DE102016207144B4 - Auswertungssystem - Google Patents

Auswertungssystem Download PDF

Info

Publication number
DE102016207144B4
DE102016207144B4 DE102016207144.0A DE102016207144A DE102016207144B4 DE 102016207144 B4 DE102016207144 B4 DE 102016207144B4 DE 102016207144 A DE102016207144 A DE 102016207144A DE 102016207144 B4 DE102016207144 B4 DE 102016207144B4
Authority
DE
Germany
Prior art keywords
policy
result
evaluation
filter
storage unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102016207144.0A
Other languages
English (en)
Other versions
DE102016207144A1 (de
Inventor
Hiroki Uchiyama
Yusuke FUJIHARA
Toru Owada
Makoto Kayashima
Satoshi Ohkubo
Jun HAMANAKA
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Publication of DE102016207144A1 publication Critical patent/DE102016207144A1/de
Application granted granted Critical
Publication of DE102016207144B4 publication Critical patent/DE102016207144B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Auswertungssystem, umfassend eine Netzwerkvorrichtung (20), eine Gateway-Vorrichtung (30), eine Richtlinien-Auswertungsvorrichtung (40), eine erste Steuervorrichtung (10-1) und eine zweite Steuervorrichtung (10-2),
wobei die Netzwerkvorrichtung (20) ein von der ersten Steuervorrichtung (10-1) empfangenes Paket kopiert und zur Gateway-Vorrichtung (30) und Richtlinien-Auswertungsvorrichtung (40) überträgt,
wobei die Gateway-Vorrichtung (30) das kopierte Paket empfängt, einen ersten Filterprozess auf Basis einer in einer ersten Richtlinien-Speichereinheit (304) gespeicherten ersten Richtlinie durchführt, das Paket, das den ersten Filterprozess passiert hat, während das Ergebnis des ersten Filterprozesses gespeichert wird, an die zweite Steuervorrichtung (10-2) überträgt und das Ergebnis des gespeicherten ersten Filterprozesses an die Richtlinien-Auswertungsvorrichtung (40) überträgt, und
wobei die Richtlinien-Auswertungsvorrichtung (40) das kopierte Paket empfängt, einen zweiten Filterprozess auf Basis einer in einer zweiten Richtlinien-Speichereinheit (409) gespeicherten zweiten Richtlinie durchführt, das Ergebnis des zweiten Filterprozesses speichert und die in der zweiten Richtlinien-Speichereinheit (409) gespeicherte zweite Richtlinie auf Basis des übertragenen ersten Filterprozesses und des Ergebnisses des gespeicherten zweiten Filterprozesses auswertet.

Description

  • PRIORITÄTSANSPRUCH
  • Die vorliegende Anmeldung beansprucht die Priorität entsprechend der japanischen Anmeldung JP 2015-117065 , eingereicht am 10. Juni 2015, deren Inhalt hier durch Verweis in dieser Anmeldung eingeschlossen ist.
  • HINTERGRUND DER ERFINDUNG
  • Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft ein Auswertungssystem.
  • Beschreibung des Stands der Technik
  • Steuerungen für öffentliche Infrastrukturen wie Strom, Eisenbahn, Wasser und Gas sowie Kraftfahrzeuge müssen Ausrüstung wie Ventile und Stellglieder auf der Basis von Informationen von Sensoren betreiben und Druck- und Temperaturvorgaben halten. Um diesen Betrieb zu erzielen, müssen regelmäßig Informationen von Sensoren eingeholt, deren Zustand geprüft und bei Bedarf Stellglieder gesteuert werden.
  • Aus diesem Grund führen Steuerungen üblicherweise eine Verarbeitung in regelmäßigen Abständen durch, so dass jeder Prozess, der von jeder Vorrichtung in einem System ausgeführt wird, in einem Zyklus abgeschlossen sein muss. Wenn ein neuer Prozess und neue Ausrüstung hinzugefügt werden oder eine Einstellungsänderung an der wie zuvor beschrieben konfigurierten Steuerung aktuellen Steuerung durchgeführt wird, muss die Verarbeitungszeit innerhalb eines Zyklus abgeschlossen sein, ohne den normalen Betrieb der Steuerung zu beeinträchtigen.
  • Die bestehende Steuerung verwendet ein spezielles Betriebssystem (Operating System, OS) sowie ein spezielles Protokoll und ist in einem vor dem Zugriff von einem externen Netzwerk wie dem Internet aus geschütztenBereich .angeordnet. Aus diesem Grund wurde davon ausgegangen, dass die Steuerung von Cyberattacken wie so genannter Malware und Denial-of-Service-(DoS-)Attacken nicht betroffen ist.
  • Allerdings wurde mit einer Zunahme der Verwendung von allgemeinen OS und Protokollen zur Kosteneinsparung die Verbindung mit Informationssystemen beschleunigt, um die Effizienz zu steigern. Gleichzeitig ist in den letzten Jahren Malware aufgetaucht, die Steuerungen zum Ziel hat. Somit muss eine Technologie entwickelt werden, um Bedrohungen wie Infektionen mit Malware und unbefugter Zugriff von außen sowohl in der Steuerung als auch im Informationssystem zu vermeiden.
  • Darüber hinaus treten solche Attacken täglich auf und die Filterrichtlinie für Kommunikationspakete, die in der Firewall oder anderen Filtervorrichtungen verwendet wird, muss regelmäßig aktualisiert werden, um neue Attacken zu verhindern und zu erkennen.
  • Um die zuvor beschriebenen Anforderungen zu erfüllen, offenbaren die japanischsprachige Offenlegungsschrift 1 ( WO 2004/062216 A1 ) und deren Familienmitglied, die Offenlegungsschrift 2 ( US 2005/0125697 A1 ) ein Verfahren zum Auswerten der Gültigkeit einer Filterrichtlinie durch Erzeugen einer Simulationsumgebung, in der das Zielsystem vorab simuliert wird, und durch Übertragen und Empfangen von Kommunikationspaketen zwischen der Simulationsumgebung und einer Filtervorrichtung.
  • Die Verwendung des in der Offenlegungsschrift 1 offenbarten Verfahrens ermöglicht die Auswertung der Gültigkeit einer Filterrichtlinie in einer für eine Simulation verfügbaren Umgebung. Es gibt aber verschiedene Konfigurationen für die Steuerung gemäß der Anwendung und der zu verwendenden Umgebung. Der Kunde kann ebenfalls die Betriebsumgebung und die Konfiguration nach Lieferung des Systems durch den Systemanbieter ändern. Somit ist der Nachbildung der lokalen Umgebung durch die Verwendung der Simulationsumgebung schwierig.
  • Ferner kann, wenn die bestehende Umgebung unverändert verwendet wird, der übliche Betrieb der Steuerung betroffen sein, was das Durchführen der Auswertung, bevor die Filterrichtlinie auf die reale Umgebung angewendet wird, erschwert.
  • Offenlegungsschrift 3 ( DE 10 2013 200 159 A1 ) beschreibt ein Sicherheits-Analytiksystem, das Störfalldaten und Sicherheitsrichtliniendaten empfängt und untereinander vergleicht, um festzustellen, ob eine Sicherheitsrichtlinienkonfiguration geändert werden muss.
