Clasificación de tráfico.

Un aparato (1) configurado para clasificar flujos de tráfico de usuario transportados por una red, estando asociado cada flujo de tráfico de usuario con uno de una serie de usuarios, comprendiendo el aparato:

una unidad de clasificación

(7) para clasificar cada flujo de tráfico de usuario en una de una serie de clases de tráfico;

una unidad (13) de generación de modelos para generar un modelo de usuario para cada usuario, comprendiendo cada modelo de usuario la clase de tráfico de cada flujo de tráfico de usuario asociado con dicho usuario;

una unidad de agrupamiento (14) para agrupar la serie de usuarios en uno o varios grupos de usuarios en base al modelo de usuario asociado con cada usuario, y para identificar un modelo de usuario con cada grupo de usuarios que es representativo de todos los modelos de usuario dentro de dicho grupo de usuarios; y

una unidad de clasificación optimizada (8) para identificar un usuario asociado con un subsiguiente flujo de tráfico de usuario, determinar el grupo de usuarios al que pertenece el usuario, recuperar el modelo de usuario representativo de dicho grupo de usuarios, y utilizar las clases de tráfico incluidas en el modelo de usuario representativo para clasificar el subsiguiente flujo de tráfico de usuario.

Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/EP2010/058090.

Solicitante: TELEFONAKTIEBOLAGET L M ERICSSON (PUBL).

Nacionalidad solicitante: Suecia.

Dirección: 164 83 STOCKHOLM SUECIA.

Inventor/es: ARAUZ-ROSADO,JESUS-JAVIER, CASADO MARTÍN,ALBERTO, SUÁREZ FUENTES,DAVID.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > Disposiciones, aparatos, circuitos o sistemas no... > H04L29/08 (Procedimiento de control de la transmisión, p. ej. procedimiento de control del nivel del enlace)
  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > Redes de datos de conmutación (interconexión o... > H04L12/26 (Disposiciones de vigilancia; Disposiciones de ensayo)

PDF original: ES-2468793_T3.pdf

 

google+ twitter facebook

Fragmento de la descripción:

Clasificaciïn de trïfico Campo tïcnico La presente invenciïn se refiere a la clasificaciïn de trïfico y, mïs en particular, a mïtodos y aparatos para optimizar la clasificaciïn de flujos de trïfico de usuario.

Antecedentes Un paquete es una unidad de datos formateada transportada mediante una red de conmutaciïn de paquetes. Cuando se han de transmitir datos, ïstos son divididos en segmentos y formateados en paquetes para su transmisiïn sobre la red. Cuando los paquetes alcanzan su destino, los segmentos de datos encapsulados dentro de los paquetes pueden ser recuperados y reensamblados en los datos originales. El formato exacto de los paquetes depende del protocolo utilizado por la red. Sin embargo, un paquete tiene habitualmente una cabecera y una carga ïtil. La cabecera contiene normalmente informaciïn necesaria para encaminar el paquete a su destino previsto, y posiblemente informaciïn que identifica el origen del paquete. La carga ïtil o contenido del paquete contiene el segmento de datos transportado por el paquete. El flujo de paquetes o flujo de trïfico es una secuencia de paquetes enviados desde un origen particular a un destino particular.

El filtrado de paquetes implica el anïlisis sintïctico de la cabecera del paquete, y la aplicaciïn de un conjunto predefinido de normas a la informaciïn contenida dentro de la cabecera, en un intento de clasificar el tipo de trïfico de red al que pertenece dicho paquete. Habitualmente, el filtrado de paquetes ha sido utilizado por los cortafuegos para impedir el acceso no autorizado hacia, o desde una red u ordenador especïficos, permitiendo al mismo tiempo las comunicaciones autorizadas. Sin embargo, los filtros de paquetes son sin estado, dado que examinan paquetes de manera individual y carecen de memoria de los paquetes anteriores, lo que les hace vulnerables a ataques de suplantaciïn de identidad. La suplantaciïn de identidad implica que el atacante consigue acceso no autorizado a un ordenador o a una red, haciendo que parezca que se ha recibido un mensaje malicioso desde una mïquina de confianza mediante falsificar la direcciïn de dicha mïquina en la cabecera del paquete.

