[go: up one dir, main page]

JP2006513590A - インターネット通信の合法的傍受のための装置 - Google Patents

インターネット通信の合法的傍受のための装置 Download PDF

Info

Publication number
JP2006513590A
JP2006513590A JP2004512436A JP2004512436A JP2006513590A JP 2006513590 A JP2006513590 A JP 2006513590A JP 2004512436 A JP2004512436 A JP 2004512436A JP 2004512436 A JP2004512436 A JP 2004512436A JP 2006513590 A JP2006513590 A JP 2006513590A
Authority
JP
Japan
Prior art keywords
flow
processing system
network
network processing
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Abandoned
Application number
JP2004512436A
Other languages
English (en)
Inventor
ダニエル, ザ サード マール,ロバート,
ディアマン,ジェームズ,ロバート
ミルトン, アンドレ リー,
Original Assignee
ネットレイク コーポレーション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ネットレイク コーポレーション filed Critical ネットレイク コーポレーション
Publication of JP2006513590A publication Critical patent/JP2006513590A/ja
Abandoned legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/22Arrangements for supervision, monitoring or testing
    • H04M3/2281Call monitoring, e.g. for law enforcement purposes; Call tracing; Detection or prevention of malicious calls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M7/00Arrangements for interconnection between switching centres
    • H04M7/006Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

IPネットワーク(10)上を流れる(図5)IP通信に対してトラップ・アンド・トレースを実行する機能を含む、IPネットワーク・トラフィックを監視できるネットワーク処理システム(22)が記述される。ネットワーク処理システム(22)は、それを通過するデータ・パケットの内容全体をスキャンし、関係するデータ・パケットを関連付けて離散的なセッション、またはフローへとまとめることができ、これにより、ネットワーク処理システム(22)は所定の検索条件を検索することができる。ネットワーク処理システム(22)はフローの記録を維持しまたはそのフローを複製することができ、それを保存しまたは監視のために他のIPアドレスに送る。フローの監視は、そのフローの内容全体、または呼の識別情報などそのフロー内の情報のなんらかの部分集合の監視を含むことができる。