  • Die vorliegende Erfindung wurde aufgrund der zuvor beschriebenen Umstände entwickelt und eine Aufgabe der vorliegenden Erfindung ist die Bereitstellung eines Systems, das die Gültigkeit einer neuen Filterrichtlinie so auswertet, dass die reale Umgebung des neuen Systems verwendet werden kann, ohne dass der übliche Betrieb betroffen ist.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Ein typisches Auswertungssystem gemäß der vorliegenden Erfindung ist ein Auswertungssystem umfassend eine Netzwerkvorrichtung, eine Gateway-Vorrichtung, eine Richtlinien-Auswertungsvorrichtung, eine erste Steuervorrichtung und/oder eine zweite Steuervorrichtung. Die Netzwerkvorrichtung kopiert ein von der ersten Steuervorrichtung empfangenes Paket und überträgt dieses zur Gateway-Vorrichtung und Richtlinien-Auswertungsvorrichtung. Die Gateway-Vorrichtung empfängt das kopierte Paket, wobei ein erster Filterprozess auf Basis der in einer ersten Richtlinien-Speichereinheit gespeicherten Richtlinie erfolgt, das Paket, das den ersten Filterprozess passiert hat, während das Ergebnis des ersten Filterprozesses gespeichert wurde, an die zweite Steuervorrichtung übertragen wird und das Ergebnis des gespeicherten ersten Filterprozesses an die Richtlinien-Auswertungsvorrichtung übertragen wird. Die Richtlinien-Auswertungsvorrichtung empfängt das kopierte Paket, wobei ein zweiter Filterprozess auf Basis der in einer zweiten Richtlinien-Speichereinheit gespeicherten Richtlinie erfolgt, das Ergebnis des zweiten Filterprozesses gespeichert wird und die in der zweiten Richtlinien-Speichereinheit gespeicherte Richtlinie auf Basis des Ergebnisses des übertragenen ersten Filterprozesses und des Ergebnisses des gespeicherten zweiten Filterprozesses ausgewertet wird.
  • Gemäß einem Aspekt der vorliegenden Erfindung kann ein System bereitgestellt werden, das die Gültigkeit einer neuen Filterrichtlinie so auswertet, dass die reale Umgebung der Steuerung verwendet werden kann, ohne dass der übliche Betrieb betroffen ist.
  • Figurenliste
    • 1 zeigt ein Diagramm zur Darstellung eines Beispiels der Konfiguration eines Filterrichtlinien-Auswertungssystems.
    • 2 zeigt ein Diagramm zur Darstellung eines Beispiels der Hardwarekonfiguration einer Steuervorrichtung.
    • 3 zeigt ein Diagramm zur Darstellung eines Beispiels der Hardwarekonfiguration einer Netzwerkvorrichtung, einer Gateway-Vorrichtung und einer Richtlinien-Auswertungsvorrichtung.
    • 4 zeigt ein Diagramm zur Darstellung eines Beispiels der Hardwarekonfiguration eines Testservers.
    • 5 zeigt ein Diagramm zur Darstellung eines Beispiels des Prozessablaufs zur Auswertung der Filterrichtlinie durch die Richtlinien-Auswertungsvorrichtung mit Hilfe der aktuellen Kommunikation.
    • 6 zeigt ein Diagramm zur Darstellung eines Beispiels des Prozessablaufs zur Auswertung der Filterrichtlinie durch die Richtlinien-Auswertungsvorrichtung unter Verwendung des Testservers.
    • 7 zeigt ein Diagramm zur Darstellung eines Beispiels des Prozessablaufs der Richtlinienauswertung.
    • 8 zeigt ein Diagramm zur Darstellung eines Beispiels der Filterrichtlinie.
    • 9 zeigt ein Diagramm zur Darstellung eines Beispiels des Filterprotokolls.
    • 10 zeigt ein Diagramm zur Darstellung eines Beispiels der Vorgangsliste.
    • 11 zeigt ein Diagramm zur Darstellung eines Beispiels der Auswertungsliste.
    • 12 zeigt ein Diagramm zur Darstellung eines Beispiels der Maßnahmen- und Richtlinienliste.
    • 13 zeigt ein Diagramm zur Darstellung eines Beispiels der Konfiguration des mit der Gateway-Vorrichtung konfigurierten Filterrichtlinien-Auswertungssystems.
    • 14 zeigt ein Diagramm zur Darstellung eines Beispiels der Hardwarekonfiguration der Gateway-Vorrichtung.
    • 15 zeigt ein Diagramm zur Darstellung eines Beispiels des Prozessablaufs zur Auswertung der Filterrichtlinie durch die Gateway-Vorrichtung mit Hilfe der aktuellen Kommunikation.
    • 16 zeigt ein Diagramm zur Darstellung eines Beispiels des Prozessablaufs zur Auswertung der Filterrichtlinie durch die Gateway-Vorrichtung unter Verwendung des Testservers.
  • AUSFÜHRLICHE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN
  • Nachfolgend sind bevorzugte Ausführungsformen der vorliegenden Erfindung in Bezug auf die beigefügten Zeichnungen erläutert.
  • Erste Ausführungsform
  • 1 zeigt ein Diagramm zur Darstellung eines Beispiels der Konfiguration eines Filterrichtlinien-Auswertungssystems. Wie im Beispiel in 1 dargestellt umfasst das Filterrichtlinien-Auswertungssystem gemäß einer ersten Ausführungsform eine Steuervorrichtung 10-1, eine Steuervorrichtung 10-2, eine Netzwerkvorrichtung 20, eine Gateway-Vorrichtung 30, eine Richtlinien-Auswertungsvorrichtung 40, einen Testserver 50 und ein Netzwerk 60.
  • Jede der Steuervorrichtungen 10-1 und 10-2 ist eine Vorrichtung, die einen Steuervorgang auf Basis eines Steuerbefehls durchführt, der von einem Kommunikationspaket durch das Netzwerk 60 übertragen und empfangen wird. Das in 1 dargestellte Beispiel ist eine Konfiguration, bei der die Steuervorrichtung 10-1 einen Steuerbefehl erzeugt sowie den erzeugten Steuerbefehl an die Steuervorrichtung 10-2 überträgt und in der die Steuervorrichtung 10-2 den Steuervorgang bei Empfang des Steuerbefehls durchführt. Die Konfiguration der Steuervorrichtung im System ist nicht auf dieses Beispiel beschränkt. Es kann ebenfalls eine Vielzahl von Steuervorrichtungen mit dem Netzwerk 60 verbunden sein und eine Vielzahl von Steuervorrichtungen mit der Gateway-Vorrichtung 30 verbunden sein.
  • Die Steuervorrichtung 10-1 und die Steuervorrichtung 10-2 umfassen eine Steuerverarbeitungseinheit (control processing unit) 101-1 bzw. eine Steuerverarbeitungseinheit 101-2 zum Durchführen des Steuerprozesses sowie eine Kommunikationseinheit 102-1 bzw. eine Kommunikationseinheit 102-2 zum Kommunizieren mit dem Netzwerk 60, der Gateway-Vorrichtung 30 oder dgl. Jede Einheit kann hardwaremäßig konfiguriert sein. Ferner kann ebenfalls ein oberer (Host-)Server (nicht dargestellt) mit der Steuervorrichtung 10-1 verbunden werden und ein Steuerbefehl durch Steuern der Steuervorrichtung 10-1 vom oberen Server erzeugt werden., Es ist darauf hinzuweisen, dass in der folgenden Beschreibung die Steuervorrichtung 10-1 und die Steuervorrichtung 10-2 als Steuervorrichtung 10 in der Beschreibung gemeinsam für beide von diesen bezeichnet werden.
  • Die Netzwerkvorrichtung 20 ist eine Vorrichtung zum Weitergeben des Kommunikationspakets. Die Netzwerkvorrichtung 20 ist mit einer Paketkopiereinheit 201 zum Kopieren des vom Netzwerk 60 der Netzwerkvorrichtung 20 zugeführten Kommunikationspaket, einer ersten Kommunikationseinheit 202 zum Durchführen der Kommunikation mit dem Netzwerk 60, einer zweiten Kommunikationseinheit 203 zum Durchführen der Kommunikation mit der Richtlinien-Auswertungsvorrichtung 40 und einer dritten Kommunikationseinheit 204 zum Durchführen der Kommunikation mit der Gateway-Vorrichtung 30 ausgestattet.
  • Die Netzwerkvorrichtung 30 ist eine Vorrichtung zum Filtern des Kommunikationspakets. Die Gateway-Vorrichtung 30ist mit einer Filterverarbeitungseinheit 301 zum Durchführen eines Filterprozesses am der Gateway-Vorrichtung 30 zugeführten Kommunikationspaket, einer Richtlinien-Aktualisierungseinheit 302 zum Aktualisieren der in der Gateway-Vorrichtung 30 gespeicherten Filterrichtlinie und einer ersten Kommunikationseinheit 303 zum Durchführen der Kommunikation mit der Netzwerkvorrichtung 20 ausgestattet.
