するために、トランザクションにおける異常を利用する。これらの実施形態はしばしば、様々なタイプの単一パケットUDP(user datagram protocol:ユーザ・データグラム・プロトコル)Microsoft(登録商標)の様々な攻撃、たとえば「スラマー」に対して効果的である。スラマー・タイプの攻撃は、トランザクション上の異常を一般に含む。これらの実施形態はしばしば、かなりの割合のフリークエント・フライヤー顧客に、たとえばスラマー・トラフィックよりも高い優先度のリソースなど、よりよいサービスを提供する。したがって、これらの実施形態のフリークエント・フライヤーは、リソースの優先度が高いため、スラマー・トラフィックによる影響を受けない。感染していない場所からのフリークエント・フライヤー顧客の割合が大きくなるほど、これらの実施形態はスラマー・タイプの攻撃をますます最小限に抑える。図1〜4に示す諸実施形態によって実施される検出および制御は、上述のフリークエント・フライヤーの概念を含む。フリークエント・フライヤーの概念は、サービス・プロバイダおよび/または企業のために実装され得る。これらの実施形態は一般に、サービス・プロバイダと企業の間の通信を伴う。企業および/またはサービス・プロバイダのために実施される様々な実施形態の一部の例については、以下の節IIIで述べる。しかし、この議論は次に、一部の実施形態のリソースに進む。分類されるとトラフィックは一般に、1つまたは複数のリソースを通ってその宛先に到達しなければならない。
【0031】
B.リソース配分
図5は、一部の実施形態のリソース配分のプロセス・フローを示している。この図に示すように、プロセス500は工程505で開始し、データ・ストリームが受信される。一部の実施形態のデータ・ストリームは、データ・パケットを備える。次いで、工程510で、パケットは分類され、または上述したように、トラフィックはサブセットに分類される。工程515で、トラフィックがたとえば悪いと知られているデータを伴うパケットを含む場合、プロセス500は工程520に移り、一部の実施形態では、悪いデータ(パケット)が破棄される。次いで、プロセス500は終了する。
【0032】
工程515で、トラフィックが悪いと(工程510で)分類されなかった場合、プロセス500は工程525に移り、トラフィックが疑わしいかどうかの判断が行われる。工程525でトラフィックが信頼できると判断される場合、プロセス500は工程530に移り、トラフィックは、たとえば信頼できるトラフィック用に指定された第1のリソースに割り当てられる。次いで、プロセス500は終了する。工程525でトラフィックが疑わしい場合は、プロセス500は工程535に移り、トラフィックは、たとえば疑わしいトラフィック用に指定された第2のリソースに割り当てられる。次いで、プロセス500は終了する。
【0033】
図6は、一部の実施形態のネットワーク600が、例えば、リソースのタイプまたは品質によって複数のリソースに分割可能であることを示している。この図に示すように、一部の実施形態のネットワーク・リソースの配分は、疑わしい630、信頼できる635および悪い640トラフィックおよび/またはデータのためのリソースを含む。したがって、ネットワーク600を通って第1の装置605から第2の装置610に移動するトラフィックは、これらのリソース・タイプのうちの1つまたは複数に関連付けられる。
【0034】
図7は、一部の実施形態のリソース配分の別の例を示している。この図に示すように、ネットワーク700は、疑わしいトラフィック用のリソース730と、信頼できるトラフィック735用のリソース735と、悪いと知られているトラフィック用のリソース740と、ソース705と、宛先710と、複数のネットワーク装置745、750、755および760とを含む。一部の実施形態のネットワーク装置745、750、755および760は、たとえば、ルータ、ブリッジおよび/または別のネットワーク特徴を含むネットワーク上のノードまたは「ホップ」など、ネットワーク・トポロジの特定の特徴を表す。ネットワーク装置745、750、755および760については、節IIIで以下でさらに論じる。
【0035】
図7に示すように、ソース705から宛先710へのトラフィックは、様々な時および/またはネットワーク700内の場所で、信頼できる、疑わしいまたは悪いと知られていると判断される。一部の実施形態は、トラフィックを分類するために、図1Aおよび1Bに関して上述したプロセスを使用する。次いで、トラフィックの各カテゴリは、そのトラフィック・カテゴリに割り当てられたリソースに向けられる。たとえば、ネットワーク装置745からのトラフィックは、疑わしい730、信頼できる735および/または悪い740トラフィック用のリソースに向けられ、ネットワーク装置755からのトラフィックは、悪いトラフィック用のリソース740に向けられる。図7に示すように、一部の実施形態のリソースは、悪いトラフィックが疑わしいトラフィックに影響を及ぼさず、また疑わしいトラフィックが信頼できるトラフィックに影響を及ぼさないようにする。一部の実施形態は、リソース配分を別のやり方で実施する。これらの違いについて以下で述べる。
【0036】
1.ブラックホール化
図8は、ネットワーク800のネットワーク装置845、850、855および860が、悪いと分類されたトラフィックを別のやり方で扱い得ることを示している。たとえば、悪いトラフィックは破棄され得る。破棄されたトラフィックは、ネットワークのエッジでブラックホールに入れられる。図8は、トラフィックが破棄されおよび/またはブラックホールに入れられる一例を示している。ネットワーク装置は、データを破棄しおよび/またはブラックホールに入れる能力を含む。これらの実施形態では、データはしばしばパケットの形である。図8に示すように、一部の実施形態のネットワーク装置845、850、855および860は、悪いトラフィックを認識しおよび/または破棄するための手段865などの拡張された特徴を含む。一部の実施形態は、廃棄されたデータを悪いトラフィック用のリソース840などのリソースに配分しおよび/または割り当てずに、破棄および/またはブラックホール化を実施する。このシステムは、悪いと知られているトラフィックがこのように破棄されるように指定されることができ、また一部の実施形態では、破棄されたトラフィックはネットワークのエッジでブラックホールに入れられる。