Como un anticipo al filtrado de paquetes, se puede utilizar inspecciïn de paquetes con estado para determinar a quï paquetes de red se permite atravesar el cortafuegos. La inspecciïn de paquetes con estado implica examinar las cabeceras de los paquetes y recordar algo de las mismas. Esta informaciïn se puede utilizar a continuaciïn cuando se procesan paquetes posteriores. Por ejemplo, se pueden examinar paquetes tanto entrantes como salientes durante un periodo de tiempo, y se rastrean los paquetes salientes que solicitan tipos especïficos de paquetes entrantes, permitiïndose atravesar el cortafuegos solamente a aquellos paquetes entrantes que constituyen una respuesta adecuada a un paquete saliente.

El filtrado de paquetes y la inspecciïn de paquetes con estado se conocen como tïcnicas de inspecciïn superficial de paquetes (SPI, Shallow Packet Inspection) , dado que dependen exclusivamente de la informaciïn contenida en la cabecera de los paquetes, para determinar cïmo se debe tratar un paquete. Por ejemplo, en una red IP, SPI implica inspeccionar paquetes IP hasta la capa 4 (capa TCP/UDP) del modelo OSI, extrayendo habitualmente una "5-upla" que consiste en la direcciïn IP de origen, la direcciïn IP de destino, la direcciïn de la capa de transporte de origen (por ejemplo, puerto TCP/UDP) , la direcciïn de la capa de transporte de destino (por ejemplo, puerto TCP/UDP) y el protocolo de siguiente nivel utilizado en la parte de datos del paquete (por ejemplo, TCP, UDP, ICMP, etc.) . Sin embargo, al examinar ïnicamente la informaciïn contenida en las cabeceras de los paquetes, estas tïcnicas SPI tienen sus limitaciones.

Con el fin de superar algunos de los inconvenientes de la SPI, la inspecciïn profunda de paquetes (DPI, Deep Packet Inspection) implica mirar mïs allï de la informaciïn de cabecera, e inspeccionar el contenido de la carga ïtil de los paquetes, hasta la capa 7 del modelo OSI. Este anïlisis exhaustivo de los paquetes se puede utilizar para diversos propïsitos, incluyendo, entre otros, seguridad de redes, gestiïn de redes, generaciïn de perfiles de trïfico y recogida de estadïsticas, cumplimiento de los derechos de autor, regulaciïn de contenidos y vigilancia.

El sistema DPI analiza la cabecera y la carga ïtil de los paquetes que fluyen a travïs del mismo, y aplica un conjunto de criterios o reglas de clasificaciïn a la informaciïn de la cabecera y de la carga ïtil de los paquetes, en un intento de identificar la clase de trïfico y la sesiïn del usuario a la que pertenece un flujo de trïfico. Por ejemplo, un sistema DPI analizarï sintïcticamente los paquetes de un flujo para determinar el tipo de protocolos (HTTP, SMTP, etc.) a que se refieren los paquetes, las mïtricas de los paquetes (tamaïo, puertos, etc.) , las velocidades de transferencia de paquetes o de octetos, y la secuencia o secuencias de paquetes intercambiados, etc. Un sistema DPI aplicarï a continuaciïn las reglas de clasificaciïn de paquetes a la totalidad de esta informaciïn, en un intento de determinar la clase de trïfico. Estas reglas de clasificaciïn de paquetes pueden hacen uso de diversas tïcnicas tales como anïlisis de puertos, comparaciïn de cadenas, anïlisis estadïstico, anïlisis heurïstico, anïlisis de cabeceras de protocolo, anïlisis de carga ïtil de paquetes, etc. De este modo, los sistemas que implementan DPI son necesarios para analizar exhaustivamente paquetes en tiempo real y, en general, serïn necesarios para analizar por lo menos una cantidad mïnima de paquetes al comienzo de casi todos los flujos de trïfico enviados y/o recibidos por un

usuario. Por lo tanto, los sistemas DPI son necesarios para poder proporcionar una cantidad significativa de capacidad informïtica.