  • Ferner ist die Gateway-Vorrichtung 30 mit einer Richtlinien-Speichereinheit 304 zum Speichern der in der Filterverarbeitungseinheit 301 verwendeten Filterrichtlinie, einer Filterprotokoll-Speichereinheit 305 zum Speichern des als ein Ergebnis des Durchführens des Filterprozesses durch die Filterverarbeitungseinheit 301 erzeugten Filterprotokolls, einer zweiten Kommunikationseinheit 306 zum Durchführen der Kommunikation mit der Richtlinien-Auswertungsvorrichtung 40 und einer dritten Kommunikationseinheit 307 zum Durchführen der Kommunikation mit der Steuervorrichtung 10-2 ausgestattet.
  • Jede Einheit kann hardwaremäßig konfiguriert sein.
  • Die Richtlinien-Auswertungsvorrichtung 40 ist eine Vorrichtung zum Auswerten der neu zu aktualisierenden Filterrichtlinie. Die Richtlinien-Auswertungsvorrichtung 40 ist mit einer ersten Kommunikationseinheit 401 zum Durchführen der Kommunikation mit dem Netzwerk 60, einer zweiten Kommunikationseinheit 402 zum Durchführen der Kommunikation mit der Netzwerkvorrichtung 20, einer Filterverarbeitungseinheit 403 zum Durchführen eines Filterprozesses am der Richtlinien-Auswertungsvorrichtung 40 zugeführten Kommunikationspaket und einer Richtlinien-Auswertungseinheit 404 zum Auswerten der Gültigkeit der in der Richtlinien-Auswertungsvorrichtung 40 vorgegebenen Aktualisierungs-Filterrichtlinie ausgestattet.
  • Ferner ist die Richtlinien-Auswertungsvorrichtung 40 mit einer Maßnahmen- und Richtlinien-Extrahierungseinheit 405 zum Extrahieren einer vorgeschlagenen Maßnahme, wenn aufgrund eines Ergebnisses der Auswertung der Filterrichtlinie ermittelt wird, dass ein Problem besteht, einer Auswertungslisten-Ausgabeeinheit 406 zum Ausgeben der Auswertungsliste, in der das Auswertungsergebnis sowie die Maßnahme und die Richtlinie für jeden Vorgang beschrieben sind, einer Datum- und Uhrzeit-Erfassungseinheit 407 zum Ermitteln der mit der Zeit einer vorgegebenen Standardzeit synchronisierten Datum- und Uhrzeitinformation, einer dritten Kommunikationseinheit 408 zum Durchführen der Kommunikation mit der Gateway-Vorrichtung 30 und einerRichtlinien-Speichereinheit 409 zum Speichern der in der Filterverarbeitungseinheit 403 verwendeten Filterrichtlinie ausgestattet.
  • Ferner ist die Richtlinien-Auswertungsvorrichtung 40 mit einer Neufilterprotokoll-Speichereinheit 410 zum Speichern des als ein Ergebnis des Durchführens des Filterprozesses durch die Filterverarbeitungseinheit 403 erzeugten Filterprotokolls, einer Altfilterprotokoll-Speichereinheit 411 zum Speichern des von der Gateway-Vorrichtung 30 empfangenen Filterprotokolls, einer Vorgangslisten-Speichereinheit 412 zum Speichern der zum Auswerten des mit der Richtlinienänderung verbundenen Einflusses erforderlichen Vorgangsliste und einer Auswertungslisten-Speichereinheit 413 zum Speichern der Auswertungsliste, in der das Auswertungsergebnis sowie die Maßnahme und Richtlinie für jeden Vorgang beschrieben sind, ausgestattet.
  • Ferner ist die Richtlinien-Auswertungsvorrichtung 40 mit einer Speichereinheit für Datum und Uhrzeit des Auswertungsbeginns 414 zum Speichern von Datum und Uhrzeit des Beginns der Auswertung der Filterrichtlinie, einer Auswertungszeitraum-Speichereinheit 415 zum Speichern des Auswertungszeitraums, der den Zeitraum unter Verwendung der aktuellen Vorgangsdaten angibt, in der die Auswertung erfolgt, und einer Maßnahmen- und Richtlinienliste-speichereinheit 416 zum Speichern der Maßnahmen- und Richtlinienliste, wenn das Auswertungsergebnis der Filterrichtlinie den Auslegungstoleranzbereich überschreitet, ausgestattet. Es ist darauf hinzuweisen, dass jede Einheit hardwaremäßig konfiguriert sein kann.
  • Ein Vorgang ist durch eine vorgegebene Vorgangs-ID identifiziert. Beispielsweise kann ein oberer Server mit der Steuervorrichtung 10-1 zur Handhabung eines Vorgangs verbunden sein und kann eine Steuervorrichtung 10-2 zur Verwendung für eine Vielzahl von Vorgängen konfiguriert sein. Somit kann eine Kombination der Steuervorrichtungen 10-1 und 10-2 entsprechend dem Vorgang identifiziert werden. Ferner kann das Muster u. Ä. einschließlich Quelle und Ziel des Kommunikationspakets entsprechend dem Vorgang vorgegeben werden.
  • Der Testserver 50 ist mit einer Testpaket-Erzeugungseinheit 501 zum Erzeugen eines zur Richtlinien-Auswertungseinheit 40 zu übertragenden Testpakets, einer Kommunikationseinheit 502 zum Durchführen der Kommunikation mit dem Netzwerk 60 und einer Testpaket-Speichereinheit 503 zum Speichern des vorab von der Testpaket-Erzeugungseinheit 501 erzeugten Testpakets ausgestattet. Es ist darauf hinzuweisen, dass jede Einheit hardwaremäßig konfiguriert sein kann.
  • 2 zeigt ein Diagramm zur Darstellung eines Beispiels der Hardwarekonfiguration der Steuervorrichtung 10. Die Steuervorrichtung 10 kann eine Konfiguration wie in 2 dargestellt oder eine Konfiguration eines normalen Computers zusätzlich zur mit den Steue,rverarbeitungseinheiten 101-1, 101-2 und Kommunikationseinheiten 102-1, 102-2 ausgestatteten Konfiguration wie in Bezug auf 1 beschrieben aufweisen.
  • Die in 2 dargestellte Speichervorrichtung 10 umfasst Folgendes: eine mit dem Netzwerk 60 oder der dritten Kommunikationseinheit 307 der Gateway-Vorrichtung 30 verbundene Kommunikationsvorrichtung 11; eine mit einer Tastatur und einem Monitor o. Ä. (nicht dargestellt) oder mit diesen Vorrichtungen verbundene Eingabe/Ausgabe-Vorrichtung 12; eine Speichervorrichtung 13 wie eine Festplattenvorrichtung oder ein Flash-Speicher; eine Central Processing Unit (CPU) 14; ein Speicher 15; und eine interne Kommunikationsleitung 16 wie ein diese Komponenten verbindender Bus.
  • Ferner kann die Steuervorrichtung 10-2 ebenfalls spezielle Hardware zum Durchführen des Steuerprozesses umfassen. Die CPU 14 kann den Prozess entsprechend den Steuerverarbeitungseinheiten 101-1 und 101-2 durch Ausführen eines im Speicher 15 oder in der Speichervorrichtung 13 gespeicherten Programms erzielen. Die Kommunikationsvorrichtung 11 kann die Vorrichtung entsprechend den Kommunikationseinheiten 102-1, 102-2 sein.
  • 3 zeigt ein Diagramm zur Darstellung eines Beispiels der Hardwarekonfiguration der Netzwerkvorrichtung 20, der Gateway-Vorrichtung 30 und der Richtlinien-Auswertungsvorrichtung 40. Die Netzwerkvorrichtung 20, die Gateway-Vorrichtung 30 und die Richtlinien-Auswertungsvorrichtung 40 können eine Konfiguration wie in 3 dargestellt oder beispielsweise eine Konfiguration eines normalen Computers zusätzlich zur in Bezug auf 1 beschriebenen Konfiguration aufweisen. In der in 3 dargestellten Konfiguration können die Netzwerkvorrichtung 20, die Gateway-Vorrichtung 30 und die Richtlinien-Auswertungsvorrichtung 40 die gleiche Konfiguration aufweisen.