Description

本発明は、広帯域データ・ネットワーキング装置に関する。詳細には、本発明は、IP(Internet Protocol,インターネット・プロトコル)ネットワークにおける通信ストリームおよび通信識別情報を傍受可能なネットワーク処理装置に関する。
インターネットなどの、IP(internet protocol,インターネット・プロトコル)ネットワークの威力は、データを送信元からあて先へと運ぶそのコネクションレスな方法と、すべてのサービスを単一のネットワークを介して遂行するその能力とにある。データ・トラフィックを送るのと同じネットワーク上にVoIP(voice over IP)を実装することにより、既存の別々になっている音声ネットワークおよびデータ・ネットワークを単一のIPネットワークに「まとめる」(collapse)動きが強まっている。VoIPを使用して電話の呼を送る際の多くの問題の1つが、通常CALEAと呼ばれる1994年の法執行における通信援助法(Communications Assistance for Law Enforcement Act)などの、通信傍受法(wiretapping laws)の遵守である。
CALEAをVoIPに適用するには、いくつもの技術的ハードルがある。VoIPは頑健かつ信頼できるものになってきているが、容易には監視ができない。回線交換網では、傍受するための物理的個所が存在するが、VoIPは、どのIP通信とも同じように、コネクションレスである、つまりVoIPはネットワークのアグリゲーション・ポイントで傍受しなければならず、ネットワーク・アドレス変換を用いたパケット・アンカリングなどの手段によって監視装置にアンカーしなければならない。さらに、呼に関連付けられた識別情報を、通信そのものの実体から分離する機構がなければならない。たとえば、VoIPの呼の場合では、呼の実際の音声内容に対するアクセスを提供することなく、発呼者の電話番号またはIPアドレスだけを取り出す機構がなければならない。他の要件には、被監視者発信と、当事者保留、参加および離脱の両方の電話会議の呼の傍受(the interception of conference calls,both subject initiated and party hold,join,and drop)が含まれる。
したがって、IP通信を傍受し、内容とは別に識別情報を提供し、通信の詳細な記録を提供することのできるネットワーク処理システムが必要とされる。
ネットワークを介して流れるIPトラフィックを監視できる、ネットワーク処理システムが記述される。このネットワーク処理システムは、トラフィック・フロー・プロセッサおよびサービス品質プロセッサからなる学習状態機械(learning state machine)を含む。トラフィック・フロー・プロセッサは、データ・パケットを対応するフローまたはセッションと関連付け、これによってシステムは、個々のデータ・パケットの特徴だけでなく、フロー全体の特徴に基づいて、データ・パケットを扱うことができるようになる。フローは、それに関連付けられたデータ・パケットからなり、既知の署名のデータベースと比較され、このデータベースは所定の1組の検索条件を含む。1本のフローと1件の検索条件との間に一致が見出されたとき、ネットワーク処理システムはフローを監視するように動作可能である。監視は、フローを複製すること、または識別情報などの情報をフローから抽出することを含み、ただしそれには限定されない、多くの形をとることができる。この場合、複製したフローまたは抽出した情報は、後で取り出すために格納する、または法執行機関(law enforcement)が指定するIPアドレスにリアル・タイムで送ることができる。
トラフィック・フロー・プロセッサは、フロー内の各データ・パケットのヘッダ情報を検査するヘッダ・プリプロセッサ、およびどのデータ・パケットまたはフロー1つ1つの内容でも、既知の署名のデータベースと比較することによって検査することのできる内容プロセッサを含む。
以上で、以下の発明の詳細な説明がよりよく当業者に理解できるように、本発明の好ましい特徴および代替的特徴をかなり大まかに概括した。本発明の追加の特徴を以下に記載するが、これが本発明の特許請求の範囲の主題をなす。ここに開示する概念および特定の実施形態を他の構造を設計または修正する基礎として使用して、容易に本発明と同じ目的が果たせることが当業者には理解されよう。そうした等価な構成概念が、その最も広い形における本発明の趣旨および範囲を逸脱するものではないことも当業者には理解されよう。
本発明のより完全な理解のために、次に以下の説明を添付の図面と併せて参照されたい。
ここで図1を参照すると、インターネットなどの広域の公衆IPネットワーク内に存在するネットワーク基盤の例であるネットワーク・トポロジーが示されている。図1は、決して厳密なネットワーク・アーキテクチャではなく、広帯域IPネットワーク上に存在する可能性のある様々なネットワーク構造の大まかな説明図として役立つことを意図したものに過ぎない。図1には、MCIやUUNETなどの企業のIPネットワークでもよいコアIPネットワーク10、およびDSLAM14や企業ルータ16などの装置によってユーザがコアIPネットワーク10に接続する、アクセス・ネットワーク12が示されている。限りなく多様なネットワーク構造が、公衆IPネットワークに接続された他のネットワークにアクセスする目的で、コアIPネットワーク10およびアクセス・ネットワーク12に接続できる。ここで他のネットワークは雲18で表されている。
アクセス・ネットワーク12は、インターネット・サービス・プロバイダ(ISP、Internet Service Provider)または地域通信会社(LEC、Local Exchange Carrier)がその例といえようが、公衆IPネットワークを介してデータ・アクセスおよび音声アクセスの両方を提供するのに使用される。アクセス・ネットワーク12は、企業ルータ16によって企業に、たとえばルーセント・テクノロジーズ(Lucent Technologies)やメリル・リンチ(Merrill Lynch)の企業ネットワークなどの企業ネットワークに、あるいは、DSLAM14などのアグリゲーション装置によって接続されるDSL(digital subscriber lines、デジタル加入者線)などの高速接続またはダイアル・アップによって、個人宅、自宅オフィス、または小規模な企業に、サービスを提供可能である。
アクセス・ネットワーク12は、ネットワーク上でのデータのルーティングを行うためにスイッチ・バックボーン20を含むが、それがここではATM(asynchronous transfer network、非同期転送モード)ネットワークとして示されており、これはスイッチおよびルータで構成される。ここには示されていないドメイン・ネーム・サーバおよび他のネットワーキング装置も、アクセス・ネットワーク12に含まれている。アクセス・ネットワーク12では、そこの加入者間、ならびに加入者とコアIPネットワーク10、および他のネットワーク16との間の接続が提供され、それにより、加入者は他のアクセス・ネットワークの顧客へと通信(reach)可能になっている。
ネットワーク構造どうしの間およびネットワーク構造の端に、データがネットワーク境界を越えて受け渡される個所が存在することが容易にわかる。図1に示すネットワーク構造における1つの重要な問題は、こうしたネットワーク境界点に、ネットワークがセキュリティ、ネットワーク・トラフィックの監視、IP通信のトラップ・アンド・トレース(trap and trace)およびサービス品質、ポリシ実行(policy enforcement)、統計的計量(statistical metering)などのサービスを提供できるようにする、どのような種類のインテリジェンスもないことにある。こうしたサービスを提供するインテリジェンスに必要なのは、このネットワークが、現在理解していることのすべてであるあて先および/または送信元情報だけでなく、これらのネットワーク境界点を通過するIP通信を識別し学習し理解することである。データのタイプ、または関連付けられたペイロードの内容およびヘッダ情報を含めて、データの内容を理解し、さらに各トラフィック・フローの1つ1つの全体についての(across)状態感知(state awareness)を理解および記憶し、すなわち維持することによって、ネットワークは、トラフィックの複製やリダイレクトなど、パケットおよびフローに対してリアル・タイムで特定の取り扱いを行うことができるようになり、これにより、ネットワークは、真のネットワーク間のセキュリティおよび監視、ならびに、MPLSやDiffServなどの標準を用いたサービス品質(QoS、quality of service)を提供し、サービス品質が基本的な要件であるVoIPやビデオなどのアプリケーション向けのネットワークに対する広帯域の要件に沿うように、リアル・タイムでネットワーク自体を構成し、あるいは、パケット転送だけでなく、セッションまたはフローのレベルでインテリジェンスが必要な他のネットワーク・サービスを提供することが可能になる。インテリジェントな状態感知ネットワークでは、電子メール・ワーム、ウイルス、DoS(denial of service、サービス妨害)攻撃、不法なハッキングなど他のセキュリティ問題を、エンド・ユーザにトランスペアレントな形で、識別しフィルタリングで排除することができる。さらに、このインテリジェントな状態感知ネットワークにより、ホスティング会社およびサービス・プロバイダによる計量機能が提供され、これらの企業は、個々の顧客に割り当てる帯域量を調節し、また、帯域に応じておよびセキュリティなどその他の機能に応じて正確に請求することが可能になる。
そのような装置の使用の例が、図1に、ネットワーク処理システム22によって示されている。ネットワーク処理システム22は、ネットワーク間の境界、ならびにアクセス・ネットワーク12の端でDSLAM14または企業ルータ16の内側に(behind)ある。こうした位置にある装置であれば、もし、このネットワーク内のフローおよびイベントについて学習し、こうしたフローの状態を記憶できれば、それに接続されるネットワークに対して真のサービス品質およびポリシ管理を適用することができよう。
上記に述べた要件に従って、本発明では、ペイロード情報を含むOC−3、OC−12、OC−48およびさらに速い速度のネットワーク・トラフィックをスキャンし分類し変更することができ、それにより、ネットワークで使用される効率的な学習状態機械を提供する、ネットワーク処理システムが提供される。
本明細書に記載するネットワーク処理システムの動作の理解を助けるために、本明細書で多く使用する、ネットワーク・トラフィックに関する概念を示す図2が提供されている。図2には、ネットワーク上に同時に存在することのできる、3つの別々のフロー、すなわちフロー(NID_a)、フロー(NID_b)、およびフロー(NID_c)が示されている。それぞれのフローは、ネットワーク上に存在する1つ1つのセッションを表している。これらのセッションは、リアル・タイムのストリーミング・ビデオのセッション、VoIP(voice over IP)の呼、Webブラウジング、ファイル転送、またはその他のネットワーク・トラフィックとすることができる。各フローは、1つ1つのデータ・パケットからなり、フロー(NID_a)はパケットxおよびx+1、フロー(NID_b)はパケットyおよびy+1、フロー(NID_c)はパケットzおよびz+1からなっている。パケットを2つしか示していないが、各フローは、任意の個数のパケットからなり、各パケットのサイズは任意である。各パケットはさらに、各パケットごとにBlk_i、Blk_i+1、Blk_i+2で示される、固定長ブロックへと分割できる。パケットおよびフローはネットワーク・トラフィックとして現れるが、図2に示す固定長ブロックは、本発明のネットワーク処理システムによって作成されるものであり、この点は以下でより詳細に説明することとする。
ここで図3を参照すると、本発明によるネットワーク処理システムの一実施形態が示されている。ネットワーク処理システム40は、右側ライン・インターフェース42からの情報を処理し、次いでそれを左側ライン・インターフェース38を通してネットワークへと送信し戻すことも、左側ライン・インターフェース38からの情報を処理し、次いでそれを右側ライン・インターフェース42を通してネットワークへと送信し戻すことも可能な双方向システムである。左側および右側ライン・インターフェース38および42は、ともに任意の個数のポートから構成することができ、OC−3、OC−12、OC−48などの速い速度、ならびに10/100イーサネット(登録商標)、ギガビット・イーサネット(登録商標)、およびSONETを含むプロトコルを含む、任意の数のネットワークの速度およびプロトコルを受け付けることが可能である。
このライン・インターフェース・カードは、入ってくるデータをパケットの形で取り入れ、好ましくはPOS−PHY Level3、またはATM UTOPIA Level3型データ・バスなどの業界標準のデータ・バスである、データ・バス54上にデータを流す。左側ライン・インターフェース38で受け取ったデータは学習状態機械、すなわち処理エンジン44に送られ、右側ライン・インターフェース42で受け取ったデータは学習状態機械、すなわち処理エンジン46に送られる。ネットワーク処理システム40は双方向ではあるが、ネットワーク処理システム40内部の1つ1つの学習状態機械44および46は単方向であり、双方向の情報を処理するには2個を必要とする。各学習状態機械44および46は、その動作については図4に関してより詳細に説明するが、各データ・パケットの内容をスキャンし、データ・パケットを特定のフローに関連付け、各データ・パケットごとにその内容や関連付けられたフローのなんらかの状態に基づいて複製やリダイレクトなどの取り扱いを決定し、所定の取り扱いに適合するようにデータ・パケットをキューに入れ変更する。フローの状態とは、フローに関連付けられたすでに処理済みのパケットからの、ネットワーク処理システム40によって識別されるフローに関する情報である。