Debido a las tareas extremadamente exigentes llevadas a cabo por los sistemas DPI cuando se utilizan para realizar clasificaciïn de paquetes, y a la cantidad en aumento constante del trïfico de red, la cantidad de datos analizar mediante los sistemas DPI ha llegado a un punto en el que los mecanismos de optimizaciïn son imperativos. Actualmente, la optimizaciïn para sistemas DPI se consigue utilizando escalabilidad horizontal o vertical. La escalabilidad horizontal hace uso de un nïmero creciente de mïquinas para llevar a cabo el anïlisis DPI en paralelo, mientras que la escalabilidad vertical implica delegar etapas individuales del anïlisis DPI en equipamiento fïsico especializado. Sin embargo, aumentar el nïmero de mïquinas y la utilizaciïn de equipamiento fïsico especializado puede ser tan costoso que puede resultar inviable, desde el punto de vista empresarial, adquirir y mantener los sistemas necesarios para realizar la DPI. Por ejemplo, es probable que la DPI sea inviable para los flujos de trïfico generados mediante, o para los usuarios de un servicio de banda ancha mïvil de tarifa plana.

Ademïs, la escalabilidad horizontal y la escalabilidad vertical son capaces de conseguir ïnicamente un aumento lineal en el rendimiento. Por ejemplo, para duplicar la velocidad a la que un sistema DPI puede clasificar flujos de trïfico, el sistema necesitarïa duplicar el nïmero de mïquinas, o duplicar la cantidad de recursos. Dado que todas las previsiones sobre el trïfico de internet, tanto mïvil como fijo, predicen un aumento exponencial en la cantidad de trïfico consumido por los usuarios, este aumento lineal en la capacidad de DPI no serï suficiente, a un coste razonable, para adaptarse al trïfico que serï necesario analizar. Por lo tanto, es deseable dar a conocer un mecanismo para optimizar el rendimiento de la clasificaciïn de trïfico de los sistemas DPI a efectos de aumentar... [Seguir leyendo]

 


Reivindicaciones:

1. Un aparato (1) configurado para clasificar flujos de trïfico de usuario transportados por una red, estando asociado cada flujo de trïfico de usuario con uno de una serie de usuarios, comprendiendo el aparato:

una unidad de clasificaciïn (7) para clasificar cada flujo de trïfico de usuario en una de una serie de clases de trïfico; una unidad (13) de generaciïn de modelos para generar un modelo de usuario para cada usuario, comprendiendo cada modelo de usuario la clase de trïfico de cada flujo de trïfico de usuario asociado con dicho usuario; una unidad de agrupamiento (14) para agrupar la serie de usuarios en uno o varios grupos de usuarios en base al modelo de usuario asociado con cada usuario, y para identificar un modelo de usuario con cada grupo de usuarios que es representativo de todos los modelos de usuario dentro de dicho grupo de usuarios; y una unidad de clasificaciïn optimizada (8) para identificar un usuario asociado con un subsiguiente flujo de trïfico de usuario, determinar el grupo de usuarios al que pertenece el usuario, recuperar el modelo de usuario representativo de dicho grupo de usuarios, y utilizar las clases de trïfico incluidas en el modelo de usuario representativo para clasificar el subsiguiente flujo de trïfico de usuario.

2. Un aparato segïn la reivindicaciïn 1, y que comprende ademïs una memoria (5) que almacena uno o varios criterios de trïfico para cada una de la serie de clases de trïfico, estando configurados dichos uno o varios criterios de trïfico de una clase de trïfico para determinar si un flujo de trïfico de usuario pertenece a dicha clase de trïfico, definiendo cada criterio de trïfico una caracterïstica de un flujo de trïfico de usuario y un valor para dicha caracterïstica.

3. Un aparato segïn la reivindicaciïn 2, estando configurada la unidad de clasificaciïn (7) para:

obtener, de cada flujo de trïfico de usuario, un valor para la caracterïstica definida mediante cada uno de dichos uno o varios criterios de trïfico de la serie de clases de trïfico; determinar una clase de trïfico para la cual el valor de la caracterïstica definida en cada uno de dichos uno o varios criterios de trïfico de dicha clase de trïfico coincide con el valor obtenido para dicha caracterïstica; y clasificar el flujo de trïfico de usuario en dicha clase de trïfico.

4. Un aparato segïn cualquiera de las reivindicaciones 2 ï 3, estando configurada la unidad de clasificaciïn optimizada (8) para:

obtener, a partir del subsiguiente flujo de trïfico de usuario, un valor para la caracterïstica definida mediante cada uno de dichos uno o varios criterios de trïfico de dichas clases de trïfico incluidas en el modelo de usuario representativo; intentar identificar una clase de trïfico, entre aquellas clases de trïfico incluidas en el modelo de usuario representativo, para la cual el valor de la caracterïstica definida en cada uno de dichos uno o varios criterios de trïfico de dicha clase de trïfico coincide con el valor obtenido para dicha caracterïstica; y si se identifica una clase de trïfico, clasificar el subsiguiente flujo de trïfico de usuario en dicha clase de trïfico, y actualizar en consecuencia el modelo de usuario del usuario.