  • Die Netzwerkvorrichtung 20, die Gateway-Vorrichtung30 und die Richtlinien-Auswertungsvorrichtung 40 umfassen eine erste Kommunikationsvorrichtung 21-1, eine zweite Kommunikationsvorrichtung 21-2, eine dritte Kommunikationsvorrichtung 21-3, eine Speichervorrichtung 22, eine Eingabe/AusgabeVorrichtung 23, eine. CPU 24, einen Speicher 25 und eine interne, Kommunikationsleitung 26 wie einen diese Komponenten verbindenden Bus.
  • Hier kann die erste Kommunikationsvorrichtung 21-1 eine Vorrichtung entsprechend der ersten Kommunikationseinheit 202, der ersten Kommunikationseinheit 303 und der ersten Kommunikationseinheit 401 sein. Die zweite Kommunikationsvorrichtung 21-2 kann eine Vorrichtung entsprechend der zweiten Kommunikationseinheit 203, der zweiten Kommunikationseinheit 306 und der zweiten Kommunikationseinheit 402 sein. Die dritte Kommunikationsvorrichtung 21-3 kann eine Vorrichtung entsprechend der dritten Kommunikationseinheit 204, der dritten Kommunikationseinheit 307 und der dritten Kommunikationseinheit 408 sein.
  • Unter Ausschluss dieser Einheiten kann der Prozess entsprechend jeder der Einheiten der Netzwerkvorrichtung 20, der Gateway-Vorrichtung 30 und der Richtlinien-Auswertungsvorrichtung 40, die in Bezug auf 1 beschrieben sind, von der CPU 24 durch Ausführen eines im Speicher 25 oder in der Speichervorrichtung 22 gespeicherten Programms erzielt werden.
  • 4 zeigt ein Diagramm zur Darstellung eines Beispiels der Hardwarekonfiguration des Testservers 50. Der Testserver 50 kann eine Konfiguration wie in 4 dargestellt oder eine Konfiguration eines normalen Computers zusätzlich zur mit der Testpaket-Erzeugungseinheit 501, der Kommunikationseinheit 502 und der Testpaket-Speichereinheit 503 ausgestatteten Konfiguration wie in Bezug auf 1 beschrieben aufweisen.
  • Der Testserver 50 umfasst eine mit dem Netzwerk 60 verbundene Kommunikationsvorrichtung 51, eine Eingabe/Ausgabe-Vorrichtung 52, eine Speichervorrichtung 53, eine CPU 54, einen Speicher 55, eine Lesevorrichtung 56 zum Lesen eines Speichermediums 57 und eine interne Kommunikationsleitung 58 wie einen diese Komponenten verbindenden Bus. Das Speichermedium ist beispielsweise ein herausnehmbares und tragbares Speichermedium und kann ein herausnehmbarer Flash-Speicher oder eine optische Platte sein. Die auf dem Speichermedium 57 gespeicherte Information kann von der Lesevorrichtung 56 gelesen und in der Speichervorrichtung 53 gespeichert werden.
  • Ferner kann die CPU 54 den Prozess entsprechend der Testpaket-Erzeugungseinheit 501 und der Testpaket-Speichereinheit 503 durch Ausführen eines im Speicher 55 oder in der Speichervorrichtung 53 gespeicherten Programms erzielen. Die Kommunikationsvorrichtung 51 kann eine Vorrichtung entsprechend der Kommunikationseinheit 502 sein.
  • Nachfolgend ist der Prozessablauf im Filterrichtlinien-Auswertungssystem beschrieben. Der nachfolgend beschriebene Prozessablauf wird durch jede der am Gerät ausgebildeten Verarbeitungseinheiten zum Konfigurieren des' Filterrichtlinien-Auswertungssystems so ausgeführt, dass ein Programm, das in jeder der Speichervorrichtungen 13, 22 und 53 der Steuervorrichtung 10, der Netzwerkvorrichtung 20, der Gateway-Vorrichtung 30, der Richtlinien-Auswertungsvorrichtung 40 und des Testservers 50 gespeichert ist, in jeden der Speicher 15, 25 und 55 geladen wird und anschließend von jeder der CPUs 14, 24 und 54 ausgeführt wird.
  • Hier können die jeweiligen Programme vorab in den Speichervorrichtungen 13, 22 und 53 gespeichert sein oder durch ein anderes Speichermedium oder Kommunikationsmedium (ein Netzwerk oder ein über das Netzwerk verbreiteter Träger) installiert werden.
  • 5 zeigt ein Diagramm zur Darstellung eines Beispiels des Prozessablaufs im Filterrichtlinien-Auswertungssystem, in dem die Richtlinien-Auswertungsvorrichtung 40 die Filterrichtlinie mit Hilfe der aktuellen Kommunikation zwischen den Steuervorrichtungen 10 auswertet. Hier ist ein Beispiel des Prozesses zum Übertragen eines Steuerbefehls von der Steuervorrichtung 10-1 zur Steuervorrichtung 10-2 zum Auswerten der in der Richtlinien-Speichereinheit 409 der Richtlinien-Auswertungsvorrichtung 40 gespeicherten Richtlinie dargestellt.
  • Die in der Richtlinien-Speichereinheit 409 gespeicherte Richtlinie ist zum erneuten Aktualisieren der in der Richtlinien-Speichereinheit 304 der Gateway-Vorrichtung 30 gespeicherten Richtlinie ausgebildet und wird ausgewertet, bevor sie effektiv in der Gateway-Vorrichtung 30 verwendet wird.
  • Die Richtlinien-Auswertungsvorrichtung 40 führt einen Auswertungsbeginnprozess durch (S501). Hier umfasst der Auswertungsbeginnprozess Folgendes: ein.Prozess, in dem die Datum- und Uhrzeitinformation-Erfassungseinheit 407 das aktuelle Datum und die aktuelle Uhrzeit ermittelt und in derSpeichereinheit für Datum und Uhrzeit des Auswertungsbeginns 414 speichert; ein Prozess zum Festlegen des Protokollerfassungszustands, der in der Vorgangslisten-Speichereinheit 412 gespeichert wird, mit „Nicht erhalten“; und ein Prozess zum Löschen der aktuellen Verarbeitungszeit, des Auswertungsergebnisses sowie der Maßnahme und Richtlinie in der in der Auswertungslisten-Speichereinheit 413 gespeicherten Auswertungsliste. Es ist darauf hinzuweisen, dass dieser Prozess einfach als S501 bezeichnet werden kann und der gleiche Ausdruck gegebenenfalls auch in der folgenden Beschreibung verwendet wird.
  • Ungeachtet von S501 überträgt die Steuervorrichtung 10-1 eine Vielzahl von Steuerbefehlen an die Steuervorrichtung 10-2. In diesen Übertragungen erzeugt die Steuervorrichtung 10-1 einen Steuerbefehl ebenfalls nach S501 (S502). Anschließend überträgt die Steuervorrichtung 10-1 den erzeugten Steuerbefehl an die Steuervorrichtung 10-2.
  • Insbesondere wird das Ziel des Steuerbefehls auf die Adresse der Steuervorrichtung 10-2 festgelegt und an das Netzwerk 60 übertragen. Hier kann gegebenenfalls das endgültige Ziel auf die Adresse der Steuervorrichtung 10-2 festgelegt sein und das erste Ankunftsziel ist auf die Netzwerkvorrichtung 20 festgelegt. Es ist darauf hinzuweisen, dass S502 so ausgeführt werden kann, dass die Richtlinien-Auswertungsvorrichtung 40 der Steuervorrichtung 10-1 die Zieladresse in S501 meldet.
  • Das Netzwerk 20 empfängt den Steuerbefehl von der Steuervorrichtung 10-1 über das Netzwerk 60. Anschließend kopiert die Netzwerkvorrichtung 20 den von der Steuervorrichtung 10-1 empfangenen Steuerbefehl (S503) und überträgt den kopierten Steuerbefehl zur Gateway-Vorrichtung 30 und zur Richtlinien-Auswertungsvorrichtung 40.