内部バス52は、好ましくはPCIバスであるが、学習状態機械44および46が相互に通信し、管理モジュール48および自由選択の補助プロセッサ・モジュール50が学習状態機械44と46の両方と通信できるようにするために使用される。学習状態機械44と46の間の相互通信により、処理エンジンは、戻って行くフローに対する取り扱いに適用できる、フローから学習した情報を交換できるようになる。たとえば、優先度の高い顧客に対する取り扱いは、出て行く情報と入ってくる情報の両方に適用される必要がある。各学習状態機械は単方向であるため、トラフィックの方向の両方を対象とするためには、情報が学習状態機械の間で共有されなければならない。
管理モジュール48は、学習状態機械44および46のそれぞれの動作を制御し、ネットワーク処理システム40がその処理するネットワーク・トラフィックに適用する、監視、ポリシ、サービス品質および取り扱いの指示をネットワーク処理システム40にロードするのに使用される外部装置と通信するために使用される。
ここで図4を参照すると、本発明によるネットワーク処理システムで使用される内容処理エンジンの一実施形態が示されている。学習状態機械44および46のそれぞれは、すでに論じたように同一であり、それぞれの動作について共通に論じることとし、処理エンジンの動作の説明はいずれも学習状態機械44および46の両方に等しく適用される。図3に示すライン・インターフェース・カード42および38は、物理ポートからデータを取り入れ、データをフレーム化し、次いでデータをフォーマットして高速パス・データ・バス126に流す。高速パス・データ・バス126は、すでに述べたように、好ましくはPOS−PHY Level3、またはATM UTOPIA Level3型データ・バスなどの業界標準のデータ・バスである。
高速パス・データ・バス126は、トラフィック・フロー・スキャニング・プロセッサ140にデータを供給し、これはヘッダ・プリプロセッサ104および内容プロセッサ110を含む。データはまず、ヘッダ・プリプロセッサ104に送られるが、これはデータ・パケット・ヘッダに入った情報を用いていくつかの動作を行うように動作可能である。ヘッダ・プリプロセッサ104は、受け取ったデータ・パケットをヘッダ・プリプロセッサ104に関連付けられたパケット・ストレージ・メモリに格納し、ヘッダ情報をスキャンする。ヘッダ情報がスキャンされてデータ・パケットのタイプ、またはプロトコルが識別され、それを使用してルーティング情報が決定され、IPヘッダの開始バイトがデコードされる。以下で論じるように、学習状態機械は、適切に機能するためには、順序の入れ替わったデータ・パケットを再配列し、データ・パケット・フラグメントの再組み立てを行う必要がある。ヘッダ・プリプロセッサ104は、ATM(asynchronous transfer mode、非同期伝送モード)セルの完全なデータ・パケット(PDU)への組み立てを行うように動作可能であり、それにはATMヘッダ情報を除去することを含んでいてもよい。
データ・パケットがヘッダ・プリプロセッサ104によって処理された後、データ・パケット、およびヘッダ・プリプロセッサによって形成されたなんらかの判断(conclusion)が、高速データ・パス126上を、トラフィック・フロー・スキャニング・エンジン140の他の半分、すなわち内容プロセッサ110に送られる。受け取ったパケットは、内容プロセッサ110によって処理されている間、(ここには示さない)パケット・ストレージ・メモリに格納される。内容プロセッサ110は、データ・パケットのペイロードの内容全体を含め、ヘッダ・プリプロセッサ104から受け取ったデータ・パケットの内容をスキャンするように動作可能である。ヘッダもスキャンされるが、その1つの目的は、データ・パケットの所定の属性を用いてセッションIDを作成することである。セッションIDにより、1つ1つのパケットを、対応するフロー、またはセッションに関連付けることが可能になる。
好ましい実施形態では、セッションIDは送信元アドレス、あて先アドレス、送信元ポート、あて先ポートおよびプロトコルからなるセッション情報を用いて作成されるが、ここにリストしたフィールドのどのような部分集合、またはデータ・パケット中のその他のどのようなフィールドを用いても、本発明の範囲から逸脱することなく、セッションIDを作成できることが当業者には理解されよう。新しいセッション情報を有するデータ・パケットを受け取ると、その特定のトラフィック・フローを識別するために、ヘッダ・プリプロセッサは一意のセッションIDを作成する。同じセッション情報をもつ連続するデータ・パケットのそれぞれには、そのフロー内の各パケットを識別するために、同じセッションIDが割り当てられる。特定のトラフィック・フローが明示的な処置によって終わりになったとき、またはトラフィック・フローがタイム・アウトしたとき、つまりそのトラフィック・フローのデータ・パケットが所定の時間内に受け取られていないときは、セッションIDは欠番となる(retired)。本明細書中ではセッションIDをヘッダ・プロプロセッサ104が作成するものとして論じているが、セッションIDは、内容プロセッサ110内を含めて、トラフィック・フロー・スキャニング・エンジン140内のどこで作成することも可能である。
任意のまたはすべてのデータ・パケットの内容は、既知の署名のデータベースと比較され、あるデータ・パケット、または複数のデータ・パケットの内容が既知の署名と一致する場合には、処理エンジンがその署名および/またはセッションIDに関連付けられた処置を取る。さらに、内容プロセッサ110は、各トラフィック・フロー1つ1つの全体について(throughout)状態感知を維持するように動作可能である。言い換えれば、内容プロセッサ110は、あるトラフィック・フローの現在のデータ・パケットに関する状態情報に限らず、そのトラフィック・フローの全体に関する状態情報を格納するデータベースをセッションごとに維持している。これにより、ネットワーク処理システム40は、スキャン中のデータ・パケットの内容に基づくだけでなく、トラフィック・フロー全体の内容に基づいて働くことが可能になる。内容プロセッサ110の詳細な動作は、図5に関して説明する。
トラフィック・フロー・スキャニング・エンジン140がパケットの内容をスキャンし、判断に達すると、そのパケット、およびヘッダ・プリプロセッサ104と内容プロセッサ110の一方または両方のこれに関連付けられた判断が、サービス品質(QoS、quality of service)プロセッサ116に送られる。QoSプロセッサ116でもまた、転送のため、固有のパケット・ストレージ・メモリにパケットが格納される。QoSプロセッサ116は、ネットワーク処理システム40によって処理されたデータ・パケットのストリームに対してトラフィック・フロー管理を実行するように動作可能である。QoSプロセッサは、トラフィック管理、トラフィック・シェイピングおよびパケット変更のためのエンジンを含んでいる。
QoSプロセッサ116は、ヘッダ・プリプロセッサ104と内容プロセッサ110の一方または両方の判断を取り入れ、この判断に基づいてデータ・パケットを内部のサービス品質キューの1つに割り当てる。サービス品質キューには、キュー間の相対的な(relative to one another)優先度を割り当てることができ、あるいは装置を通るトラフィック・フローの最大または最小パーセンテージを割り当てることができる。これにより、QoSプロセッサ116は、VoIP、ビデオ、高品質および高信頼性を要件とする他のフローなどのトラフィック・フローには必要な帯域を割り当て、電子メールや一般のWebサーフィングなどの低い品質を要件とするトラフィック・フローには優先度の低いキューに残りの帯域を割り当てることができるようになる。そのキュー内に現在あるデータをすべて送信するために利用可能な帯域が、QoSエンジンによれば、ないというキューの中にある情報は、選択的に廃棄され、それにより、そのデータがトラフィック・フローから取り除かれる。
サービス品質キューにより、ネットワーク処理システム40が、DoS(denial of service、サービス妨害)攻撃などのネットワーク攻撃をうまく処理することも可能になる。ネットワーク処理システム40は、パケットの内容をスキャンし、その内容が、既知の送信元とあて先の間の有効なネットワーク・トラフィックを含んでいることを確認(verify)することにより、トラフィック・フローの適格性を判断する(qualify)ように働くことができる。未知の送信元からであるため、または秘密区分がなされていない新たなフローであるために、確認がされていないトラフィック・フローは、送信元が確認される、またはトラフィック・フローが有効なトラフィックであるとの秘密区分がなされるまで、優先度の低いキューに割り当てられる。ほとんどのDoS攻撃では、新たなセッション情報、または詐称された(spoofed)送信元からのデータ、または無意味なデータが送られるので、ネットワーク処理システム40はこうしたトラフィック・フローを優先度の低いキューに割り当てることになる。こうして、DoSトラフィックは、利用可能な帯域の低いパーセンテージ(たとえば5%)以下しか与えられないことになり、これにより、攻撃者が下流にあるネットワーク装置を氾濫させることが防止される。
QoSプロセッサ116内のQoSキュー(QoSプロセッサの本実施形態では64k個のキューがあるが、任意の個数のキューが使用可能である)からスケジューラ(本実施形態では1024個)に入力が行われ、ここからロジック・ポート(本実施形態では256個)に入力が行われ、ここからフロー制御ポート・マネージャ(本実施形態では32個)にデータが送られるが、これはネットワーク装置の物理出口(egress)ポートに対応していてもよい。トラフィック管理エンジンおよびトラフィック・シェイピング・エンジンは、プログラムされたパラメータに従ってトラフィック・フローを維持するために、スケジューラおよびロジック・ポートの動作を決定する。
QoSプロセッサ116は、パケット変更エンジンも含み、これはデータ・パケットのどのフィールドにあるビットを変更、追加、または削除するようにも動作可能である。これにより、QoSプロセッサ116は、必要な取り扱いのために、DiffServビットを変更し、またはデータ・パケットに適切なMPLS Shimを付加することが可能になる。QoSプロセッサ116内のパケット変更エンジンは、必要ならばペイロード自体の内部の情報を変更するのに使用することもできる。次いで、データ・パケットは高速データ・パス126を通して送られて関連付けられたライン・インターフェースに出力され、ここでアナログ信号に変換し戻され、ネットワーク上に流される。
すべてのネットワーク装置と同様に、高速データ・パス126上ではある種のネットワーク・トラフィックは処理できない。このトラフィックは、オンボードのマイクロプロセッサ124によって処理する必要がある。高速パスのトラフィック・フロー・スキャニング・エンジン140およびQoSプロセッサ116は、追加処理の必要なパケットをフロー管理プロセッサ122に送り、これはパケットを処理のためにマイクロプロセッサ124に転送する。すると、マイクロプロセッサ124は、フロー管理プロセッサ122を通してトラフィック・フロー・スキャニング・エンジン140およびQoSプロセッサ116に通信を返す(communicate back)。フロー管理プロセッサ122は、処理エンジン40を通るトラフィック・フローの性質に関するデータおよび統計を収集するようにも動作可能である。ブリッジ146は、PCIバスの氾濫中に生じる可能性のあるデータの喪失を防ぐ目的で、要素間で使用されてPCIバス148に対するバッファとして働く。
図4の説明からわかるように、学習状態機械44および46により、受け取った任意のまたはすべてのデータ・パケットの内容全体を、既知の署名のデータベースと比べながら(against)スキャンできるようになる。スキャンされた内容は、可変のまたは任意のどのような長さでもよく、パケット境界を越えることさえ可能である。学習状態機械44または46の機能により、インテリジェントで状態感知のネットワーク装置が可能となり、そのネットワーク装置は、そのデータ・パケットの内容だけでなく、同じフローのそれまでのデータ・パケットの内容にも基づいてデータ・パケットに対し処理を行う(operate on)機能をもつようになる。
こうした機能により、学習状態機械44および46は、法執行機関の令状に含まれる条件(criteria)などの所定の条件に一致するネットワーク・トラフィックを探すようにプログラムすることができる。そのトラフィックは、識別されてしまえば、その後その全体または部分を複製し、法執行機関による査察(review)のためにコピーを他の場所に別ルートで送ることができる。
ここで図5を参照すると、図4の内容プロセッサ110がさらに詳細に示されている。上で説明したように、内容プロセッサ110は、図4のヘッダ・プリプロセッサ104から転送されたデータ・パケットの内容をスキャンするように動作可能である。内容プロセッサ110は、3つの別々のエンジン、キュー・エンジン302、コンテキスト・エンジン304、および内容スキャニング・エンジン306を含む。