【0037】
2.レート制限
疑わしいトラフィックはレート制限され得る。一部の実施形態はトークン・バケットを使用することによってレート制限を達成し、一部の実施形態はたとえば重み付けされた公平なキューイングなど、別の手段によってレート制限を達成する。これらの実施形態では、疑わしいトラフィックに割り当てられる重みは、信頼できるトラフィックに割り当てられる重みより低い。
【0038】
また、インターネット・サービス・プロバイダなどのサービス・プロバイダは、そのピアに関係する1つまたは複数のパラメータの知識を有する。たとえば、サービス・プロバイダは、その企業顧客のインバウンド・リンクの容量の知識を有する。こうした場合では、一部の実施形態のサービス・プロバイダは、この知識を使用して、企業のリンクの容量が圧倒されないようにトラフィックの流れを抑える。たとえば、特定の企業顧客は、そのサブネットワークの方におよび/またはそれを通って向けられるトラフィックを取り扱うための総インバウンド容量を有する。企業のサブネットワークを通って向けられる信頼できるおよび疑わしいトラフィックの合計が特定の企業サブネットワークの総インバウンド容量より多くなる場合、サービス・プロバイダは、レート制限しまたは疑わしいトラフィックの一部を破棄し得る。これらの場合、サービス・プロバイダは、疑わしいトラフィックを害するほどに、信頼できるトラフィックに関して企業に提供されるサービス品質を維持する。トラフィックのレート制限および/または破棄は、様々な方法を使用することによって達成される。一部の実施形態では、レート制限は、たとえばトークン・バケット、ToSマーキングおよび/またはMPLS(マルチプロトコル・ラベル・スイッチ:multiprotocol label switch)タグを使用することによって実施される。一部の実施形態は、上述したように、バッファ管理手法および/またはブラックホール化を使用することによってパケットを破棄する。追加の手段が、たとえばトラフィックを備えるパケットをレート制限しおよび/または破棄することによってトラフィックを制御するために使用され得ることが当業者には理解されよう。
【0039】
3.タグ付けおよびルーティング
それぞれ異なるトラフィック・カテゴリのためのリソースは、それぞれ異なるToSマーキングを備え得る。たとえば、信頼できるトラフィックには、信頼できるトラフィックが他のカテゴリからのトラフィックよりも優先されることを保証するToSマーキングが割り当てられる。同様に、それぞれ異なるトラフィック・カテゴリは、異なるやり方でルーティングされる。これらの実施形態について、以下の実施例でさらに述べる。一部の実施形態では、それぞれ異なるトラフィック・カテゴリは、それらが論理的にそれぞれ異なる経路を使用するように、異なるやり方でタグ付けされる。
【0040】
4.論理対物理リソース
一部の実施形態のそれぞれ異なるリソースは、それぞれ異なる論理リソースを含む。それぞれ異なる論理リソースは実際に、同じ物理リソースを共有する。それぞれ異なる論理および/または物理リソースは好ましくは、それぞれ異なる優先度レベルに対応する。たとえば、優先キューイング(PQ:priority queuing)は一部の実施形態のそれぞれ異なる優先レベルを提供するが、一部の実施形態はクラス・ベースの重み付けされた公平キューイング(CBWFQ:class-based weighted fair queuing)を使用して、それぞれ異なる優先度レベルを提供する。
【0041】
C.リソース配分を伴う分類の実施例
1.ソース・ベース
それぞれ異なる実施形態は、攻撃の検出、ならびにトラフィックおよびルーティングの制御のためのそれぞれ異なる基準を使用する。上述したように、それぞれ異なる実施形態は、制御を行うために、それぞれ異なるカテゴリ、リソースおよび配分を使用する。検出および制御の対象のトラフィックについて、一部の実施形態はソースを使用するが、一部の実施形態は宛先を使用する。一部の実施形態では、パケットの属性が使用される。一部の実施形態は、特定の宛先アドレスに向けたトラフィックのソースをトラッキングする。ソースおよび/または宛先アドレスに基づいてこれらの実施形態は、トラフィックが信頼できるか、それとも疑わしいか判断する。ソース・アドレスは、トラフィックを適切なリソースに送信するために使用される。たとえば、そのソースのせいで疑わしいと判断されるトラフィックは、疑わしいトラフィックのために予約されたリソースへと向きが変更される。より具体的には、一部の実施形態は、疑わしトラフィックなどのトラフィックを、たとえば以下によって様々なリソースに向ける。
(1)指定された範囲のToSマーキングをトラフィックに割り当てる。
(2)トラフィックを1組の異なる物理経路に割り当てる。
(3)トラフィックがMPLSタグ付けされた特定の1組のルートに沿って、または特定の1組のMPLS対応ルータに向けられるように、特定のMPLSタグでトラフィックをマーキングする。
【0042】
2.宛先ベース