  • Die Gateway-Vorrichtung 30 führt einen Filterprozess am von der Netzwerkvorrichtung 20 empfangenen Steuerbefehl durch Verwenden der in der Richtlinien-Speichereinheit 304 gespeicherten Filterrichtlinie durch (S504). Nachfolgend ist ein Beispiel der Filterrichtlinie in Bezug auf 8 beschrieben. Anschließend erzeugt die Gateway-Vorrichtung 30 ein altes Filterprotokoll zur Darstellung des Ergebnisses des Filterprozesses (S506). Nachfolgend ist ein Beispiel des alten Filterprotokolls in Bezug auf 9 beschrieben.
  • Die Gateway-Vorrichtung 30 speichert das erzeugte alte Filterprotokoll in der Filterprotokoll-Speichereinheit 305 (S508). Anschließend überträgt die Gateway-Vorrichtung 30 den im Filterprozess ausgeführten Steuerbefehl an die Steuervorrichtung 10-2. In diesem Beispiel wird angenommen, dass der Steuerbefehl eine von der Steuervorrichtung 10-1 übertragene normale Kommunikation ist und den Filterprozess auf Basis der in der Richtlinien-Speichereinheit 304 gespeicherten Filterrichtlinie passiert.
  • Die Steuervorrichtung 10-2 führt einen Steuervorgang auf Basis des empfangenen Steuerbefehls durch (S510). Der Inhalt selbst des Steuervorgangs weist keine Verbindung mit dem Filterprozess auf und daher wird auf eine Beschreibung von diesem verzichtet.
  • Die Richtlinien-Auswertungsvorrichtung 40 führt unterdessen den Filterprozess am von der Netzwerkvorrichtung 20 empfangenen Steuerbefehl durch Verwenden der in der Richtlinien-Speichereinheit 409 gespeicherten Filterrichtlinie durch (S505). Danach erzeugt die Richtlinien-Auswertungsvorrichtung 40 ein neues Filterprotokoll zur Darstellung des Ergebnisses des Filterprozesses (S507) und speichert das erzeugte neue Filterprotokoll in der Neufilterprotokoll-Speichereinheit 410, (S509).
  • Der von gestrichelten Linien umrahmte Vorgang von S502 bis S510 kann einmal oder mehrmals zum Speichern von einem oder einer Vielzahl von alten Filterprotokollen und neuen Filterprotokollen in Bezug auf einen oder eine Vielzahl von Steuerbefehlen durchgeführt werden. Die Gateway-Vorrichtung 30 speichert eine vorgegebene Zahl von alten Filterprotokollen. Anschließend überträgt die Gateway-Vorrichtung 30 die alten Filterprotokolle zur Richtlinien-Auswertungsvorrichtung 40.
  • Es ist darauf hinzuweisen, dass in 5 die Übertragung von alten Filterprotokollen außerhalb der gestrichelten Linien dargestellt ist. Dieser Vorgang kann aber in den gestrichelten Linien eingeschlossen sein, wobei das alte Filterprotokoll an die Richtlinien-Auswertungsvorrichtung 40 für jeden Befehl statt eine vorgegebene Zahl von alten Filterprotokollen übertragen wird. Ferner kann das alte Filterprotokoll an die Richtlinien-Auswertungsvorrichtung 40 in einem vorgegebenen Zeitabstand beginnend mit einem vorgegebenen Zustand oder zu einem vorgegebenen Zeitpunkt übertragen werden. Ferner kann die Übertragung des Steuerbefehls fortgesetzt werden, nachdem das alte Filterprotokoll übertragen wurde.
  • Wenn das alte Filterprotokoll übertragen wurde, speichert die Richtlinien-Auswertungsvorrichtung 40 das von der Gateway-Vorrichtung 30 empfangene alte Filterprotokoll in der Altfilterprotokoll-Speichereinheit 411 (S511). Anschließend extrahiert die Richtlinien-Auswertungsvorrichtung 40 den im empfangenen alten Filterprotokoll enthaltenen Steuerbefehl unter Verwendung des Paketmusters der in der Vorgangslisten-Speichereinheit 412 gespeicherten Vorgangsliste. Danach aktualisiert die Richtlinien-Auswertungsvorrichtung 40 den Protokollerfassungszustand der Vorgangsliste (S512). Nachfolgend ist ein Beispiel der Vorgangsliste in Bezug auf 10 beschrieben.
  • Die Richtlinien-Auswertungsvorrichtung 40 ermittelt das Vorhandensein oder Fehlen des Vorgangs, in dem das alte Filterprotokoll in der aktualisierten Vorgangsliste nicht erhalten wurde (S513). Als ein Ergebnis dieses Ermittelns beendet die Richtlinien-Auswertungsvorrichtung 40 den Prozess, wenn ermittelt wird, dass ein Vorgang besteht, in dem das alte Filterprotokoll nicht erhalten wurde (S514). Wenn andererseits ermittelt wird, dass das alte Filterprotokoll in allen Vorgängen erhalten wurde, führt die Richtlinien-Auswertungsvorrichtung 40 eine Auswertung der Filterrichtlinie durch (S515). Nachfolgend ist das detaillierte Verfahren der Auswertung der Filterrichtlinie in Bezug auf 7 beschrieben.
  • Die Richtlinien-Auswertungsvorrichtung 40 speichert die in S515 erzeugte Auswertungsliste in der Auswertungslisten-Speichereinheit 413 (S516). Anschließend gibt die Richtlinien-Auswertungsvorrichtung 40 die gespeicherte Auswertungsliste an die Eingabe/AusgabeVorrichtung 23 der Richtlinien-Auswertungsvorrichtung 40 und an die externe Vorrichtung (nicht dargestellt) oder eine andere Vorrichtung aus (S517). Hier kann der Prozess beendet werden.
  • Die Richtlinien-Auswertungsvorrichtung 40 ermittelt das Vorhandensein oder Fehlen eines Einflusses auf den Vorgang auf Basis der Auswertungsliste (S518). Als ein Ergebnis dieses Ermittelns beendet die Richtlinien-Auswertungsvorrichtung 40 den Prozess, wenn ermittelt wird, dass ein Einfluss auf den Vorgang besteht (S514). Wenn andererseits ermittelt wird, dass kein Einfluss auf den Vorgang besteht, überträgt die Richtlinien-, Auswertungsvorrichtung 40 die in der Richtlinien-Speichereinheit 409 der Richtlinien-Auswertungsvorrichtung 40 gespeicherte neue Filterrichtlinie an die Gateway-Vorrichtung 30. Die Gateway-Vorrichtung 30 speichert die empfangene neue Filterrichtlinie in der Richtlinien-Speichereinheit 304 und aktualisiert die Richtlinie (S519).
  • 6 zeigt ein Diagramm zur Darstellung eines Beispiels des Prozessablaufs im Filterrichtlinien-Auswertungssystem, in dem die Richtlinien-Auswertungsvorrichtung 40 die Filterrichtlinie unter Verwendung des Testservers 50 auswertet. Dieser Prozess wird parallel zum in Bezug auf 5 beschriebenen Prozessablauf durchgeführt, um den Zustand zu vermeiden, in dem die Filterrichtlinie nicht ausgewertet wird, da ermittelt wird, dass ein Vorgang besteht, in dem das alte Filterprotokoll in S513 nicht erhalten wurde und S515 nicht durchgeführt wird. Somit wertet die Richtlinien-Auswertungsvorrichtung 40 die Filterrichtlinie unter Verwendung des Testpakets des Testservers 50 aus, wenn eine vorgegebene Zeit verstrichen ist.
  • Die Richtlinien-Auswertungsvorrichtung 40 ermittelt das aktuelle Datum und die aktuelle Uhrzeit (S601). Anschließend ermittelt die Richtlinien-Auswertungsvorrichtung 40 Datum und Uhrzeit des Auswertungsbeginns von der Speichereinheit für Datum und Uhrzeit des Auswertungsbeginns 414 und berechnet die verstrichene Zeit von Datum und Uhrzeit des Auswertungsbeginns (S602). Danach ermittelt die Richtlinien-Auswertungsvorrichtung 40 den vorgegebenen Auswertungszeitraum von der Auswertungszeitraum-Speichereinheit 415, um zu bestimmen, ob die in S602 berechnete verstrichene Zeit den Auswertungszeitraum überschreitet (S603).