内容プロセッサ110は、ペイロードの内容のスキャンを行い、またパケット境界を越えてスキャンする能力を持つ以上、セッションごとに、フラグメント化されたパケットの再組み立てを行い、順序の入れ替わったパケットを再配列できなければならない。再配列および再組み立ては、キュー・エンジン302の機能である。キュー・エンジン302は、データを高速パス・データ・バス127から、高速パス・インターフェース310を用いて受け取る。次いで、パケットはパケット再配列/再組み立てエンジン312に送られるが、これはパケット・メモリ・コントローラ316を使用してパケットをパケット・メモリ112に格納する。再配列/再組み立てエンジン312は、また、リンク・リスト・コントローラ314およびリンク・リスト・メモリ318を使用して、処理のためにデータ・パケットを再配列するのに使用する詳細なリンク・リストを作成する。データ・パケットは、キュー・エンジン302の内部で、格納のために256バイトのブロックに分割される。セッションCAM320は、内容プロセッサ110のキュー・エンジン302が生成したセッションIDを格納することができる。再配列/再組み立てエンジン312は、セッションIDを使用して、同じデータ・フローに属するデータ・パケットをリンクする。
要求される高いスループット速度を得るためには、内容プロセッサ110は、複数のセッションからのパケットを同時に処理できなければならない。内容プロセッサ110は、あるセッションIDの関連づけられた唯一のトラフィック・フローにそれぞれが属する、複数のデータ・パケットからのデータのブロックを処理する。本発明の好ましい実施形態では、内容プロセッサ110のコンテキスト・エンジン304は、唯一のトラフィック・フローからの64の異なるデータ・パケットの64バイト・ブロックを同時に処理する。64の異なるデータ・フローの64バイト・ブロックのそれぞれが、内容プロセッサにとって単一のコンテキストを表している。内容プロセッサ110に対して同時に存在するコンテキストすべてのスケジューリングおよび管理は、コンテキスト・エンジン304が取り扱う。
コンテキスト・エンジン304は、キュー・エンジン302とともに動作して、あるコンテキストが処理を終え、内容プロセッサ110から送信されてしまったときに新しいコンテキストを選択する。新規空きコンテキスト/新規空きブロックエンジン(next free context/next free block engine)330は、リンク・リスト・コントローラ314と通信して、あるデータ・パケットの処理すべき次のブロックを識別する。内容プロセッサ110はデータ・パケットを順番通りにスキャンしなければならないので、ある特定のセッションIDを有するデータ・パケットまたはトラフィック・フローは、一時に1つしかアクティブになることができない。アクティブ制御リスト332は、アクティブなコンテキストをもつセッションIDのリストを保持しており、新しいコンテキストをこのアクティブ・リストと比べながら(against)検査して、新しいコンテキストが非アクティブのセッションIDであるようにする。新しいコンテキストが識別されると、パケット・ローダ340が、新規空きコンテキスト/新規空きブロックエンジン330が取り出したリンク・リスト情報を使用して、パケット・メモリ・コントローラ316を用いてパケット・メモリ112からデータの必要なブロックを取り出す。次いで、新しいデータ・ブロックは、コンテキスト・バッファ342のうちの空いているバッファにロードされ、ここで内容スキャニング・エンジン・インターフェース344によって取り出されるのを待つ。
内容スキャニング・エンジン・インターフェース344は、内容エンジン304と内容スキャニング・エンジン306の間のインターフェースである。内容スキャニング・エンジン306に、スキャンすべき次のコンテキストのための余地があると、内容スキャニング・エンジン・インターフェース344が内容スキャニング・エンジン306内のストリング・プリプロセッサ360に新しいコンテキストを送る。ストリング・プリプロセッサ360は、ホワイト・スペース(white space)(すなわち、スペース、タブ、改行)を単一のスペースに圧縮してスキャニングを簡単にするなどの操作を行うことにより、コンテキストを簡単にするように動作可能である。ストリング・プリプロセッサ360が終了すると、コンテキストは、コンテキスト・バッファ362にあるバッファの1つにロードされ、その後ストリング比較部364によって取り出される。ストリング比較部364は、署名メモリ366への入出力を制御する。署名メモリ366は、潜在的にはそれぞれに複数のコンテキストを取り扱う能力があり、ここでは4つを示しているが、任意の個数を使用して、内容スキャニング・エンジン306を通過するスループットを増加または減少させることができる。本実施形態では、署名メモリ366のそれぞれに、一時に4つのコンテキストを処理する能力がある。
署名メモリ366の1つは、スケジューラ364によってコンテキストを割り当てられ、次いで、コンテキストの上位のビット(significant bits)を、署名メモリ366内にある既知のストリングのデータベースと比較する。署名メモリ366は、コンテキストと既知の署名の1つとの間に潜在的に一致するものがあるかどうか、上位のビットを用いて判定するが、これは、ある特定の署名に一意のビットである。潜在的な一致があった場合、コンテキストおよび潜在的に一致したストリングは、葉ストリング比較部368に送られ、これは葉ストリング・メモリ370を使用して、コンテキストと潜在的に一致したストリングとのビットごとの比較を行う。4つのストリング・メモリ366および2つの葉ストリング・メモリ370を示してあるが、任意の個数のストリング・メモリ366および葉ストリング・メモリ370を使用して、内容プロセッサ110のスループットを最適化することができる。
次いで、内容スキャニングの判断が、ペイロード・スキャニング・インターフェース344に、おそらくスキャンすべき新しいデータに対する要求とともに送り返される。内容スキャニングの判断は、起こりうるいくつかの判断のいずれかである。スキャニングがまだ判断に達しておらず、スキャニングを続行するのに新しいデータ・パケットからのデータをさらに必要としていることがあるが、その場合には、中間状態と呼ぶことの可能な、トラフィック・フローの状態、およびなんらかの不完全なスキャンが、シーケンス番号、カウンタほかなどの他の適切な情報とともに、セッション・メモリ354に格納される。署名メモリ366が達する判断が、スキャニングが完了して、一致するものがあったまたはなかったというものである可能性もあるが、この場合には、データ・パケットおよび判断が、送信エンジン352に送られて図4のQoSプロセッサ116に渡される。スキャニングにより、データ・パケットは、さらに処理を行うために、図4のマイクロプロセッサ124に転送する必要があるという決定がなされ、その結果、データ・パケットはホスト・インターフェース350に送られ、ホスト・インターフェース・バス372に流される、ということもある。普通でない(odd)パケットを取り扱うほかに、ホスト・インターフェース350は、マイクロプロセッサ124に内容エンジン304内の任意のバッファまたはレジスタへの書き込みを許すことによって、マイクロプロセッサ124が内容プロセッサ110の動作のどのような側面も制御できるようにする。
状態情報は、セッション・メモリ354に格納され、特定のトラフィック・フローに関連付けられたデータのスキャンの後、必要に応じて更新される。状態は、中間的状態であることもある。これは、マッチングが不完全であり、スキャニングを続けるにはデータがさらに必要であることを意味している。また、状態は、部分的状態であることもある。これは、特定の判断を生成するのに必要な複数のイベントのうちの1つまたは複数のイベントが起きたことを示す。状態は、最終的状態であることもある。これは、関連付けられたトラフィック・フローに対する最終的な判断に達しており、スキャニングがそれ以上必要ないことを示す。あるいは、状態は、内容プロセッサ110にプログラムされる際に必要とされる他のなんらかの状況を表しているものであってもよい。各トラフィック・フローに対する状態情報は、どのような形であれ、図3のネットワーク処理システム40のインテリジェンスを表すものであり、この状態情報により、ネットワーク処理システムは、スキャンされた情報だけでなく、各トラフィック・フローに関してそれまでにスキャンされたすべての情報に対しても働く(act on)ことができるようになる。
送信エンジン352、ホスト・インターフェース350、セッション・メモリ354の使用を制御するセッション・メモリ・コントローラ348、およびカウンタの増分または減分、ポインタの移動ほかに使用される汎用算術論理演算ユニット(GP−ALU、general−purpose arithmetic logic unit)の動作は、スクリプト・エンジン334によって制御される。スクリプト・エンジン334は、必要に応じてレジスタ338を用いて、スクリプト・メモリ336に格納されたプログラム可能なスクリプトを実行するように動作する。スクリプト・エンジン334は、制御バス374を使用して、コンテキスト・エンジン304内の要素のいずれかに命令を送る。スクリプト・エンジン334または内容プロセッサ110内の他のエンジンは、スキャンされたデータ・パケットの内容を変更する機能を有する。たとえば、内容プロセッサ110がスキャンした電子メールにウイルスが検出されることがあるが、その場合には、内容プロセッサは感染した添付ファイル(attachment)のビットを変更するように働き、本質的に電子メールを無害にすることができる。
内容プロセッサ110の機能は、いくつかの点で独特である。内容プロセッサ110は、1つまたは複数の任意のデータ・パケットの内容をスキャンして、1つの署名または一連の署名として表されうるなんらかの情報を探す機能を有する。署名はどのような長さでもよく、パケット内のどこで始まりまた終わっていてもよく、パケット境界を越えていてもよい。さらに、内容プロセッサ110は、各トラフィック・フローの流れているうちに一致した任意のまたはすべての署名を表すそのトラフィック・フローの状態情報を格納することによって、トラフィック・フロー1つ1つのすべての全体にわたって状態感知を維持することができる。既存のネットワーク・プロセッサは、各データ・パケット内のある特定の位置にある固定長の情報を探するように動作するのであり、パケット境界を越えた参照を行うことができない。既存のネットワーク・プロセッサは、パケット中のある特定の位置にある固定長の情報を参照できるというだけで、あるレベルのパケット・ヘッダ内の識別可能な位置に含まれる情報に対して働くだけに限定され、データ・パケットのペイロードを調べられもしなければ、トラフィック・フロー全体の状態情報に基づいて、またはペイロードを含むデータ・パケットの内容に基づいてさえ、決定を行うことはもちろんできない。
ここで図6を参照すると、プロセッサの構成を、またより重要には、メモリ・イメージを作成するソフトウェアの図が示されている。このメモリ・イメージは、内容プロセッサ110内で、各パケットおよびフローが比較される署名のデータベースを形成する。メモリ・イメージおよび構成の作成に使用されるソフトウェアは、図3に示すネットワーク処理システムとは別のサーバ上で稼動する。メモリ・イメージおよび構成は、別のサーバ上で作成されると、送信され、図7に関して説明するネットワーク処理システムにダウンロードされる。
図3のネットワーク処理システムは、それが実行するネットワーク・ポリシを設定するように、ユーザによってプログラム可能である。このプログラミングは、すでに述べたように、別のサーバ上にロードされるポリシ・イメージ・ビルダ500を用いて行われる。ポリシ・イメージ・ビルダ500は、グラフィカル・ユーザ・インターフェース(GUI、graphical user interface)502およびコマンド・ライン・インターフェース(CLI、command line interface)504を含む。GUI502とCLI504の機能は同じであり、両者はプログラマが好きなほうのインターフェースを選択できるように提供されている。ポリシ・ゲートウェイ構成データベース510は、メモリ・サイズ、ポート番号、ライン・インターフェースのタイプほかなどの情報を含めて、プログラマがアクセス権を有する各ポリシ・ゲートウェイの構成に関する情報を保持し、CLIインタープリタ508およびGUIプログラム506と対話を行って、既存の処理エンジン構成ファイル514および既存のポリシ記述512を保持するデータベースに新たなユーザ・プログラムを送る。次いで、新たなユーザ・プログラムならびに既存の構成および記述は、ポリシ・オブジェクト言語(POL、Policy Object Language)コンストラクタ516によってオブジェクト・ライブラリ518と結合される。POLコンストラクタ516は、プログラムおよび構成情報を入力とし、ネットワーク処理システムの1つ1つの構成要素用にいくつかのマップおよび構成ファイルを出力する。
まず、ネットワーク処理エンジンの内部のメモリ・ロケーションのマップが作成され、メモリおよびカウンタ・マップ520に格納される。ネットワーク処理システムは完全にプログラム可能なので、メモリ・ロケーション、カウンタおよびレジスタの1つ1つが、このプログラムによって機能を割り当てられる。この割り当てのマップがなければ、ネットワーク処理システムから読み出されるデータはその後すぐに理解不能となろう。作成されたメモリおよびカウンタ・マップによって、ネットワーク処理システムによって作成されたどのようなデータも後で解釈できるようになる。
さらに、POLコンストラクタ516は、ネットワーク処理システムの各構成要素ごとに構成ファイルを作成する。QoS構成ファイル528は、作成され、QoSコンパイラ530に送られ、これを使用してQoS構成イメージ546が作成される。ヘッダ・プリプロセッサ(HPP)プログラム526は、作成され、HPPコンパイラ532に送られ、そこでHPPバイナリ・ファイル544が作成される。同様に、コンテキスト・エンジン・スクリプト・ファイル524は、POLコンストラクタ516によって作成され、コンテキスト・エンジン・スクリプト・コンパイラ534によってコンパイルされて、コンテキスト・エンジン・バイナリ・ファイル542が作成される。最後に、ネットワーク・ポリシ記述を含む署名マップ・ファイル522が作成され、署名アルゴリズム・ジェネレータ536へと送られ、ここで、ネットワーク処理システムのメモリをより効率よく使用する目的で、署名マップは効率のよい署名メモリ・マップ540へと圧縮される。このプログラムでは、部分的署名メモリ・マップ538を使用することによって、署名メモリの部分的更新も可能であり、署名メモリを全面的にマップし直す必要がない場合に、これを使用して署名メモリをわずかな部分だけ変更することができる。