さらに、一部の実施形態は、特定の宛先アドレスまたは1組の宛先を有するトラフィックを追跡する。この宛先アドレスに基づいてこれらの実施形態は、トラフィックが信頼できるか、それとも疑わしいか判断する。一部の実施形態では、宛先アドレスは、トラフィックを適切なリソースに送信するために使用される。たとえば、宛先に基づいて疑わしいと判断されるトラフィックは、一部の実施形態では、疑わしいトラフィックのために予約されたリソースへと向きが変更される。上述したように、一部の実施形態では、たとえばToSマーキング、特定の物理経路および/またはタグ付けされたルート上のMPLSタグを使用することによって、それぞれ異なるやり方で疑わしいトラフィックを扱う。
【0043】
3.フリークエント・フライヤー・ベース
一部の実施形態は、上述のフリークエント・フライヤー・モデルに基づいてトラフィックを識別し、分類しおよび/または制御する。また、上述したように、フリークエント・フライヤー・トラフィックは一般に、このトラフィック・カテゴリに最高のサービス品質を提供するために、最良の使用可能なリソースに割り当てられる。
【0044】
4.フロー・ベース
他の識別、分類および/または制御方法のコンテキストにおけるソース・ベースおよび/または宛先ベースの分類および/またはリソース配分の諸特徴が適用され得る。たとえば、検出、制御およびフリークエント・フライヤーの地位の判断は、ソースと宛先の情報の組合せに基づく。これらの判断は、フロー単位の情報に基づく。トラフィックを識別しおよび/または分類する他のやり方が当業者には明らかである。たとえば、一部の実施形態は、宛先、あるいは企業、サービス・プロバイダおよび/または他の宛先とのその組合せを含む1組の宛先に基づいて構成される。
【0045】
D.他のコンテキスト
上記内容は、他のコンテキストに拡張され得る。これらのコンテキストは、上述のスプーフィングされるソースの単一パケット攻撃、およびたとえば実トランザクションを演じるゾンビ・ファーム(zombie farm)など、追加のコンテキストを含む。これらの場合、成功したトランザクションが、時間をかけて1つまたは複数のエンドポイント単位に追跡される。長期の顧客を含むそれらエンドポイントは信頼できる。これらの実施形態は、新しいどのエンドポイントをも疑わしいまたは悪いと分類し、同様に、一部の実施形態は既定により、知られていないおよび/または新しいトラフィックを、悪いとしてではなく、疑わしいと分類する。
【0046】
E.ユーザおよびトラフィック履歴
当技術分野の従来の侵入検出システム(IDS:intrusion detection system)は一般にトラフィックが悪いことを判断するが、これらの侵入検出システムは一般に、疑わしいトラフィックが実際には信頼できることを判断しない。以下の節IIは、従来の侵入検出システムの一部の共通の特徴について述べている。一般的な侵入検出システムとは異なり、一部の実施形態は、リソース使用、アプリケーション・パフォーマンス、およびネットワークの様々なユーザの他のパターンの履歴を保持する。履歴は一般に、データベース内に保持される。履歴は一般に、疑わしいトラフィックが信頼されるべきかどうか判断するために使用される。第1のトラフィック・サブセットの分類および/または第2のトラフィック・サブセットについての措置の判断は、1組のアプリケーション管理ツールおよびディレクトリを使用して実施され得る。たとえば、アプリケーション管理ツールおよびディレクトリが、疑わしいトラフィックが信頼されるべきかどうか判断するために使用される。特定の場合では、これらのアプリケーション管理ツールおよびディレクトリは、Avaya Inc.社によって提供される。
【0047】
信頼できるトラフィックを他のトラフィックと区別するために、ディレクトリからの情報、および他のネットワーク管理およびアプリケーション管理ツールが使用される。これらのツールには、たとえば、ライトウェイト・ディレクトリ・アクセス・プロトコル(LDAP:lightweight directory access protocol)、セッション開始プロトコル(SIP:session initiation protocol)および/またはNetflows(登録商標)コンピュータ・ネットワーク・パフォーマンス・システムが含まれる。Netflows(登録商標)は、ジョージア州ApplingのJanus Research Group inc.社の商標である。ユーザの特性および要件の知識は、トラフィックが本当に信頼できるかどうかの判断に資する。たとえば、一部の実施形態は、所与のユーザが現在特定の地理的領域内に存在し、特定のアプリケーションを実行すると予想され、またセルラ装置を使用していることを知っている。一部の実施形態はSIPディレクトリを使用することによってこの情報を取得するが、一部の実施形態はコール・サーバとの統合によって情報を発見する。トラフィックは、信頼できるエンドポイントの予想されるパターンにそれが一致するかどうか判断するために、このユーザから観察される。第1トラフィック・サブセットのカテゴリを判断する助けとし、および/または第2トラフィック・サブセットについての措置を判断するために、プロトコル・スイートが使用され得る。
【0048】
一部の実施形態は、たとえば境界ゲートウェイ・プロトコル(BGP:border gateway protocol)および単純ネットワーク管理プロトコル(SNMP:simple network management protocol)など、様々なプロトコルを使用することによって、たとえばルータなどの他のネットワーク要素と対話する。これらの実施形態は、検出と制御の両方の段階におけるプロトコルを活用する。たとえば、一部の実施形態は、プレフィックス情報を使用する。これらの実施形態は、知られているアドレス・プレフィックスを有するアドレスから生じる(それを源とする)トラフィックを疑わしいと見なす。次いで、これらの実施形態は、そのプレフィックスからの疑わしいトラフィックが実際に悪いと知られているかどうか判断する。また、疑わしいまたは悪いと知られているトラフィックを制御しようとするときに、一部の実施形態は、適切なプレフィックスを求めて適切なルート変更を送信するために、1組のBGP制御を活用する。さらに、SNMPは、一部の実施形態の検出および制御において相乗作用的な役割を果たす。たとえば一部の実施形態では、検出および/または制御は、たとえばSNMPから得られるように、負荷の読出しの変化に基づく。