  • Als ein Ergebnis dieses Ermittelns kehrt die Richtlinien-Auswertungsvorrichtung. 40 zu S601 zurück und ermittelt das aktuelle Datum und die aktuelle Uhrzeit, wenn ermittelt wird, dass die verstrichene Zeit den Auswertungszeitraum nicht überschreitet. Wenn andererseits ermittelt wird, dass die verstrichene Zeit den Auswertungszeitraum überschreitet, ermittelt die Richtlinien-Auswertungsvorrichtung 40 die in der Vorgangslisten-Speichereinheit 412 gespeicherte Vorgangsliste und extrahiert den Vorgang, in dem das Filterprotokoll nicht erhalten wurde (S604). Die Richtlinien-Auswertungsvorrichtung 40 überträgt die ID des extrahierten Vorgangs sowie einen Befehl zum Anfordern eines Testpakets für den extrahierten Vorgang an den Testserver 50.
  • Als Reaktion darauf erzeugt der Testserver 50 auf Basis des empfangenen Testpaket-Anforderungsbefehls und der Vorgangs-ID ein Testpaket durch Erzeugen eines Testpakets durch die Testpaket-Erzeugungseinheit 501 oder durch Extrahieren des in der Testpaket-Speichereinheit 503 gespeicherten Testpakets (S605). Hier kann das Testpaket durch Sammeln aller Steuerbefehle zum Zeitpunkt eines Testlaufs o. Ä., etwa wenn das System fertiggestellt wird, erzeugt werden. Das Testpaket kann ebenfalls manuell erzeugt und für den Testserver 50 vorgegeben werden.
  • Der Testserver 50 überträgt das erzeugte Testpaket an die Richtlinien-Auswertungsvorrichtung 40. Der Testserver 50 überträgt dann das Testpaket an die erste Kommunikationseinheit 401 der Richtlinien-Auswertungsvorrichtung 40 ohne durch die Netzwerkvorrichtung 20. Dies dient zum Verhindern, dass das Testpaket an die Steuervorrichtung 10-2 übertragen wird, in der das Paket nicht normal befördert wird und den Vorgang beeinflusst.
  • Die Richtlinien-Auswertungsvorrichtung 40 führt den Filterprozess am empfangenen Testpaket durch Verwenden der in der Richtlinien-Speichereinheit 409 gespeicherten Filterrichtlinie durch (S606). Anschließend erzeugt die Richtlinien-Auswertungsvorrichtung 40 ein neues Filterprotokoll zur Darstellung des Ergebnisses des Filterprozesses (5607). Danach speichert die Richtlinien-Auswertungsvorrichtung 40 das erzeugte neue Filterprotokoll in der Neufilterprotokoll-Speichereinheit 410 (S608).
  • Die Richtlinien-Auswertungsvorrichtung 40 extrahiert den im erzeugten neuen Filterprotokoll enthaltenen Steuerbefehl unter Verwendung des Paketmusters der in der Vorgangslisten-Speichereinheit 412 gespeicherten Vorgangsliste. Danach aktualisiert die Richtlinien-Auswertungsvorrichtung 40 den Protokollerfassungszustand der Vorgangsliste (S609). Die Richtlinien-Auswertungsvorrichtung 40 ermittelt anschließend das Vorhandensein oder Fehlen des Vorgangs, in dem das Filterprotokoll in der aktualisierten Vorgangsliste nicht erhalten wurde (S610). Als ein Ergebnis dieses Ermittelns kehrt die Richtlinien-Auswertungsvorrichtung 40 zu S604 zurück, um die Testpaketanforderung und den Filterprozess erneut durchzuführen, wenn ermittelt wird, dass ein Vorgang besteht, in dem das Filterprotokoll nicht erhalten wurde.
  • Wenn andererseits ermittelt wird, dass das Filterprotokoll in allen Vorgängen erhalten wurde, wertet die Richtlinien-Auswertungsvorrichtung die Filterrichtlinie aus (S611). Nachfolgend ist das detaillierte Verfahren der Auswertung der Filterrichtlinie in Bezug auf 7 beschrieben. Die Richtlinien-Auswertungsvorrichtung 40 speichert die in S611 erzeugte Auswertungsliste in der Auswertungslisten-Speichereinheit 413 (S612). Anschließend gibt die Richtlinien-Auswertungsvorrichtung 40 die gespeicherte Auswertungsliste an die Eingabe/AusgabeVorrichtung 23 der Richtlinien-Auswertungsvorrichtung 40 und an die externe Vorrichtung (nicht dargestellt) oder eine andere Vorrichtung aus (S613).
  • Hier kann der Prozess beendet werden. Ferner kann wie in Bezug auf S518 und S519 in 5 beschrieben die neue Filterrichtlinie in der Richtlinien-Speichereinheit 304 der Gateway-Vorrichtung 30 zum Aktualisieren der Richtlinie gespeichert werden.
  • Es ist darauf hinzuweisen, dass ebenfalls das alte Filterprotokoll, welches das Ergebnis des Durchführens des Filterprozesses am Testpaket durch die in der Richtlinien-Speichereinheit 304 gespeicherten Filterrichtlinie ist, vorab in der Altfilterprotokoll-Speichereinheit 411 gespeichert werden kann, ohne dieses eigentlich durch die Filterverarbeitungseinheit 301 zu verarbeiten. In diesem Fall kann das alte Protokoll vorab in der Altfilterprotokoll-Speichereinheit 411 zum Zeitpunkt des Testlaufs gespeichert werden. Oder wenn der Inhalt des Testpakets ermittelt ist, kann das für das jeweilige Testpaket erzeugte alte Filterprotokoll in der Altfilterprotokoll-Speichereinheit 411 vorab gespeichert werden.
  • 7 zeigt ein Diagramm zur Darstellung eines Beispiels des Prozessablaufs im Filterrichtlinien-Auswertungssystem, in dem die Richtlinienauswertung (S515, S611) in der Richtlinien-Auswertungsvorrichtung 40 durchgeführt wird. Wie beschrieben passiert die von der Steuervorrichtung 10-1 übertragene normale Kommunikation den Filterprozess auf Basis der in der Richtlinien-Speichereinheit 304 der Gateway-Vorrichtung 30 gespeicherten Filterrichtlinie.
  • Wenn aber die von der Steuervorrichtung 10-1 übertragene normale Kommunikation nicht den Filterprozess auf Basis der in der Richtlinien-Speichereinheit 409 der Richtlinien-Auswertungsvorrichtung 40 gespeicherten Filterrichtlinie passiert, kann die in der Richtlinien-Speichereinheit 409 gespeicherte neue Filterrichtlinie den normalen Betrieb des Systems behindern.
  • Aus diesem Grund wird die neue Filterrichtlinie durch Vergleich des alten Filterprotokolls und des neuen Filterprotokolls ausgewertet. Gleichzeitig wird die Filterrichtlinie, welche das Verlängern der Zeit des Filterprozesses bewirkt, als Behinderung des normalen Betriebs des Systems ausgewertet.
  • Zunächst startet die Richtlinien-Auswertungsvorrichtung 40 den Richtlinien-Auswertungsprozess (S701) und ermittelt das in der Neufilterprotokoll-Speichereinheit 410 gespeicherte neue Filterprotokoll (S702). Danach ermittelt die Richtlinien-Auswertungsvorrichtung 40 das in der Altfilterprotokoll-Speichereinheit 411 gespeicherte alte Filterprotokoll (S703). Anschließend ermittelt die Richtlinien-Auswertungsvorrichtung 40 die in der Vorgangslisten-Speichereinheit 412 gespeicherte Vorgangsliste (S704).