5. Un aparato segïn la reivindicaciïn 4, en el que, si una clase de trïfico no puede ser identificada entre aquellas clases de trïfico incluidas en el modelo de usuario representativo, entonces la unidad de clasificaciïn optimizada (8) estï configurada adicionalmente para no clasificar el subsiguiente flujo de trïfico de usuario.

6. Un aparato segïn la reivindicaciïn 4, en el que, si una clase de trïfico no puede ser identificada entre aquellas clases de trïfico incluidas en el modelo de usuario representativo, entonces la unidad de clasificaciïn optimizada (8) estï configurada adicionalmente para:

obtener, de cada flujo de trïfico de usuario, un valor para la caracterïstica definida mediante cada uno de dichos uno o varios criterios de trïfico de la serie de clases de trïfico; determinar una clase de trïfico para la cual el valor de la caracterïstica definida en cada uno de dichos uno o varios criterios de trïfico de dicha clase de trïfico coincide con el valor obtenido para dicha caracterïstica; y clasificar el flujo de trïfico de usuario en dicha clase de trïfico.

7. Un aparato segïn cualquier reivindicaciïn anterior, estando configurada la unidad (13) de generaciïn de modelos para generar un modelo de usuario para cada usuario, que comprende ademïs informaciïn adicional relacionada con el usuario.

8. Un aparato segïn la reivindicaciïn 7, y que comprende ademïs un transceptor (12) para obtener la informaciïn adicional relacionada con el usuario, a partir de una o varias entidades comprendidas en red o acopladas con la misma.

9. Un aparato segïn cualquier reivindicaciïn anterior, estando configurada la unidad de agrupamiento (14) para agrupar la serie de usuarios en uno o varios grupos de usuarios y para identificar el modelo de usuario representativo de cada grupo de usuarios utilizando un algoritmo de segmentaciïn.

10. Un aparato segïn cualquier reivindicaciïn anterior, estando configurada la unidad de agrupamiento (14) para utilizar un algoritmo de k-medias como algoritmo de segmentaciïn, y para identificar el modelo de usuario representativo de un grupo de usuarios como un centroide del grupo de usuarios, determinado mediante el algoritmo de k-medias.

11. Un aparato segïn cualquier reivindicaciïn anterior, estando configurada la unidad de agrupamiento (14) para agrupar la serie de usuarios en uno o varios grupos de usuarios una vez que ha expirado un perïodo de aprendizaje predeterminado y/o una vez que la unidad de generaciïn de modelos ha generado un nïmero mïnimo predefinido de modelos de usuario.

12. Un mïtodo llevado a cabo por un sistema de clasificaciïn de trïfico, de clasificaciïn de flujos de trïfico de usuario transportados por una red, estando asociado cada flujo de trïfico de usuario con una serie de usuarios, comprendiendo el mïtodo:

clasificar cada flujo de trïfico de usuario en una de una serie de clases de trïfico (A3) , para cada usuario, generar un modelo de usuario que comprende la clase de trïfico de cada flujo de trïfico de usuario asociado con dicho usuario (A5) ; agrupar la serie de usuarios en uno o varios grupos de usuarios en base al modelo de usuario asociado con cada usuario (A7) ; para cada grupo de usuarios, identificar un modelo de usuario que es representativo de todos los modelos de usuario dentro de la grupo de usuarios (A8) ; y para cada subsiguiente flujo de trïfico de usuario, identificar un usuario asociado con el subsiguiente flujo de trïfico de usuario (B5) , determinar el grupo de usuarios al que pertenece el usuario, recuperar el modelo de usuario representativo de dicho grupo de usuarios (B6) , y utilizar las clases de trïfico incluidas en el modelo de usuario representativo para clasificar el subsiguiente flujo de trïfico de usuario (B9) .