【0049】
II.クリティカル境界の実装
監視、査定および制御技術の提供によって、ネットワーク環境に追加の制約を加えることによりセキュリティ品質の解決策が向上する。追加の境界が、従来の侵入検出システム(IDS)の境界と併せて実装される。これらの実施形態は、ネットワーク・トラフィックおよび攻撃に対処する際の追加の粒度レベルを提供する。攻撃に反応する際の巧妙さが向上すると、高い粒度レベルと共に、1つまたは複数のタイプのトラフィック用のリソースを選択することによってトラフィックを制御するシステムの固有の能力が活用される。疑わしいと判断されるトラフィックは、疑わしいトラフィックのために使用されるリソースが信頼できるトラフィックによって使用されるリソースと異なることを保証することによって、害を及ぼすことなしに依然として転送される。高い確実性のレベルで悪いと判断されるトラフィックだけが破棄される。アプリケーション・パフォーマンスを監視することによって、信頼できるトラフィックは、最良のサービス・レベルを受ける。これらの実施形態は、疑わしいトラフィックが受けるサービス・レベルをも制御する。たとえば、最も疑わしいトラフィックは、具体的には攻撃中などリソースが制約されるようになる場合には、最も格下げされたまたは最も低いサービス品質を受ける。
【0050】
図9Aおよび9Bは、当技術分野で知られている一般的な侵入検出の実装のクリティカル検出境界を概念的に示している。これらの図に示すように、当技術分野で知られている実装のクリティカル境界905は、拒否される悪いと知られているトラフィックと、通過を許される他のすべてのトラフィックとの間にある。当技術分野で知られているこれらの手法の欠点は、これらの実装の成功が、悪いトラフィックを武器として使用する攻撃の正確な検出に大きく依存していることである。しかし。上述したように、一般的な実装は、従来の境界で無数の攻撃を検出することにしばしば失敗する。したがって、これらの手法は、偽陽性および偽陰性の形の、斜線で示された大きい誤差範囲をもたらし得る。
【0051】
それとは異なり、図10は、本発明の好ましい実施形態によって実装される境界を示している。この図に示すように、一部の実施形態のクリティカル境界1010は、信頼できると判断されるトラフィックと、たとえば疑わしいおよび悪いと知られているトラフィックなど、他のすべてのトラフィックとの間にある。したがって、これらの実施形態の攻撃の検出および/または防止の成功は、悪いと知られているトラフィックと他のすべてのトラフィックとの間の従来の境界905を正確に特定する高い精度に依存しなくなる。
これは、疑わしいトラフィック・フローが依然としてアクセスを得ることができるという事実を活用し得る。疑わしいトラフィックのこの扱いは、境界をより「中心に」移動する傾向にある。この特徴は、偽陽性と偽陰性の間のより正確な均衡を可能にする。これは、疑わしいものになる、以前には信頼されていたトラフィックを信頼できるステータスから疑わしいステータスに降格または格下げする比較的な緩やかな措置を課すという利点を提供することもできる。したがって、降格は、当技術分野で知られている従来の許可/拒否の境界905で取られる措置より緩やかである。
【0052】
III.システム実装
A.システムおよびルータ
アプリケーション・プログラミング・インターフェース(API)、ネットワーク管理ツール、アプリケーションを使用することによって、またエンドユーザへのネットワーク・リソースおよびアプリケーション・パフォーマンスの監視によって、アプリケーション知識、ユーザの履歴知識、そのトラフィック・パターン、およびユーザが使用するアプリケーション、ならびにユーザおよびそのアプリケーションの予想される特性および要件を組み合わせる固有のビューが提供される。より知的なこのビューは、本発明の諸実施形態に、攻撃の検出およびそれへの応答のさらなる知識を提供する。一部の実施形態はさらに、攻撃に対するより厳密なおよび/または巧妙な反応をさらに可能にする。攻撃検出の知性は、標準の侵入検出手法の2つのカテゴリではなく、少なくとも3つのトラフィック・カテゴリを識別することによって大きく向上される。一部の実施形態は、アプリケーションを調査し、アプリケーションの知識の適用を従来のシステムに拡張し、既存の侵入検出システムを他のやり方でさらに向上させる。一部の実施形態は、たとえばダウン時間など、従来のシステムが直面する問題にさらに対処する。
【0053】
様々な実施形態が、ソフトウェアおよび/またはハードウェアで実装される。ハードウェア実装は、装置、ネットワーク、ならびに/またはソフトウェア、ハードウェアおよび1つまたは複数の装置の組合せを含む。一部の実施形態は、たとえばソフトウェアおよび/またはハードウェアで実装されるルータなどのネットワーク装置内でネットワーク制御および管理機能を実装する。一部の実施形態のネットワーク装置は、当技術分野で知られている一般的な装置に比べて拡張された特徴を含む。これらの拡張型装置には、たとえば、Avaya Inc.社によって提供されるルーティング・インテリジェンス・ユニット(RIU:routing intelligence unit)が含まれる。
【0054】
一部の実施形態は、ネットワーク・アーキテクチュア内でルータおよび/またはルーティング・インテリジェンス・ユニットのうちの1つまたは複数にルート変更を加えることによって制御を行う。これらの実施形態は、トラフィックを所与のトラフィック・カテゴリに適したリソースに割り当てる。たとえば、一部の実施形態は、トラフィック・カテゴリの識別のためにToSマーキングを割り当てる。これらの実施形態がたとえば信頼できるおよび/またはフリークエント・フライヤ・トラフィックなど、より重要であると識別するトラフィックは、優先される扱いを受ける。