次いで、この4本のバイナリ・ファイル、すなわちQoS構成ファイル546、HPPバイナリ・ファイル544、コンテキスト・エンジン・バイナリ・ファイル542、および署名メモリ・マップ540(または、適切な場合には部分的署名メモリ・マップ538)が、処理エンジン構成ソース・ファイル552、ポリシ記述ソース・ファイル550、ならびにカウンタおよびメモリ・マップ・ソース・ファイル548とともに結合される。この結合は処理エンジン・イメージ・ビルダ554によって行われ、このビルダはポリシ・ゲートウェイ・イメージ・ロード・ファイル556を作成する。ポリシ・ゲートウェイ・イメージ・ロード・ファイル556は、別のサーバから実際のネットワーク処理システムに送られるファイルであって、稼動に必要な情報およびプログラムをネットワーク処理システムに提供する。ソース・ファイルはポリシ・ゲートウェイ・イメージ・ロード・ファイル556に含まれており、万一、ネットワークまたはシステムのどこかの部分に何かが起きた場合、他の場所にあるソース・ファイルをトレースし直さなくても、ポリシ・ゲートウェイ・イメージ・ロード・ファイルだけからこの4本のバイナリ・ファイルを再構築でき理解できるようになっている。
ポリシ・ゲートウェイ・イメージ・ロード・ファイル556に何が含まれているかがはっきりわかるように、構成要素の1つ1つが処理エンジン・データ558、制御プロセッサ・データ560、および管理プロセッサ・データ562として示されている。処理エンジン・データ558は、図3の左側および右側処理エンジン44および46用の左側および右側処理メモリ・マップをそれぞれ含み、それが図4に示す内容プロセッサ110の署名メモリにロードされる。処理エンジン・データ558は、また、図4に示すそれぞれ左側および右側処理エンジン44および46に対するQoSプロセッサ116用の左側および右側構成ファイルを含む。そして、処理エンジン・データ558は、それぞれ左側および右側処理エンジン44および46に対するヘッダ・プリプロセッサ104用の左側および右側ヘッダ・プリプロセッサ・イメージ・ファイルを含む。
制御プロセッサ・データ560は、左側および右側処理エンジンのそれぞれにあるマイクロプロセッサ124にそれぞれロードされる左側および右側カウンタ・メモリ・マップを含む。最後に、管理プロセッサ・データ562は、処理エンジン構成ソース552およびポリシ・ソース550に関して上に述べた、左側および右側構成ソースおよび左側および右側ポリシ・ソースを含む。これらのファイルは、図3に示す管理モジュール48上に格納される。
ここで図7を参照して、ネットワーク処理システムとの通信のしくみ(mechanics)を示す図を説明する。図7に示す図を実装するプログラムも、図6に示したポリシ・イメージ・ビルダ500を含む別のサーバ上にある。上に述べたように、CLI504およびGUI502は、ポリシ・イメージ・ビルダ500が構成ファイル510とともにこれを使用して、ポリシ・ゲートウェイ・イメージ・ファイル556とメモリおよびカウンタ・マップ520の両方が作成される。ポリシ・ゲートウェイ・イメージ・ファイル556は、イメージ・リポジトリ・マネージャ570の入力となり、イメージ・リポジトリ・データベース572にロードされる。イメージ・リポジトリ・データベース572は、制御中のすべてのネットワーク処理システム用のポリシ・ゲートウェイ・イメージ・ファイルをすべて保持する。ネットワーク処理システム(NPS、network processing system)インターフェース・プログラム580は、管理中のネットワーク処理システムNPS001番、NPS002番、およびNPS00n番のそれぞれとの直接の通信を担当する(responsible)。NPS00n番によって示すように、任意の数のネットワーク管理システムが1台の別のサーバから管理可能である。イメージ・リポジトリ・プログラム574は、イメージ・リポジトリ・データベース572から正しい(proper)イメージ・ファイルを読み込み、それをNPSインターフェース・プログラム580に送る。NPSインターフェース・プログラム580は、認証プログラム584を用いて各ネットワーク処理システムを認証するように働き、次いでポリシ・ゲートウェイ・イメージ・ファイルを適切なネットワーク処理システムに送る。
NPSインターフェース・プログラム580は、イメージ・ファイルをネットワーク処理システムにプッシュするのに加えて、各ネットワーク処理システムに定期的に要求を送って、その統計およびイベントの情報をアップロードすることによって、各ネットワーク処理システムから統計およびイベントのデータをプルするように働く。この情報は、NPSインターフェース・プログラム580が受け取ったときに、統計的データベース管理部586に送られ、そこで統計データベース588に格納される。統計データベース・マネージャ590は、メモリおよびカウンタ・マップ520からの情報を使用して、統計データベース588を解読するのに必要な情報を統計構成データベース592に置く。すると、統計データベース588および統計構成データベース592は、これを使用して課金システムに情報を入力してサービスに対する課金を行い、ネットワーク管理システムに情報を入力してネットワークの動作および効率を分析することができる。
ここで図8を参照して、IPネットワーク上のトラップ・アンド・トレース機能を実装する方法600を説明する。この方法は、ブロック602に示すように、ネットワーク処理システムが新しいパケットを受信することから始まる。ブロック604で表すように、図5のキュー・エンジン302を用いて、セッションIDの決定に使用する所定の属性がそのパケットから取り出され、セッションIDが決定される。次いでプロセスは、ブロック606で、そのパケットのセッションIDが、そのパケットがネットワーク処理システムに既知のあるフローに属すことを示す、既存のセッションIDに対応するかどうかを判定する。
セッションIDが既存のセッションIDと一致しなかった場合、プロセスはブロック608に移り、処理すべき新しいフローを表す新しいセッションIDが格納される。次いで方法はブロック610に移り、ここで本発明のネットワーク処理システム、特に図5に関して説明した内容スキャニング・エンジン306によってパケットがスキャンされる。パケットがスキャンされると、プロセスはブロック612に移り、パケットの内容が監視基準(surveillance criteria)のいずれかとマッチするかが判定される。監視基準とのマッチングは、そのパケットをどのように処理するかを決定するのにさらにマッチングを必要とする部分的マッチングを含んでいてもよい。全体的にせよ部分的にせよ、パケットが監視基準にマッチしなかった場合、プロセスはブロック618に移り、セッション情報が格納され、その後、ブロック638に示すように、パケットはネットワーク処理システムによって転送される。
ブロック612に戻って、パケットの内容が検索条件(search criteria)にマッチした場合、プロセスはブロック614に移って、監視のタイプが決定されているかどうか判定する。現在、法執行機関には、2つのタイプの令状が発行されている可能性がある。法執行官(law enforcement officials)が完全な通信を傍受することが可能であるか、通信の完全な内容ではなく、呼またはセッションの送信元またはあて先などの識別情報を傍受することだけが可能であるかである。令状によって通信の完全な傍受が許可されている場合、プロセスはブロック624に移り、パケットはコピーまたは複製されるが、処理のため指定されたサイトに送られ、または後で取り出し処理するために保存される。
識別情報だけの傍受が許可されていると判定された場合、プロセスはブロック616に移って、パケットが傍受に必要な完全な1組の識別情報を含むかどうかが判定される。そうでない場合、プロセスはブロック618に移って、この新しいセッションのセッション情報を格納するエントリーが作成され、そうしてブロック638にあるように、パケットが転送される。ブロック616で識別情報が完全であると判定された場合、プロセスはブロック622に移って、識別情報は後で取り出すために保存され、または処理のため指定された場所に転送される。次に、このプロセスでは、セッション情報が格納され(ブロック618)、パケットが転送される(ブロック638)。
ここでブロック606に戻って、パケットがすでに識別されたセッションに属する場合について検討する。一度、パケットが既存のセッション、またはフローに関連付けられると、ブロック626に示すように、そのフローのセッション情報が取り出される。セッション情報には、それまでのパケットからなされたそのフローについての決定が含まれている。次に、プロセスは、ブロック628に移り、そこでは受け取ったセッション情報のコンテキストの中でパケットがスキャンされる。次に、プロセスのブロック630で、セッション情報と併せて、スキャンされたパケットが監視基準にマッチするかどうかが判定される。そうでない場合、プロセスは620に移って、パケットの転送前にセッション情報が更新される。
セッション情報と併せて、スキャンされたパケットが検索条件にマッチしなかった場合、プロセスはブロック632に移り、令状のタイプが判定される。令状が完全な通信の傍受を許可している場合、プロセスはブロック634に移り、ブロック624に関して述べたように、パケットは送信または格納のためにコピーされる。識別情報だけの傍受が許可されている場合、その代わりにプロセスはブロック632から636に移り、識別情報のすべてが得られているかどうかが判定される。識別情報が得られている場合には、ブロック638に示すように、ブロック622に関して述べたのと同様に、識別情報は格納または送信される。ブロック634および638で傍受された情報が格納または送信された後で、プロセスはブロック620でセッション情報を更新し、その後パケットが転送される(ブロック638)。
一部のIP通信、特にSIPプロトコルを使用するVoIPでは、データ・フローと制御フローが別々である。制御フローは、実際の通信がデータ・フロー上で搬送される間、シグナリング、設定(setup)、解放(tear down)および他の関連する機能を実行するのに使用される。たとえば、SIP VoIPの呼では、データ・フロー、または呼の音声内容に対するパラメータを設定するために、制御フロー中でINVITEが使用される。呼が完了すると、解放メッセージが制御フロー上に送られて、データ・フローの終わりが知らされる(signal)。本発明のネットワーク処理システムでは、こうした通信の両方向の制御フローとデータ・フローを、セッション状態データベースを用いてリンクすることが可能である。こうすると、制御フロー中に検索条件が存在すれば、データ・フローがネットワーク処理システムによって傍受されるようにすることができる。上述のように、こうした機能により、全体にせよ、呼の識別情報など通信のなんらかの部分集合にせよ、ネットワーク上を流れるIP通信の監視が可能になる。
図3および4に関して説明したヘッダ・プリプロセッサ、QoSプロセッサ、フロー管理プロセッサは、ここに記載した機能を実行する能力のある、適当な、どのプロセッサであってもよいが、好ましい実施形態では、ヘッダ・プリプロセッサは高速パターン・プロセッサ(FPP、Fast Pattern Processor)、QoSプロセッサはルーティング・スイッチ・プロセッサ(RSP、Routing Switch Processor)、フロー管理プロセッサはASIプロセッサであり、これらはすべて、テキサス州オースチンにあるルーセント・テクノロジーズのアギア部門(Agere Division of Lucent Technologies,Austin Texas)の製品である。図3に関して説明したマイクロプロセッサおよび図4の管理モジュールは、モトローラ・インコーポレーテッド(Motorola,Inc.)からのPowerPC系列のマイクロプロセッサ、またはインテル・コーポレーション(Intel Corporation)から市販のX86またはペンティアム(登録商標)系列のマイクロプロセッサを含む、適当な、どのマイクロプロセッサであってもよい。特定のプロトコル、実装、および材質について特に言及を行ったが、このネットワーク処理システムは、「それ自体で独立の」(bump−in−the−line)機器としてもルーティング機器としても、プロトコルとは独立に、異なる様々な実装において、本発明の範囲を逸脱することなく機能できることを当業者は理解すべきである。
本発明を詳細に説明したが、その最も広い形における本発明の趣旨と範囲を逸脱することなく、本発明に様々な変更、置換、および改変を加えることができることを、当業者は理解すべきである。
本発明がその中で動作できる例示的なネットワーク構造を示すネットワーク・トポロジーの図である。 本発明で使用するフロー、パケットおよびブロックの概念を示す図である。 本発明によるネットワーク処理システムの構成図である。 図3に示す処理エンジンの構成図である。 図4の内容プロセッサの構成図である。 本発明のネットワーク処理システムで使用するイメージおよび構成ファイルの作成に使用される、イメージ・ビルダ(image builder)の図である。 本発明のネットワーク処理システムにイメージ・ファイルをロードし、ネットワーク処理システムから統計情報およびイベント情報を取り出すための機構を示す図である。 本発明がIP通信の傍受に使用する方法を示す流れ図である。