  • Die Richtlinien-Auswertungsvorrichtung 40 extrahiert im neuen Filterprotokoll und alten Filterprotokoll enthaltene vorgangsbezogene Pakete auf Basis des Paketmusters eines in der in S704 ermittelten Vorgangsliste enthaltenen Vorgangs (S705). Anschließend vergleicht die Richtlinien-Auswertungsvorrichtung 40 das im neuen Filterprotokoll enthaltene extrahierte vorgangsbezogene Paket mit dem im alten Filterprotokoll enthaltenen extrahierten vorgangsbezogene Paket (S706).
  • Als ein Ergebnis dieses Vergleichs führt die Richtlinien-Auswertungsvorrichtung 40 eine Maßnahmen- und Richtlinienextrahierung durch, wenn ermittelt wird, dass ein Unterschied zwischen den Filterergebnissen besteht (S708). Nachfolgend ist der Prozessinhalt der Maßnahmen- und Richtlinienextrahierung beschrieben. Wenn andererseits ermittelt wird, dass kein Unterschied zwischen den Filterergebnissen besteht, wertet die Richtlinien-Auswertungsvorrichtung 40 die Verarbeitungszeit des im neuen Filterprotokoll enthaltenen vorgangsbezogenen Pakets aus (S707).
  • In der Verarbeitungszeitauswertung wird die höchstzulässige Verarbeitungszeit für jeden Vorgang vorgegeben; welche die zum Durchführen des Filterprozesses erforderliche Zeit ist. Die Verarbeitungszeitauswertung vergleicht die höchstzulässige Verarbeitungszeit für jeden in der in der Vorgangslisten-Speichereinheit 412 gespeicherten Vorgangsliste enthaltenen Vorgang mit der Paketfilter-Verarbeitungszeit, die aus dem Protokoll des extrahierten vorgangsbezogenen bzw. vorgangsverbundenen Pakets berechnet wird, um zu ermitteln, ob die berechnete Paketfilter-Verarbeitungszeit die höchstzulässige Verarbeitungszeit überschreitet.
  • Als ein Ergebnis dieses Ermittelns führt die Richtlinien-Auswertungsvorrichtung 40 einen Auswerterungslisten-Erzeugungsprozess durch, wenn ermittelt wird, dass die Paketfilter-Verarbeitungszeit innerhalb der höchstzulässigen Verarbeitungszeit liegt (S709). Nachfolgend ist der Inhalt des Prozesses der Auswertungslistenerzeugung beschrieben. Wenn andererseits ermittelt wird, dass die Paketfilter-Verarbeitungszeit die höchstzulässige Verarbeitungszeit überschreitet, extrahiert die Richtlinien-Auswertungsvorrichtung 40 eine vorgeschlagene Maßnahme auf Basis des Unterschiedsmusters der in der Maßnahmen- und Richtlinienlisten-Speichereinheit 416 gespeicherten Maßnahmen- und Richtlinienliste (S708). Nachfolgend ist die Struktur der Maßnahmen- und Richtlinienliste, des Unterschiedsmusters und der vorgeschlagenen Maßnahme in Bezug auf 12 beschrieben.
  • Die Richtlinien-Auswertungsvorrichtung 40 erzeugt eine Auswertungsliste auf Basis des Ergebnisses von S706 bis S708 (S709). Nachfolgend ist die Struktur der Auswertungsliste in Bezug auf 11 beschrieben. Die Richtlinien-Auswertungsvorrichtung 40 ermittelt, ob die Auswertung aller in der in S704 ermittelten Vorgangsliste enthaltenen Vorgänge abgeschlossen ist; sie ermittelt, mit anderen Worten, ob die Paketmuster aller Vorgänge verarbeitet wurden (S710).
  • Als ein Ergebnis dieses Ermittelns kehrt die Richtlinien-Auswertungsvorrichtung 40 zu S705 zurück und extrahiert die im neuen Filterprotokoll und alten Filterprotokoll enthaltenen vorgangsbezogenen Pakete auf Basis eines in der in S704 ermittelten Vorgangsliste enthaltenen anderen Vorgangspakets, wenn ermittelt wird, das die Auswertung aller Vorgänge nicht abgeschlossen wurde. Wenn ermittelt wird, dass die Auswertung aller Vorgänge abgeschlossen wurde, beendet die Richtlinien-Auswertungsvorrichtung 40 den Richtlinien-Auswertungsprozess und kehrt zum Prozess vor dem Durchführen des Richtlinien-Auswertungsprozesses zurück (S711).
  • 8 zeigt ein Diagramm zur Darstellung eines Beispiels der in der Richtlinien-Speichereinheit im Filterrichtlinien-Auswertungssystem gespeicherten Filterrichtlinie. Hier ist die Richtlinien-Speichereinheit die Richtlinien-Speichereinheit 304 der Gateway-Vorrichtung 30 und die Richtlinien-Speichereinheit 409 der Richtlinien-Auswertungsvorrichtung 40. Die Struktur der zu speichernden Information ist bei beiden Richtlinien-Speichereinheiten gleich.
  • Eine Filterrichtlinie umfasst unter anderem die folgenden Elemente: eine Filterregel 802, welche die Filtereinstellungsinformation anzeigt, wie Akzeptieren oder Blockieren des Passierens des empfangenen Pakets; eine Paketquelle 803; ein Paketziel 804; ein verwendetes Protokoll 805; und eine Portnummer 806. Die Filterregel 802 kann angewendet werden, wenn alle Werte von Paketquelle 803, Paketziel 804, verwendetem Protokoll 805 und Portnummer 806 der Filterrichtlinie mit den jeweiligen Werten des empfangenen Pakets übereinstimmen.
  • Zusätzlich zum Fall, in dem alle Werte übereinstimmen, kann die Filterregel 802 auf den Fall angewendet werden, in dem einige der Werte der jeweiligen Elemente übereinstimmen. Werte von für die Übereinstimmungsermittlung verwendeten Elementen können vorgegeben werden. Jeder der Werte der Elemente der Filterrichtlinie kann durch Verwenden der Eingabe/AusgabeVorrichtung 23 oder durch das Netzwerk (nicht dargestellt) oder ein anderes Verfahren vorgegeben werden.
  • Es ist darauf hinzuweisen, dass die Elemente der Filterrichtlinie nicht auf die zuvor beschriebenen Elemente beschränkt sind, aber wenigstens diese Elemente umfassen sollten. Ferner ist die Reihenfolge der Elemente von einer Filterrichtlinie nicht auf die in 8 dargestellte Reihenfolge beschränkt. Zusätzlich kann, obwohl eine Filterrichtlinie im Beispiel von 8 dargestellt ist, eine Vielzahl von Filterrichtlinien in der Richtlinien-Speichereinheit gespeichert und in der Reihenfolge, in der sie gespeichert sind, ausgeführt werden.
  • 9 zeigt ein Diagramm zur Darstellung eines Beispiels des in der Filterprotokoll-Speichereinheit gespeicherten Filterprotokolls. Hier ist die Filterprotokoll-Speichereinheit die Filterprotokoll-Speichereinheit 305 der Gateway-Vorrichtung 30 und die neue Neufilterprotokoll-Speichereinheit 410 sowie die Altfilterprotokoll-Speichereinheit 411 in der Richtlinien-Auswertungsvorrichtung 40. Die Struktur der zu speichernden Information ist bei beiden Filterprötokoll-Speichereinheiten gleich.
  • Ein Filterprotokoll umfasst unter anderem die folgenden Elemente: eine Eingabezeit 901, eine Ausgabezeit 902, ein Filterergebnis 903, einen Header 904 und Daten 905. Die Eingabezeit 901 ist die Zeit, bei welcher der Filterprozess gestartet wird, und die Ausgabezeit 902 ist die Zeit, bei welcher der Filterprozess abgeschlossen ist. Die Zeit für den Filterprozess kann durch Berechnen des Unterschieds zwischen dem Wert der Eingabezeit 901 und dem Wert der Ausgabezeit 902 berechnet werden.