【0055】
B.ISPおよび企業システム
上述した諸実施形態の様々な特徴は、それぞれ異なる実施形態で異なるやり方で組み合わされる。これらの実施形態は、企業および/またはインターネット・サービス・プロバイダ(ISP)環境での実装を含む。たとえば図11は、一部の実施形態のシステム1100を示している。この図に示すように、システム1100は、ネットワーク1115を介して企業サブネット1110に結合されたISPサブネット1105を含む。ネットワーク1115は一般に、広域ネットワーク、またはインターネットなどのネットワークのネットワークである。図11にやはり示すように、ネットワーク・ルーティング装置1120、1125および1130の複数のインスタンスが、ネットワーク1115上の1つまたは複数の場所に設置される。図11のシステム1100内の装置は、たとえばルーティング・インテリジェンス・ユニット1120および1130、ならびに標準のルータ1125など、ネットワーク化された装置の異種の集合を含む。
【0056】
C.実装場所
本発明は、企業および/またはインターネット・サービス・プロバイダのネットワーク内で実装され得る。企業内で実装される場合、一部の実施形態は、企業の中央本社、本社の端、支店内および/または支店の端で実装される。同様に、サービス・プロバイダ内で実装される場合、一部の実施形態は中心で、および/またはサービス・プロバイダのネットワークのエッジで実装される。具体的には、一部の実施形態は、企業および/またはサービス・プロバイダのネットワークのエッジのできるだけ近くに実装される。様々な実装場所は、通知およびフィードバックなどの特定の特徴を提供する。これらの実装について、以下で参照する図に関連して述べる。
【0057】
1.企業サブネットワークのエッジおよび内部
たとえば、本発明は、企業ネットワークのエッジに配置され得る。これらの実施形態は具体的には、特定のサイトへの入トラフィックをスキャンすることに役立つ。図12は、企業サブネットワーク1210のエッジに位置するネットワーク装置1230を含むネットワーク1200を示している。この図に示すように、サブネット1210は、ネットワーク化された装置1230および1235と連携して動作する。サブネット1210は、ネストされた下位サブネット1255を含めて、サブネット1210を形成する複数のネットワーク装置1240、1245および1250をも含む。ネットワーク装置1230はルーティング・インテリジェンス・ユニットである。図12に示す代表的な実施形態は、企業のサブネット1210内に入るトラフィックを分類するために、節Iで上記に論じた方法を一般に使用する。したがって、これらの実施形態は一般に、入トラフィックを、信頼できる、疑わしい、または悪いと知られていると分類する。悪いと知られているトラフィックは破棄され、またはブラックホールに入れられるが、信頼できるおよび疑わしいトラフィックは、これらのトラフィック・カテゴリのそれぞれに割り当てられるリソースに向けられる。上述したように、こうしたリソースには、たとえばToSマーキング、MPLSタグ付けされたルート、それぞれ異なる物理リンク、それぞれ異なるルート、および/あるいは1つまたは複数のレート制御装置が含まれる。一部の実施形態では、レート制御は、トークン・バケットを使用することによって達成される。たとえば、一部の実施形態では、疑わしいトラフィックは、トークン・バケットを使用することによってサイトの基盤内でレート制限される。図12にやはり示すように、追加のルーティング・インテリジェンス・ユニット1250が、企業サブネットワーク1210の基盤のかなり内部に置かれる。一部の実施形態はサブネットワーク1210内に下位サブネットのネストされた複数の層を有し、また追加のネットワーク装置および/またはルーティング・ユニットが任意選択で、ネストされたこれらのサブネットワークの非常に深い層内に設置されることが当業者には理解されよう。
【0058】
ネットワーク装置1235〜45は、それぞれ異なるサーバであり得る。こうした実施形態では、企業サブネットワーク1210内に入る信頼できるおよび疑わしいトラフィック・ストリームは、それぞれ異なるサーバ1235〜45に向けられる。たとえば、一部の実施形態の疑わしいトラフィックは具体的にはネットワーク・サーバ装置1240に向けられるが、信頼できるトラフィックは信頼できるサーバ1245に向けられる。これらの実施形態は、信頼できるサーバが疑わしいトラフィックの内容によって影響を受ける状態にする可能性を小さくする。
【0059】
図12に示すネストされた装置および/またはサブネットワークのアーキテクチュアは、さらなる利点を有する。たとえば、ルーティング・インテリジェンス・ユニットの複数の設置1230および1250は、サイト、およびサイト内の様々な場所に向かう予定のトラフィックが、複数の段階で、様々な粒度レベルでチェックされることを可能にする。さらに、これらの実施形態では、悪いと知られているトラフィックは、ルーティング・インテリジェンス・ユニット1230で、またルーティング・インテリジェンス・ユニット1250でも破棄される。さらに、前に分類されたトラフィックは、これらの様々な位置で、格の上げ下げが行われる。さらに、図12に示すルーティング・インテリジェンス・ユニット1250は、サイトの基盤内のより深くに、また特定のサーバのより近くに設置される。この位置の配置は、近くのサーバのためにより特化された検出および/または制御を可能にするなど、特定の利点を有する。
【0060】