Claims (17)

  1. ネットワーク内で使用され、前記ネットワーク上を流れる通信を傍受するように動作可能であり、前記ネットワークが複数のデータ・パケットを受け渡し、前記データ・パケットが複数のフローを形成する、ネットワーク処理システムであって、
    1つまたは複数の前記フローの特徴を識別し、前記特徴を既知の署名からなるデータベースと比較する学習状態機械を含み、1つまたは複数の前記既知の署名が検索条件を表し、1つまたは複数の前記フローの特徴の1つが前記検索条件に一致するとき、前記学習状態機械が前記フローを傍受する、ネットワーク処理システム。
  2. 前記フローの識別情報のみが傍受される、請求項1に記載のネットワーク処理システム。
  3. 前記フローの内容全体が傍受される、請求項1に記載のネットワーク処理システム。
  4. 傍受される通信が制御フローおよびデータ・フローを有する、請求項1に記載のネットワーク処理システム。
  5. 前記制御フローの特徴が前記検索条件に一致すると、前記制御フローと前記データ・フローがともに傍受される、請求項4に記載のネットワーク処理システム。
  6. 前記フローを傍受することが前記フローを複製することおよび前記複製を別のアドレスにリダイレクトすることを含む、請求項1に記載のネットワーク処理システム。
  7. 前記傍受されるフローがVoIPの呼である、請求項1に記載のネットワーク処理システム。
  8. 前記学習状態機械が、前記パケット中のヘッダ情報を検査するためのヘッダ・プリプロセッサと、前記パケットを前記データベースと比較し取り扱いを決定する内容プロセッサと、前記取り扱いに従って前記パケットを変更し前記パケットの量を調整する(direct)サービス品質プロセッサを含む、請求項1に記載のネットワーク処理システム。
  9. 各学習状態機械が、追加の処理が必要なデータ・パケットのためのマイクロプロセッサをさらに含む、請求項8に記載のネットワーク処理システム。
  10. ネットワーク内で使用されるネットワーク処理システムであって、
    前記ネットワークが複数のフローからなり、各フローは複数のデータ・パケットから形成され、前記ネットワーク処理システムが前記ネットワーク内の選択されたフローを傍受するように動作可能であり、
    学習状態機械を含み、前記学習状態機械が、
    前記データ・パケットを処理して各データ・パケットを特定のフローに関連付け、各フローに対する状態を維持し、1つまたは複数のフローを既知の署名のデータベースと比較するトラフィック・フロー・プロセッサであって、既知の署名の前記データベース内部で所定の検索条件との一致があると前記ネットワーク処理システムが前記フローを監視するような、所定の検索条件を既知の署名の前記データベースが含む、トラフィック・フロー・プロセッサと、
    前記トラフィック・フロー・プロセッサと通信するサービス品質プロセッサであって、前記データ・パケットを前記関連付けられたフローに対応するサービス品質キューに割り当てるように動作可能な、サービス品質プロセッサと
    をさらに含む、ネットワーク処理システム。
  11. 前記フローの前記監視が呼の識別情報の記録を作成することを含む、請求項10に記載のネットワーク処理システム。
  12. 前記フローの前記監視が前記フローを複製することおよび前記複製されたフローを所定のIPアドレスに送ることを含む、請求項10に記載のネットワーク処理システム。
  13. 前記トラフィック・フロー・プロセッサがヘッダ・プリプロセッサおよび内容プロセッサからなり、前記ヘッダ・プリプロセッサが各パケットのヘッダ情報を検査するように動作可能であり、内容プロセッサが前記パケットを既知の署名の前記データベースと比較するように動作可能である、請求項10に記載のネットワーク処理システム。
  14. 前記状態が前記フローの前記特徴に関する情報ならびに前記フローに含まれるイベントの記録を含む、請求項10に記載のネットワーク処理システム。
  15. 前記特定のフローに属する新しい状態が検査される時点で前記特定のフローに対して存在する前記状態を、前記データベースと併せて使用して、前記フローが前記所定の検索条件と一致するかどうかを判定する、請求項10に記載のネットワーク処理システム。
  16. 前記所定の検索条件を含む既知の署名の前記データベースが、別のサーバ上の管理インターフェースを使用してプログラムされ、イメージ・ファイルの形で前記ネットワーク処理システムにダウンロードされる、請求項10に記載のネットワーク処理システム。
  17. 前記管理インターフェースが前記ネットワーク処理システムから監視記録を取り出すようにも働く、請求項16に記載のネットワーク処理システム。
JP2004512436A 2002-06-11 2003-06-11 インターネット通信の合法的傍受のための装置 Abandoned JP2006513590A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/167,311 US6741595B2 (en) 2002-06-11 2002-06-11 Device for enabling trap and trace of internet protocol communications
PCT/US2003/018587 WO2003105506A1 (en) 2002-06-11 2003-06-11 Device for lawful intercept of internet communications