13. El mïtodo segïn la reivindicaciïn 12, y que comprende ademïs:

para cada clase de trïfico, configurar uno o varios criterios de trïfico a utilizar para determinar si un flujo de trïfico de usuario pertenece a dicha clase de trïfico, definiendo cada criterio de trïfico una caracterïstica de un flujo de trïfico de usuario y un valor para dicha caracterïstica.

14. El mïtodo segïn la reivindicaciïn 13, en el que la etapa de clasificar cada flujo de trïfico de usuario en una de una serie de clases de trïfico comprende:

obtener, a partir de cada flujo de trïfico de usuario, un valor para la caracterïstica definida mediante cada uno de dichos uno o varios criterios de trïfico de la serie de clases de trïfico; determinar una clase de trïfico para la cual el valor de la caracterïstica definida en cada uno de dichos uno o varios criterios de trïfico de dicha clase de trïfico coincide con el valor obtenido para dicha caracterïstica; y clasificar el flujo de trïfico de usuario en dicha clase de trïfico.

15. Un mïtodo segïn cualquiera de las reivindicaciones 13 ï 14, en el que la etapa de utilizar las clases de trïfico incluidas en el modelo de usuario representativo para clasificar el subsiguiente flujo de trïfico de usuario comprende:

obtener, a partir del subsiguiente flujo de trïfico de usuario, un valor para la caracterïstica definida mediante cada uno de dichos uno o varios criterios de trïfico de las clases de trïfico incluidas en el modelo de usuario representativo; intentar identificar una clase de trïfico, entre aquellas clases de trïfico incluidas en el modelo de usuario representativo, para la cual el valor de la caracterïstica definida en cada uno de dichos uno o varios criterios de trïfico de dicha clase de trïfico coincide con el valor obtenido para dicha caracterïstica; y si se identifica una clase de trïfico, clasificar el subsiguiente flujo de trïfico de usuario en dicha clase de trïfico, y actualizar en consecuencia el modelo de usuario del usuario.

16. Un mïtodo segïn la reivindicaciïn 15, en el que, si no se puede identificar una clase de trïfico entre aquellas clases de trïfico incluidas en el modelo de usuario representativo, entonces el subsiguiente flujo de trïfico de usuario no se clasifica (B10) .

17. Un mïtodo segïn la reivindicaciïn 15, en el que, si no se puede identificar una clase de trïfico entre aquellas clases de trïfico incluidas en el modelo de usuario representativo, entonces el mïtodo comprende ademïs:

obtener, a partir de cada flujo de trïfico de usuario, un valor para la caracterïstica definida mediante cada uno de dichos uno o varios criterios de trïfico de la serie de clases de trïfico; determinar una clase de trïfico para la cual el valor de la caracterïstica definida en cada uno de dichos uno o varios criterios de trïfico de dicha clase de trïfico coincide con el valor obtenido para dicha caracterïstica; y clasificar el flujo de trïfico de usuario en dicha clase de trïfico (B4) .

18. Un mïtodo segïn cualquiera de las reivindicaciones 12 a 17, en el que el modelo de usuario generado para cada usuario comprende ademïs informaciïn adicional relacionada con el usuario.

19. Un mïtodo segïn la reivindicaciïn 18, en el que la etapa de generar un modelo de usuario para cada usuario comprende ademïs:

obtener la informaciïn adicional relacionada con el usuario, a partir de una o varias entidades comprendidas en la red o acopladas con la misma.

20. Un mïtodo segïn cualquiera de las reivindicaciones 12 a 19, en el que la serie de usuarios estïn agrupados en uno o varios grupos y el modelo de usuario representativo de cada grupo se identifica utilizando un algoritmo de segmentaciïn.

21. Un mïtodo segïn la reivindicaciïn 20, en el que el algoritmo de segmentaciïn es un algoritmo de k-medias, y el

modelo de usuario representativo de un grupo de usuarios se identifica como un centroide del grupo de usuarios 20 determinado mediante el algoritmo de k-medias.

22. Un mïtodo segïn cualquiera de las reivindicaciones 12 a 21, en el que las etapas de clasificaciïn de flujos de trïfico de usuario en una clase de trïfico y de generaciïn de modelos de usuario se llevan a cabo durante la duraciïn de un perïodo de aprendizaje predefinido y/o hasta que se ha generado un nïmero mïnimo predefinido de modelos de usuario, antes de agrupar la serie de usuarios en uno o varios grupos de usuarios.