さらに、このシステム・アーキテクチュアは、それぞれ異なるサーバのサイト・サブネットワーク内の深くに到達するトラフィック量が、サイトのエッジで交差する総トラフィック量より小さいので、スケーラビリティを向上させ得る。さらに、本発明は、それぞれ異なるトラフィック・カテゴリをそれぞれ異なるサーバに向けるなど、前の実施例で述べた諸機能を実施する。
【0061】
2.サービス・プロバイダ・サブネットワークのエッジおよび内部
図13は、一部の実施形態のネットワーク装置が、サービス・プロバイダ・サブネット1305の複数の位置、たとえばネットワーク装置1330、1350および1360上にも設置されるネットワーク1300を示している。この図に示す例示的なサイト(この場合、例示的なサービス・プロバイダ・サイト1305)は、サイト内への2つ以上のエントリ・ポイントを含む。具体的には、これらのエントリ・ポイントは、それぞれネットワーク装置1330および1360によって保護される。これらの外部の設置1330および1360は一般に、節Iで上述した方法のうちの1つまたは複数を使用して、エントリ・ポイントでトラフィックを調査しおよび/または分類する。上述したように、悪いと知られているトラフィックは、それがサイト1305内に入る前に破棄され得る。
【0062】
やはり図13に示すように、サービス・プロバイダ・サブネット1305は、下位サブネット1355、およびサイト内に設置されたネットワーク装置1350をも含む。したがって、図12に示す企業モデルと同様に、一部の実施形態のサービス・プロバイダ・サブネット1305は、外部の設置1330および1360、ならびに内部の設置1350を含む。これらの実施形態では、それぞれ異なる設置場所が、複数の回線、および/または攻撃からの防御レベルを提供する。具体的には、内部設置1350は、サービス・プロバイダ・サイト1305のためのより粒度の高い検出および制御を提供する。
【0063】
さらに、複数の設置は、サイト内に追加の特徴を提供し得る。これらの追加の特徴は、フィードバックおよび/またはアップストリーム通知を含む。たとえば、図13に示すように、内部設置1350は、アップストリーム通知を使用することによって、そのより詳細な情報をネットワーク・エッジの外部設置1330と共有する。これらの実施形態のアップストリーム通知は一般に、たとえば(1)フリークエント・フライヤー情報を含めて、信頼できると判断されるトラフィック、(2)疑わしいと判断されるトラフィックおよび/または(3)悪いと判断されるトラフィックに関する制御/シグナリング・タイプの情報を含む。一部の実施形態のアップストリーム通知は、サイトのエッジの外部設置1330に、それぞれ異なるトラフィック・カテゴリについて異なるやり方で振舞うように要求する。一部の実施形態は、上述のそれぞれ異なるトラフィック・カテゴリについて異なる措置を実施する。同様に、外部位置1330は、サービス・プロバイダ・サブネットワーク1305内のある場所に向かう予定のトラフィックに関して情報を前方に送る。
【0064】
3.さらなる通知例
上述のサイト内の通知は、サイト間の場所に適応され得る。こうしたシステムでは、サービス・プロバイダと企業の両方のサブネットワーク内のルーティング・インテリジェンス・ユニットなどのネットワーク装置は、上述の諸機能のうちの1つまたは複数を独立に実施する。サービス・プロバイダは、企業のネットワークに向けられた疑わしいトラフィックの存在について企業に通知する。これらの実施形態では、サービス・プロバイダは、トラフィック分類および制御に関係する様々な側面について企業に通知する。一部の実施形態のサービス・プロバイダは、企業顧客へのサービスとして通知を提供する。たとえば、図14は、追加の制御タイプの情報、たとえば、企業1410に向けられたトラフィックが疑わしトラフィックを含むことの情報を付けて企業1410に通知するサービス・プロバイダ1405を含むネットワーク1400を示している。図14に示す異種のネットワーク装置の混合物は、ルーティング・インテリジェンス・ユニット1230および1330などの「インテリジェント」装置、ならびに一般的なルータ1435などの標準のネットワーク装置を含む。一部の実施形態は、インテリジェント装置を使用することによって、通知などの制御−信号情報を送受信する。
【0065】
図15は、企業サブネット1510上のネットワーク装置1230が、アップストリーム・サービス・プロバイダ1505上に置かれたネットワーク装置1330にフィードバック通知を送信することを示している。これらの通知は一般に、たとえば受信されたトラフィックの分類に関する情報など、制御タイプの情報をも含む。企業はしばしば、たとえばトラフィック・フローに関するより進歩した検出手法を使用することによって、より多くの知識を有するよりよい状況に置かれる。一部の実施形態の企業はさらに、サービス・プロバイダによりよいアップストリーム通知を提供する。たとえば、トラフィックは、企業の構内を離れるときにしばしば暗号化される。したがって、ネットワーク装置は、具体的にはサービス・プロバイダのエッジでは、分類/格付けの判断においてトラフィック(パケット)の内容を使用することができない。これらの判断については、図1〜6に関連して上記で論じている。
【0066】
一部の実施形態の通知はさらに、たとえば、疑わしいとマーク付けされる特定のソースの識別、企業によって判断されるフリークエント・フライヤーのリスト、その場所のルーティング・インテリジェンス・ユニットに関する追加の情報、および/あるいは疑わしいトラフィックまたは疑わしいトラフィックのサブセットのレート制限に関する情報を含む。一部の実施形態では、レート制限によって、企業のインバウンド・リンクが圧倒されることを防止する。
【0067】
D.常時オン・アーキテクチュアの提供
1.受動制御