Publications (1)

Publication Number Publication Date
JP2006513590A true JP2006513590A (ja) 2006-04-20

Family

ID=29710864

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004512436A Abandoned JP2006513590A (ja) 2002-06-11 2003-06-11 インターネット通信の合法的傍受のための装置

Country Status (5)

Country Link
US (2) US6741595B2 (ja)
EP (1) EP1512302A4 (ja)
JP (1) JP2006513590A (ja)
AU (1) AU2003248677A1 (ja)
WO (1) WO2003105506A1 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009044472A1 (ja) * 2007-10-04 2009-04-09 Fujitsu Limited 傍受システム、経路変更装置及びコンピュータプログラム
JP2009169973A (ja) * 2009-04-23 2009-07-30 Ntt Docomo Inc データ中継装置
WO2011155510A1 (ja) 2010-06-08 2011-12-15 日本電気株式会社 通信システム、制御装置、パケットキャプチャ方法およびプログラム
KR101257067B1 (ko) * 2009-12-14 2013-04-22 한국전자통신연구원 인터넷 서비스 감청 방법 및 시스템
JP2015052934A (ja) * 2013-09-06 2015-03-19 Kddi株式会社 作業システム及びプログラム

Families Citing this family (130)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040073617A1 (en) 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
US7277528B2 (en) * 2002-02-12 2007-10-02 Siemens Information And Communication Networks, Inc.- Boca Raton Call-content determinative selection of interception access points in a soft switch controlled network
US7688823B2 (en) * 2002-06-04 2010-03-30 Alcatel-Lucent Usa Inc. Efficient mechanism for wire-tapping network traffic
US6741595B2 (en) * 2002-06-11 2004-05-25 Netrake Corporation Device for enabling trap and trace of internet protocol communications
KR100497357B1 (ko) * 2002-06-26 2005-06-23 삼성전자주식회사 인터넷 프로토콜 기반 네트워크 환경에 있어서 헤더 압축및 패킷 다중화 장치와 그 방법
US20040158529A1 (en) * 2002-07-30 2004-08-12 Dynamic City Metronet Advisors, Inc. Open access data transport system and method
US8891549B1 (en) * 2002-10-24 2014-11-18 Rockstar Consortium Us Lp Method and apparatus for content processing application acceleration
JP4073754B2 (ja) * 2002-10-29 2008-04-09 富士通株式会社 フレーム転送装置
US7454499B2 (en) * 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
US7486612B2 (en) * 2002-12-10 2009-02-03 Tellabs Petaluma, Inc. Fault-tolerant multicasting network
US7386630B2 (en) * 2003-04-30 2008-06-10 Nokia Corporation Using policy-based management to support Diffserv over MPLS network
EP1645147A4 (en) * 2003-07-07 2011-09-07 Mformation Technologies Inc SYSTEM AND METHOD FOR WIRELESS MANAGEMENT OF A NETWORK AND WIRELESS DEVICES
US7483374B2 (en) * 2003-08-05 2009-01-27 Scalent Systems, Inc. Method and apparatus for achieving dynamic capacity and high availability in multi-stage data networks using adaptive flow-based routing
AU2003258935A1 (en) * 2003-09-05 2005-03-29 Telefonaktiebolaget Lm Ericsson (Publ) Monitoring in a telecommunication network
US7752550B2 (en) * 2003-09-23 2010-07-06 At&T Intellectual Property I, Lp System and method for providing managed point to point services
US7417981B2 (en) 2003-10-15 2008-08-26 Vonage Holdings Corp. Method and apparatus for enhanced Internet Telephony
EP1549092A1 (en) * 2003-12-22 2005-06-29 Nortel Networks Limited Wireless data traffic statistics
US7656868B2 (en) * 2004-01-30 2010-02-02 Telefonaktiebolaget L M Ericsson (Publ) Method for transferring packets in networks comprising a plurality of linked intermediate networks
US7386111B2 (en) 2004-02-10 2008-06-10 Vonage Network Inc. Method and apparatus for placing a long distance call based on a virtual phone number
US20060212933A1 (en) * 2004-02-11 2006-09-21 Texas Instruments Incorporated Surveillance implementation in a voice over packet network
US7587757B2 (en) * 2004-02-11 2009-09-08 Texas Instruments Incorporated Surveillance implementation in managed VOP networks
US8031616B2 (en) * 2004-03-23 2011-10-04 Level 3 Communications, Llc Systems and methods for accessing IP transmissions
US7738384B2 (en) * 2004-03-23 2010-06-15 Level 3 Communications, Llc Systems and methods for accessing voice transmissions
US20050249214A1 (en) * 2004-05-07 2005-11-10 Tao Peng System and process for managing network traffic
US7333493B2 (en) * 2004-05-20 2008-02-19 International Business Machines Corporation Method for prevention of out-of-order delivery of data packets
US20060045121A1 (en) * 2004-08-25 2006-03-02 Monk John M Methods and systems for analyzing network transmission events
GB0420548D0 (en) * 2004-09-15 2004-10-20 Streamshield Networks Ltd Network-based security platform
US9197857B2 (en) 2004-09-24 2015-11-24 Cisco Technology, Inc. IP-based stream splicing with content-specific splice points
US8966551B2 (en) 2007-11-01 2015-02-24 Cisco Technology, Inc. Locating points of interest using references to media frames within a packet flow
US7764768B2 (en) * 2004-10-06 2010-07-27 Alcatel-Lucent Usa Inc. Providing CALEA/legal intercept information to law enforcement agencies for internet protocol multimedia subsystems (IMS)
US8059551B2 (en) * 2005-02-15 2011-11-15 Raytheon Bbn Technologies Corp. Method for source-spoofed IP packet traceback
US7839854B2 (en) * 2005-03-08 2010-11-23 Thomas Alexander System and method for a fast, programmable packet processing system
US8683044B2 (en) 2005-03-16 2014-03-25 Vonage Network Llc Third party call control application program interface
US20060210036A1 (en) 2005-03-16 2006-09-21 Jeffrey Citron System for effecting a telephone call over a computer network without alphanumeric keypad operation
US7995600B2 (en) * 2005-03-25 2011-08-09 Honeywell International Inc. Monitoring receiver having virtual receiver and line numbers
US7606147B2 (en) * 2005-04-13 2009-10-20 Zeugma Systems Inc. Application aware traffic shaping service node positioned between the access and core networks
US7719966B2 (en) * 2005-04-13 2010-05-18 Zeugma Systems Inc. Network element architecture for deep packet inspection
WO2007030223A2 (en) * 2005-07-28 2007-03-15 Mformation Technologies, Inc. System and method for remotely controlling device functionality
CA2615894A1 (en) * 2005-07-28 2007-02-08 Mformation Technologies, Inc. System and method for service quality management for wireless devices
US7719995B2 (en) * 2005-09-09 2010-05-18 Zeugma Systems Inc. Application driven fast unicast flow replication
US7508764B2 (en) * 2005-09-12 2009-03-24 Zeugma Systems Inc. Packet flow bifurcation and analysis
US7733891B2 (en) * 2005-09-12 2010-06-08 Zeugma Systems Inc. Methods and apparatus to support dynamic allocation of traffic management resources in a network element
MX2008006172A (es) 2005-11-09 2008-10-09 Vonage Holdings Corp Metodo y sistema para identificacion personalizada de un solicitante.
US8689317B2 (en) 2005-12-19 2014-04-01 Level 3 Communications, Llc Providing SIP signaling data for third party surveillance
US8917717B2 (en) 2007-02-13 2014-12-23 Vonage Network Llc Method and system for multi-modal communications
US8352590B2 (en) 2006-02-21 2013-01-08 Cisco Technology, Inc. Method and system for network management using wire tapping
US8291066B2 (en) * 2006-02-21 2012-10-16 Trading Systems Associates (Ts-A) (Israel) Limited Method and system for transaction monitoring in a communication network
AU2007217346B2 (en) 2006-02-27 2011-07-28 Vonage Holdings Corp. Automatic device configuration
US7308327B2 (en) * 2006-05-12 2007-12-11 Ford Motor Company Method of application protocol monitoring for programmable logic controllers
US8763007B1 (en) * 2006-08-29 2014-06-24 At&T Intellectual Property Ii, L.P. Open application interface for complex systems
US7936695B2 (en) 2007-05-14 2011-05-03 Cisco Technology, Inc. Tunneling reports for real-time internet protocol media streams
US8023419B2 (en) * 2007-05-14 2011-09-20 Cisco Technology, Inc. Remote monitoring of real-time internet protocol media streams
US7773510B2 (en) * 2007-05-25 2010-08-10 Zeugma Systems Inc. Application routing in a distributed compute environment
US20080298230A1 (en) * 2007-05-30 2008-12-04 Luft Siegfried J Scheduling of workloads in a distributed compute environment
US7835406B2 (en) * 2007-06-18 2010-11-16 Cisco Technology, Inc. Surrogate stream for monitoring realtime media
US20100046516A1 (en) * 2007-06-26 2010-02-25 Media Patents, S.L. Methods and Devices for Managing Multicast Traffic
ES2381175T3 (es) * 2007-06-26 2012-05-23 Media Patents, S. L. Dispositivo para gestionar grupos multidifusión
US7817546B2 (en) * 2007-07-06 2010-10-19 Cisco Technology, Inc. Quasi RTP metrics for non-RTP media flows
US7706291B2 (en) * 2007-08-01 2010-04-27 Zeugma Systems Inc. Monitoring quality of experience on a per subscriber, per session basis
KR100936236B1 (ko) * 2007-09-04 2010-01-11 충남대학교산학협력단 SIP/RTP를 이용하는 VoIP 음성 트래픽의 서비스품질 메트릭 모니터링 장치 및 방법
US7948978B1 (en) 2007-09-19 2011-05-24 Sprint Communications Company L.P. Packet processing in a communication network element with stacked applications
US8179906B1 (en) * 2007-09-19 2012-05-15 Sprint Communications Company L.P. Communication network elements with application stacking
US8374102B2 (en) * 2007-10-02 2013-02-12 Tellabs Communications Canada, Ltd. Intelligent collection and management of flow statistics
US8064449B2 (en) * 2007-10-15 2011-11-22 Media Patents, S.L. Methods and apparatus for managing multicast traffic
US8184630B2 (en) * 2007-10-15 2012-05-22 Media Patents, S.L. Method for managing multicast traffic in a data network and network equipment using said method
EP2215772A1 (en) * 2007-10-30 2010-08-11 Media Patents, S. L. Method for managing multicast traffic between routers communicating by means of a protocol integrating the pim protocol; and router and switch involved in said method
US8811968B2 (en) * 2007-11-21 2014-08-19 Mfoundry, Inc. Systems and methods for executing an application on a mobile device
US9031068B2 (en) * 2008-02-01 2015-05-12 Media Patents, S.L. Methods and apparatus for managing multicast traffic through a switch
WO2009095041A1 (en) * 2008-02-01 2009-08-06 Soporte Multivendor S.L. Method for managing multicast traffic through a switch operating in the layer 2 of the osi model, and router and switch involved in said method
EP2255517B1 (en) * 2008-02-21 2019-04-10 Telefonaktiebolaget LM Ericsson (publ) Data retention and lawful intercept for ip services
US20090225767A1 (en) * 2008-03-05 2009-09-10 Inventec Corporation Network packet capturing method
WO2009109684A1 (es) * 2008-03-05 2009-09-11 Media Patents, S. L. Procedimiento para monitorizar o gestionar equipos conectados a una red de datos
US8165024B2 (en) * 2008-04-03 2012-04-24 Alcatel Lucent Use of DPI to extract and forward application characteristics
US8375453B2 (en) * 2008-05-21 2013-02-12 At&T Intellectual Property I, Lp Methods and apparatus to mitigate a denial-of-service attack in a voice over internet protocol network
US7958233B2 (en) * 2008-09-26 2011-06-07 Media Patents, S.L. Method for lawfully intercepting communication IP packets exchanged between terminals
US8504687B2 (en) * 2008-11-26 2013-08-06 Telecom Italia S.P.A. Application data flow management in an IP network
US8705361B2 (en) * 2009-06-16 2014-04-22 Tellabs Operations, Inc. Method and apparatus for traffic management in a wireless network
US8189584B2 (en) * 2009-07-27 2012-05-29 Media Patents, S. L. Multicast traffic management in a network interface
US8619779B2 (en) * 2009-09-30 2013-12-31 Alcatel Lucent Scalable architecture for enterprise extension in a cloud topology
US8301982B2 (en) 2009-11-18 2012-10-30 Cisco Technology, Inc. RTP-based loss recovery and quality monitoring for non-IP and raw-IP MPEG transport flows
US20110149960A1 (en) * 2009-12-17 2011-06-23 Media Patents, S.L. Method and apparatus for filtering multicast packets
US9264321B2 (en) 2009-12-23 2016-02-16 Juniper Networks, Inc. Methods and apparatus for tracking data flow based on flow state values
US8582454B2 (en) 2010-04-08 2013-11-12 Netscout Systems, Inc. Real-time adaptive processing of network data packets for analysis
US8819714B2 (en) 2010-05-19 2014-08-26 Cisco Technology, Inc. Ratings and quality measurements for digital broadcast viewers
WO2011162215A1 (ja) * 2010-06-23 2011-12-29 日本電気株式会社 通信システム、制御装置、ノードの制御方法およびプログラム
US9130835B1 (en) * 2010-12-01 2015-09-08 Juniper Networks, Inc. Methods and apparatus for configuration binding in a distributed switch
KR20120071123A (ko) * 2010-12-22 2012-07-02 한국전자통신연구원 비정상 트래픽 감지 장치 및 방법
US9432407B1 (en) 2010-12-27 2016-08-30 Amazon Technologies, Inc. Providing and accessing data in a standard-compliant manner
US8938534B2 (en) 2010-12-30 2015-01-20 Ss8 Networks, Inc. Automatic provisioning of new users of interest for capture on a communication network
US9058323B2 (en) 2010-12-30 2015-06-16 Ss8 Networks, Inc. System for accessing a set of communication and transaction data associated with a user of interest sourced from multiple different network carriers and for enabling multiple analysts to independently and confidentially access the set of communication and transaction data
US8972612B2 (en) 2011-04-05 2015-03-03 SSB Networks, Inc. Collecting asymmetric data and proxy data on a communication network
US20120327956A1 (en) * 2011-06-24 2012-12-27 Altior Inc. Flow compression across multiple packet flows
US9319459B2 (en) * 2011-09-19 2016-04-19 Cisco Technology, Inc. Services controlled session based flow interceptor
US9207938B2 (en) * 2012-08-29 2015-12-08 Hewlett-Packard Development Company, L.P. Instruction forwarding based on predication criteria
US9350762B2 (en) 2012-09-25 2016-05-24 Ss8 Networks, Inc. Intelligent feedback loop to iteratively reduce incoming network data for analysis
US10219163B2 (en) 2013-03-15 2019-02-26 DGS Global Systems, Inc. Systems, methods, and devices for electronic spectrum management
US10237770B2 (en) 2013-03-15 2019-03-19 DGS Global Systems, Inc. Systems, methods, and devices having databases and automated reports for electronic spectrum management
US12356206B2 (en) 2013-03-15 2025-07-08 Digital Global Systems, Inc. Systems and methods for automated financial settlements for dynamic spectrum sharing
US8787836B1 (en) 2013-03-15 2014-07-22 DGS Global Systems, Inc. Systems, methods, and devices having databases and automated reports for electronic spectrum management
US10122479B2 (en) 2017-01-23 2018-11-06 DGS Global Systems, Inc. Systems, methods, and devices for automatic signal detection with temporal feature extraction within a spectrum
US10257727B2 (en) 2013-03-15 2019-04-09 DGS Global Systems, Inc. Systems methods, and devices having databases and automated reports for electronic spectrum management
US12256233B2 (en) 2013-03-15 2025-03-18 Digital Global Systems, Inc. Systems and methods for automated financial settlements for dynamic spectrum sharing
US8798548B1 (en) 2013-03-15 2014-08-05 DGS Global Systems, Inc. Systems, methods, and devices having databases for electronic spectrum management
US10231206B2 (en) 2013-03-15 2019-03-12 DGS Global Systems, Inc. Systems, methods, and devices for electronic spectrum management for identifying signal-emitting devices
US10257728B2 (en) 2013-03-15 2019-04-09 DGS Global Systems, Inc. Systems, methods, and devices for electronic spectrum management
US10299149B2 (en) 2013-03-15 2019-05-21 DGS Global Systems, Inc. Systems, methods, and devices for electronic spectrum management
US10244504B2 (en) 2013-03-15 2019-03-26 DGS Global Systems, Inc. Systems, methods, and devices for geolocation with deployable large scale arrays
US10271233B2 (en) 2013-03-15 2019-04-23 DGS Global Systems, Inc. Systems, methods, and devices for automatic signal detection with temporal feature extraction within a spectrum
US10257729B2 (en) 2013-03-15 2019-04-09 DGS Global Systems, Inc. Systems, methods, and devices having databases for electronic spectrum management
US8750156B1 (en) 2013-03-15 2014-06-10 DGS Global Systems, Inc. Systems, methods, and devices for electronic spectrum management for identifying open space
US9288683B2 (en) 2013-03-15 2016-03-15 DGS Global Systems, Inc. Systems, methods, and devices for electronic spectrum management
US11646918B2 (en) 2013-03-15 2023-05-09 Digital Global Systems, Inc. Systems, methods, and devices for electronic spectrum management for identifying open space
US8805292B1 (en) 2013-03-15 2014-08-12 DGS Global Systems, Inc. Systems, methods, and devices for electronic spectrum management for identifying signal-emitting devices
US9497114B2 (en) 2013-11-14 2016-11-15 AT&T Intellectual Propery I, L.P Label stack identification for lawful interception of virtual private network traffic
US9830593B2 (en) 2014-04-26 2017-11-28 Ss8 Networks, Inc. Cryptographic currency user directory data and enhanced peer-verification ledger synthesis through multi-modal cryptographic key-address mapping
WO2016085412A1 (en) * 2014-11-28 2016-06-02 Pte Ltd, Expert Team Systems and methods for intercepting, filtering and blocking content from internet in real-time
US20170085577A1 (en) * 2015-09-22 2017-03-23 Lorraine Wise Computer method for maintaining a hack trap
CN107707509B (zh) * 2016-08-08 2020-09-29 阿里巴巴集团控股有限公司 识别及辅助识别虚假流量的方法、装置及系统
US10459020B2 (en) 2017-01-23 2019-10-29 DGS Global Systems, Inc. Systems, methods, and devices for automatic signal detection based on power distribution by frequency over time within a spectrum
US10700794B2 (en) 2017-01-23 2020-06-30 Digital Global Systems, Inc. Systems, methods, and devices for automatic signal detection based on power distribution by frequency over time within an electromagnetic spectrum
US10498951B2 (en) 2017-01-23 2019-12-03 Digital Global Systems, Inc. Systems, methods, and devices for unmanned vehicle detection
US12183213B1 (en) 2017-01-23 2024-12-31 Digital Global Systems, Inc. Unmanned vehicle recognition and threat management
WO2018136785A1 (en) 2017-01-23 2018-07-26 DGS Global Systems, Inc. Systems, methods, and devices for automatic signal detection with temporal feature extraction within a spectrum
US12205477B2 (en) 2017-01-23 2025-01-21 Digital Global Systems, Inc. Unmanned vehicle recognition and threat management
US10529241B2 (en) 2017-01-23 2020-01-07 Digital Global Systems, Inc. Unmanned vehicle recognition and threat management
WO2019161076A1 (en) 2018-02-19 2019-08-22 Digital Global Systems, Inc. Systems, methods, and devices for unmanned vehicle detection and threat management
US10943461B2 (en) 2018-08-24 2021-03-09 Digital Global Systems, Inc. Systems, methods, and devices for automatic signal detection based on power distribution by frequency over time
CN109522050B (zh) * 2018-09-10 2020-11-17 上海交通大学 基于处理器控制流记录特性的内存数据实时记录方法和系统
US11843621B2 (en) * 2019-03-08 2023-12-12 Forescout Technologies, Inc. Behavior based profiling
US20240380805A1 (en) * 2021-09-07 2024-11-14 Nano Corp. Method and system for monitoring and managing data traffic