一部の実施形態のネットワーク・ルーティング制御は「受動的」である。受動制御は、制御および保護の特性が常にオンであることを示す。これらの実施形態は、攻撃の検出に基づくトリガを必要としない。これらの実施形態の一部はさらに、完全に正当なトラフィックからなる攻撃に対処する。したがって、一部の実施形態は、「よりスマートな」攻撃を検出する。たとえば、一部の実施形態は、正当なソースから異常な負荷パターンを検出する。場合によっては、これらの実施形態は、負荷パラメータおよび/または一般的な侵入検出システムによっては検出不可能なパターンを検出する。ソースまたはタイプに関係なく、一部の実施形態は、攻撃が開始する場合に、攻撃が進行中であることを判断する必要はない。そうではなく、一部の実施形態では、信頼できるユーザは順調な体験を有し、攻撃は自動的に自己制限される。
【0068】
2.常時オン
一部の実施形態は、攻撃が実際に行われているかどうか判断する能力に依存しない。図1〜6に関して上述したプロセスの判断は、通常と攻撃の状態のもとで同じ働きをするように設定される。こうしたシステムは、疑わしいトラフィックを検出し、疑わしいトラフィックの扱いに対する従来の手法を必ずしも必要としないやり方でそれを取り扱う。上述したように、当技術分野の一般的な手法は、疑わしいトラフィックを、悪いと知られているまたは信頼できるものとして取り扱う。さらに、悪いと知られているトラフィックは一般に破棄され、信頼できるトラフィックは一般に、信頼できるトラフィック用に指定されたリソースに送信される。したがって、一般的な手法は、不所望に多くの偽陽性および偽陰性をもたらす。それとは異なり、一部の実施形態はそうではなく、トラフィックが信頼できると判明する前はそれを疑わしいと扱うことによって「常時オン」アーキテクチュアを実装する。このように、こうしたシステムは、トラフィックが目標の宛先に攻撃データを運ぶ前には攻撃が容易に識別されない場合でも、攻撃の影響を最小限に抑える。これらの実施形態は、様々なやり方で実施される。たとえば、
(1)通常なトラフィックが通常の状態では有利な扱いを受ける。
(2)通常なトラフィックが通常の状態では有利な扱いを受けない。または
(3)通常なトラフィックが、整っている企業ポリシーに従って、または別の原理に従って有利なステータスを受ける。これらの実施形態の一部について次に述べる。
【0069】
信頼できるおよび疑わしいトラフィックは最初に同じリソースを使用し、次いで信頼できるトラフィックがネットワーク動作の特定の期間の間にルーティングされる。常時オン・アーキテクチュアの特定の実装では、すべてのフローは既定により「ボトルネック」リソース内に向けられる。ボトルネックは最初に、通常のトラフィックを収容できるほど十分に広く設定される。あるいは、攻撃が開始されるまで、疑わしいトラフィックに対する検出可能な影響はない。通常のネットワーク動作の間、一部のエンドポイントは「信頼できる」になる。これらのエンドポイントが信頼できるものになるときに、こうしたシステムは、信頼できるエンドポイントにボトルネックを回避するよう指示する。あるいは、信頼できるトラフィックは、たとえば異常なネットワーク活動の期間中など様々な他の期間の間、ボトルネックの周りに、別のリソースを介して向けられ得る。
【0070】
信頼できるおよび疑わしいトラフィックは、時および/またはネットワークの動作に関係なく、それぞれ異なるリソースに割り当てられる。ボトルネック・リソースに入るトラフィックは、たとえば十分には信頼されていないユーザからの(疑わしい)トラフィックなど、悪いおよび/または疑わしいトラフィックを含む。こうしたシステムは、ボトルネックを通って流れる悪いトラフィックをまだ認識さえしていない可能性が高い従来の侵入検出システムに比べて、具体的な利点を有する。したがって、従来のIDSシステムは、悪いトラフィックの阻止(破棄)をそれが手遅れになるまで開始していない可能性が高い。
【0071】
IV.利点
サービス・プロバイダは、上記実施形態のうちの1つまたは複数を企業顧客へのサービスとして提供する。このサービスは、これらの顧客に特定の利益をもたらす。たとえば、疑わしいトラフィックが依然としてサービスを受けることを可能にすることによって一部の実施形態は、信頼できるトラフィックが誤って破棄される機会を減少させる。したがって、商売を逃し、また機会を失うことの発生が最小限に抑えられる。したがって、これらの実施形態は具体的には、偽陽性の数を減少させる。さらに、信頼できるトラフィックが疑わしいトラフィックとは別個のリソースを使用することを保証することによって、信頼できるトラフィックのために特別な保護が提供される。たとえば、これらの実施形態の疑わしいトラフィックは、信頼できるトラフィックに影響を及ぼさない。これは、通過を許された疑わしいトラフィックの一部が実際には悪いものであると判断される場合に特に有利である。
【0072】
さらに、攻撃が一般に企業内またはサービス・プロバイダ・ネットワーク内の輻輳など、負荷関連のパフォーマンス問題を引き起こすことを考慮すると、一部の実施形態は、問題が発生しているネットワークの部分から離すようにトラフィックを向けることによって攻撃関連のパフォーマンス問題を最小限に抑えおよび/または回避する。攻撃を受けるネットワークの負荷、パフォーマンス、輻輳および他の問題については、たとえば2002年7月25日に出願された、公開番号2003/0039212の米国特許出願第10/070515号「Method and apparatus for the assessment and optimization of network traffic」、2001年8月6日に出願された、公開番号2002/0078223の米国特許出願第09/923924号「Method and apparatus for performance and cost optimization in an inter network」、2001年9月20日に出願された、公開番号2002/0075813の米国特許出願第09/960623号「Method and apparatus for coordinating routing parameters via a back-channel communication medium」、2002年12月12日に出願された、公開番号2003/0161321の米国特許出願第10/070338号「Method and apparatus for characterizing the quality of a network path」、および2003年2月4日に出願された、国際公開番号WO/03/067731のPCT国際出願第PCT/US03/03297号「Load optimization」に記載されている。これらの出願を、参考により本明細書に組み込む。
【0073】
さらに、上述の諸実施形態の一部は、既存のアーキテクチュアへの代替のおよび/またはスケーラブルな改良を提供している。たとえば、こうしたシステムは、アウトバウンド・パフォーマンス最適化、アウトバウンド・アプリケーション・パフォーマンス最適化、アウトバウンド負荷最適化、インバウンド・パフォーマンス最適化、インバウンド・アプリケーション・パフォーマンス最適化および/またはインバウンド負荷最適化に関する1つまたは複数の方法および/またはシステムの代わりに、またはそれと併せて実装される。これらのコンテキストについては、たとえば上述の参照により組み込まれている諸米国特許出願に記載されている。
【0074】
本発明について複数の具体的な詳細を参照して述べたが、本発明の精神から逸脱せずに本発明は他の特定の形で実施され得ることが当業者には理解されよう。したがって、本発明は、上記の例示的な詳細によって制限されるものではなく、添付の特許請求の範囲によって定められるものであることが当業者には理解されよう。
【特許請求の範囲】
【請求項1】
a.ネットワーク内のトラフィックを使用することによってユーザを自動的に発見するステップと、
b.前記ユーザに関連するアプリケーションのパフォーマンスを監視するステップと、
c.前記アプリケーションのパフォーマンスを査定するステップと、
d.前記トラフィックを制御するステップとを備える、方法。
【請求項2】
前記トラフィックを制御するステップが、負荷、コストおよびアプリケーション・パフォーマンス制約の間に適切な均衡を実施するステップを備え、前記トラフィックを制御するステップが複数の任意選択可能なリソースを備え、前記リソースが、リンク、経路、MPLSタグ、サービス・タイプ(ToS)マーキングおよび仮想ローカル・アクセス・ネットワーク(VLAN)のうちの1つを含む請求項1に記載の方法。
【請求項3】
適応ネットワーキングのためのシステムであって、
複数のサブセットを含むトラフィックを備え、第1のサブセットが疑わしいトラフィックを含み、さらに、
前記トラフィック用のリソースと、
前期トラフィックを受信する第1の装置とを備え、前記第1の装置は、前記受信されたトラフィックを分類するよう構成され、そして、分類された前記トラフィックを前記リソースに任意に割り当てるよう任意に構成される、システム。
【請求項1】
a.ネットワーク内のトラフィックを使用することによってユーザを自動的に発見するステップと、
b.前記ユーザに関連するアプリケーションのパフォーマンスを監視するステップと、
c.前記アプリケーションのパフォーマンスを査定するステップと、
d.前記トラフィックを制御するステップとを備える、方法。
【請求項2】
前記トラフィックを制御するステップが、負荷、コストおよびアプリケーション・パフォーマンス制約の間に適切な均衡を実施するステップを備え、前記トラフィックを制御するステップが複数の任意選択可能なリソースを備え、前記リソースが、リンク、経路、MPLSタグ、サービス・タイプ(ToS)マーキングおよび仮想ローカル・アクセス・ネットワーク(VLAN)のうちの1つを含む請求項1に記載の方法。
【請求項3】
適応ネットワーキングのためのシステムであって、
複数のサブセットを含むトラフィックを備え、第1のサブセットが疑わしいトラフィックを含み、さらに、
前記トラフィック用のリソースと、
前期トラフィックを受信する第1の装置とを備え、前記第1の装置は、前記受信されたトラフィックを分類するよう構成され、そして、分類された前記トラフィックを前記リソースに任意に割り当てるよう任意に構成される、システム。
【図1A】
【図1B】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9A】
【図9B】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図1B】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9A】
【図9B】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【公開番号】特開2011−65653(P2011−65653A)
【公開日】平成23年3月31日(2011.3.31)
【国際特許分類】
【出願番号】特願2010−227252(P2010−227252)
【出願日】平成22年10月7日(2010.10.7)
【分割の表示】特願2007−531435(P2007−531435)の分割
【原出願日】平成17年9月8日(2005.9.8)
【出願人】(500310339)アバイア インコーポレーテッド (35)
【Fターム(参考)】
【公開日】平成23年3月31日(2011.3.31)
【国際特許分類】
【出願日】平成22年10月7日(2010.10.7)
【分割の表示】特願2007−531435(P2007−531435)の分割
【原出願日】平成17年9月8日(2005.9.8)
【出願人】(500310339)アバイア インコーポレーテッド (35)
【Fターム(参考)】
[ Back to top ]