Family Cites Families (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4737950A (en) * 1985-05-31 1988-04-12 Rockwell International Corp. Multifunction bus to user device interface circuit
WO1994029987A1 (en) * 1993-06-07 1994-12-22 Telecom Technologies Pty. Ltd. Communication system
KR960003783B1 (ko) 1993-11-06 1996-03-22 한국전기통신공사 광대역 종합정보통신망 가입자 액세스 장치의 비동기 전달방식(atm) 다중화 처리 장치 및 방법
JPH07170288A (ja) * 1993-12-15 1995-07-04 Hitachi Ltd 音声通信システムおよび音声通信方法
GB2284968A (en) * 1993-12-18 1995-06-21 Ibm Audio conferencing system
US6189037B1 (en) 1994-09-30 2001-02-13 Intel Corporation Broadband data interface
JP2726630B2 (ja) * 1994-12-07 1998-03-11 インターナショナル・ビジネス・マシーンズ・コーポレイション ゲートウェイ装置及びゲートウェイ方法
US5619497A (en) 1994-12-22 1997-04-08 Emc Corporation Method and apparatus for reordering frames
US5859848A (en) * 1995-01-26 1999-01-12 Canon Kabushiki Kaisha Asynchronous transfer mode packet conversion to one of plural formats
US5561666A (en) * 1995-03-06 1996-10-01 International Business Machines Corporation Apparatus and method for determining operational mode for a station entering a network
US5737333A (en) * 1995-06-23 1998-04-07 Lucent Technologies Inc. Method and apparatus for interconnecting ATM-attached hosts with telephone-network attached hosts
JPH09130421A (ja) * 1995-11-02 1997-05-16 Furukawa Electric Co Ltd:The 仮想ネットワーク管理方法
US6058429A (en) 1995-12-08 2000-05-02 Nortel Networks Corporation Method and apparatus for forwarding traffic between locality attached networks using level 3 addressing information
US6021263A (en) 1996-02-16 2000-02-01 Lucent Technologies, Inc. Management of ATM virtual circuits with resources reservation protocol
US6298057B1 (en) * 1996-04-19 2001-10-02 Nortel Networks Limited System and method for reliability transporting aural information across a network
US5872783A (en) 1996-07-24 1999-02-16 Cisco Systems, Inc. Arrangement for rendering forwarding decisions for packets transferred among network switches
US6188689B1 (en) * 1996-10-04 2001-02-13 Kabushiki Kaisha Toshiba Network node and method of frame transfer
US6018526A (en) 1997-02-20 2000-01-25 Macronix America, Inc. Bridge device with self learning between network media and integrated circuit and method based on the same
US6215790B1 (en) * 1997-03-06 2001-04-10 Bell Atlantic Network Services, Inc. Automatic called party locator over internet with provisioning
US5940495A (en) * 1997-04-03 1999-08-17 Genesys Telecommunications Laboratories, Inc. Virtualized computer telephony integrated link for enhanced functionality
US6094435A (en) 1997-06-30 2000-07-25 Sun Microsystems, Inc. System and method for a quality of service in a multi-layer network element
JP3480801B2 (ja) 1997-12-05 2003-12-22 株式会社東芝 パケット転送方法及びノード装置
US6208640B1 (en) 1998-02-27 2001-03-27 David Spell Predictive bandwidth allocation method and apparatus
US6157955A (en) 1998-06-15 2000-12-05 Intel Corporation Packet processing system including a policy engine having a classification unit
US6452915B1 (en) * 1998-07-10 2002-09-17 Malibu Networks, Inc. IP-flow classification in a wireless point to multi-point (PTMP) transmission system
JP2000078154A (ja) 1998-09-01 2000-03-14 Mitsubishi Electric Corp Atmにおけるインターネット・トラフィックのハンドリングシステム
US6542508B1 (en) 1998-12-17 2003-04-01 Watchguard Technologies, Inc. Policy engine using stream classifier and policy binding database to associate data packet with appropriate action processor for processing without involvement of a host processor
FI108601B (fi) 1999-01-05 2002-02-15 Nokia Corp QoS-kartoitustiedon välitys pakettiradioverkossa
JP3766223B2 (ja) 1999-02-18 2006-04-12 富士通株式会社 境界装置及びそのコネクション設定方法
JP2000253018A (ja) 1999-03-02 2000-09-14 Nippon Telegr & Teleph Corp <Ntt> Atm優先制御ipゲートウェイ装置およびatm優先制御ipルーティング装置ならびにそれらの処理方法
JP4110671B2 (ja) 1999-05-27 2008-07-02 株式会社日立製作所 データ転送装置
JP3751473B2 (ja) 1999-05-28 2006-03-01 富士通株式会社 パケット中継装置
JP3685651B2 (ja) 1999-06-04 2005-08-24 沖電気工業株式会社 相互接続装置及びアクティブQoSマッピング方法
JP3449408B2 (ja) 1999-06-14 2003-09-22 日本電気株式会社 優先制御方式
US6505244B1 (en) 1999-06-29 2003-01-07 Cisco Technology Inc. Policy engine which supports application specific plug-ins for enforcing policies in a feedback-based, adaptive data network
WO2001019036A1 (en) * 1999-09-07 2001-03-15 Nokia Corporation Ordered delivery of intercepted data
US6788647B1 (en) 1999-11-19 2004-09-07 Cisco Technology, Inc. Automatically applying bi-directional quality of service treatment to network data flows
US20010027490A1 (en) * 2000-01-25 2001-10-04 Gabor Fodor RSVP handling in 3G networks
US6813243B1 (en) 2000-02-14 2004-11-02 Cisco Technology, Inc. High-speed hardware implementation of red congestion control algorithm
US6574195B2 (en) * 2000-04-19 2003-06-03 Caspian Networks, Inc. Micro-flow management
US6839323B1 (en) * 2000-05-15 2005-01-04 Telefonaktiebolaget Lm Ericsson (Publ) Method of monitoring calls in an internet protocol (IP)-based network
SE0001930D0 (sv) * 2000-05-24 2000-05-24 Ericsson Telefon Ab L M A method and system relating to networks
JP4006169B2 (ja) 2000-05-30 2007-11-14 株式会社日立製作所 ラベルスイッチング型パケット転送装置
US7032031B2 (en) * 2000-06-23 2006-04-18 Cloudshield Technologies, Inc. Edge adapter apparatus and method
US6477166B1 (en) 2000-06-30 2002-11-05 Marconi Communications, Inc. System, method and switch for an MPLS network and an ATM network
US7209473B1 (en) * 2000-08-18 2007-04-24 Juniper Networks, Inc. Method and apparatus for monitoring and processing voice over internet protocol packets
US6798757B2 (en) 2001-01-11 2004-09-28 Hitachi, Ltd. Establishing a route with a level of quality of service in a mobile network
US7161942B2 (en) * 2002-01-31 2007-01-09 Telcordia Technologies, Inc. Method for distributing and conditioning traffic for mobile networks based on differentiated services
US6741595B2 (en) * 2002-06-11 2004-05-25 Netrake Corporation Device for enabling trap and trace of internet protocol communications

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009044472A1 (ja) * 2007-10-04 2009-04-09 Fujitsu Limited 傍受システム、経路変更装置及びコンピュータプログラム
KR101128971B1 (ko) * 2007-10-04 2012-03-28 후지쯔 가부시끼가이샤 방수 시스템, 경로 변경 장치 및 기억 매체
JP5418227B2 (ja) * 2007-10-04 2014-02-19 富士通株式会社 傍受システム、経路変更装置及びコンピュータプログラム
JP2009169973A (ja) * 2009-04-23 2009-07-30 Ntt Docomo Inc データ中継装置
KR101257067B1 (ko) * 2009-12-14 2013-04-22 한국전자통신연구원 인터넷 서비스 감청 방법 및 시스템
WO2011155510A1 (ja) 2010-06-08 2011-12-15 日本電気株式会社 通信システム、制御装置、パケットキャプチャ方法およびプログラム
JP2015052934A (ja) * 2013-09-06 2015-03-19 Kddi株式会社 作業システム及びプログラム

Also Published As

Publication number Publication date
EP1512302A4 (en) 2008-12-10
AU2003248677A1 (en) 2003-12-22
US20030227917A1 (en) 2003-12-11
WO2003105506A1 (en) 2003-12-18
EP1512302A1 (en) 2005-03-09
US7471683B2 (en) 2008-12-30
US6741595B2 (en) 2004-05-25
US20040215770A1 (en) 2004-10-28

Similar Documents

Publication Publication Date Title
US7471683B2 (en) Device for enabling trap and trace of internet protocol communications
US6957258B2 (en) Policy gateway
US6654373B1 (en) Content aware network apparatus
US7031316B2 (en) Content processor
US6910134B1 (en) Method and device for innoculating email infected with a virus
US7058974B1 (en) Method and apparatus for preventing denial of service attacks
US7002974B1 (en) Learning state machine for use in internet protocol networks
EP3382989B1 (en) Network interface device
US7406709B2 (en) Apparatus and method for allowing peer-to-peer network traffic across enterprise firewalls
US7272115B2 (en) Method and apparatus for enforcing service level agreements
US6674743B1 (en) Method and apparatus for providing policy-based services for internal applications
US20110242981A1 (en) Multi-staged services policing
US20130294449A1 (en) Efficient application recognition in network traffic
US20030229710A1 (en) Method for matching complex patterns in IP data streams
US7206313B2 (en) Apparatus and method for using information in one direction of a bi-directional flow in a network to alter characteristics of the return direction flow
US20030229708A1 (en) Complex pattern matching engine for matching patterns in IP data streams
WO2002080417A1 (en) Learning state machine for use in networks
US6925507B1 (en) Device and method for processing a sequence of information packets
Takahashi et al. APE: Fast and secure active networking architecture for active packet editing

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060609

A762 Written abandonment of application

Free format text: JAPANESE INTERMEDIATE CODE: A762

Effective date: 20071116

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20071116