  • Somit kann beispielsweise die Gateway-Vorrichtung 30 die Zeit, bei der die erste Kommunikationseinheit 303 das Paket empfangen hat, in der Eingabezeit 901 speichern. Ferner kann die Gateway-Vorrichtung 30 die Zeit zum Übertragen des Pakets von der dritten Kommunikationseinheit 307 oder die Zeit zum Ermitteln des Blockierens des Pakets in der Ausgabezeit 902 speichern. Die Richtlinien-Auswertungsvorrichtung 40 kann die Zeit, bei der die zweite Kommunikationseinheit 402 das Paket empfangen hat, in der Eingabezeit 901 speichern und kann die Zeit zumErmitteln, dass das Paket zugelassen oder blockiert ist, in der Ausgabezeit 902 speichern.
  • Das Filterergebnis 903 speichert das Ergebnis der Ausführung des Filterprozesses auf Basis der in Bezug auf 8 beschriebenen Filterrichtlinie. Der Wert des Filterergebnisses 903 kann Akzeptierenoder Blockieren sein. Der Header 904 ist der Header des empfangenen Pakets umfassend eine Paketquelle 906, ein Paketziel 907, ein verwendetes Protokoll 908 und eine Portnummer 909.
  • Die Daten 905 sind die Daten des empfangenen Pakets. Die Daten 905 können die Paketdaten selbst oder die durch Umwandeln solcher Daten ermittelten Werte sein. Die Daten 905 sind übrigens gegebenenfalls nicht erforderlich. Sobald das Paket empfangen wurde, werden der Header des empfangenen Pakets und die Daten zum Header 904 und zu den Daten 905 kopiert. Anschließend wird der Wert in der Eingabezeit 901 gespeichert. Wenn der Filterprozess abgeschlossen ist, werden die Werte in Filterergebnis 903 und Ausgabezeit 902 gespeichert.
  • Es ist darauf hinzuweisen, dass die Elemente des Filterprotokolls nicht auf die zuvor beschriebenen Elemente beschränkt sind, aber wenigstens die folgenden drei Elemente umfassen, unter anderem die Information, aus der die Filterverarbeitungszeit ermittelt werden kann, das Filterergebnis 903 und der Header 904. Ferner ist die Reihenfolge der Elemente des Filterprotokolls nicht auf die in 9 dargestellte Reihenfolge beschränkt. Darüber hinaus kann, obwohl ein Filterprotokoll im Beispiel von 9 dargestellt ist, eine Vielzahl von Filterprotokollen in der Filterprotokoll-Speichereinheit gespeichert werden.
  • 10 zeigt ein Diagramm zur Darstellung eines Beispiels der in der Vorgangslisten-Speichereinheit 412 der Richtlinien-Auswertungsvorrichtung 40 im Filterrichtlinien-Auswertungssystem gespeicherten Vorgangsliste. Eine Vorgangsliste umfasst unter anderem die folgenden Elemente: eine Vorgangs-ID 1002, welche die Information zum Identifizieren des Vorgangs anzeigt; ein Paketmuster 1003 zur Darstellung der Struktur des Kommunikationspakets für jeden Vorgang; eine höchstzulässige Verarbeitungszeit 1004, die den für jeden Vorgang zulässigen Höchstwert der Paketverarbeitungszeit anzeigt; und einen Protokollerfassungszustand 1005, der anzeigt, ob das mit jedem Vorgang verknüpfte Filterprotokoll erhalten wurde oder nicht.
  • Das Paketmuster 1003 umfasst eine Paketquelle 1006, ein Paketziel 1007, ein verwendetes Protokoll 1008, eine Portnummer-1009 und Merkmalsdaten 1010. Die Merkmalsdaten 1010 können die aktuell zu übertragenden und empfangenden Daten selbst oder Datenteile von solchen Daten an einer vorgegebenen Position oder ein durch Umwandeln solcher Daten ermittelter Wert sein. Die Merkmalsdaten 1010 sind übrigens gegebenenfalls nicht erforderlich, wenn die Daten nicht im Filterprotokoll enthalten sind.
  • Die jeweiligen Werte der Vorgangs-ID 1002, des Paketmusters 1003 und der höchstzulässigen Verarbeitungszeit 1004 können durch Verwenden der Eingabe/Ausgabe-Vorrichtung 23 oder durch das Netzwerk (nicht dargestellt) oder ein anderes Verfahren entsprechend jedem Vorgang vorgegeben werden. Der Ausgangswert des Protokollerfassungszustands 1005 kann mit „Nicht erhalten“ vorgegeben werden.
  • Der Wert des Headers 904 des Filterprotokolls und der Wert der Daten 905 werden mit dem Paketmuster 1003 der Vorgangsliste verglichen. Wenn die Vergleichsergebnisse übereinstimmen, kann der Vorgang des jeweiligen Filterprotokolls als der Vorgang der Vorgangs-ID 1002 identifiziert werden. In diesem Fall kann der Wert des Protokollerfassungszustands 1005 entsprechend dem übereinstimmenden Paketmuster 1003 als „erhalten“ festgelegt werden.
  • Es ist darauf hinzuweisen, dass die Elemente der Vorgangsliste nicht auf die zuvor beschriebenen Elemente beschränkt sind, aber wenigstens diese Elemente umfassen sollten. Ferner ist die Reihenfolge der Elemente der Vorgangsliste nicht auf die in 10 dargestellte Reihenfolge beschränkt. Darüber hinaus kann, obwohl eine Vorgangsliste im Beispiel von 10 dargestellt ist, eine Vielzahl von Vorgangslisten in der Vorgangslisten-Speichereinheit 412 gespeichert werden.
  • 11 zeigt ein Diagramm zur Darstellung eines Beispiels der in der Auswertungslisten-Speichereinheit 413 der Richtlinien-Auswertungsvorrichtung 40 im Filterrichtlinien-Auswertungssystem gespeicherten Auswertungsliste. Eine Auswertungsliste umfasst unter anderem die folgenden Elemente: eine Vorgangs-ID 1102, welche die Information zum Identifizieren des Vorgangs anzeigt; eine höchstzulässige Verarbeitungszeit 1103, die den für jeden Vorgang zulässigen Höchstwert der Paketverarbeitungszeit anzeigt; eine tatsächliche Verarbeitungszeit 1104, welche die aus dem ermittelten Protokoll berechnete tatsächliche Paketverarbeitungszeit anzeigt; ein Auswertungsergebnis 1105, welches das Vorhandensein oder Fehlen eines Einflusses auf jeden Vorgang anzeigt; und eine vorgeschlagene Maßnahme 1106, die ausgegeben wird, wenn ein Einfluss als ein Ergebnis der Auswertung vorhandenist.
  • Die Vorgangs-ID 1102 entspricht der Vorgangs-ID 1002 der Vorgangsliste. Die höchstzulässige Verarbeitungszeit 1103 speichert den Wert der höchstzulässigen Verarbeitungszeit 1004 der Vorgangsliste. Anschließend speichert die tatsächliche Verarbeitungszeit 1104 den Wert des Headers 904, der mit dem Muster des Paketmusters 1003 entsprechend der Vorgangs-ID 1002 übereinstimmt, sowie den Unterschied zwischen der Eingabezeit 901 und der Ausgabezeit 902, welche die Werte der Daten 905 sind.
  • Das Auswertungsergebnis 1105 ist die Information zur Darstellung des Vorhandenseins eines Einflusses auf den Vorgang, wenn die Maßnahmen- und Richtlinien-Extrahierung in S708 wie in Bezug auf 7 beschrieben durchgeführt wird. Andernfalls ist das Auswertungsergebnis 1105 die Information zur Darstellung des Fehlens eines Einflusses auf den Vorgang. Ferner speichert die vorgeschlagene Maßnahme 1106 die Maßnahme der in S708 extrahierten vorgeschlagenen Maßnahme 1203.
  • Es ist darauf hinzuweisen, dass die Elemente der Auswertungsliste nicht auf die zuvor beschriebenen Elemente beschränkt sind, aber wenigstens diese Elemente umfassen sollten. Ferner ist die Reihenfolge der Elemente der Auswertungsliste nicht auf die in 11 dargestellte Reihenfolge beschränkt. Darüber hinaus kann, obwohl eine Auswertungsliste im Beispiel von 11 dargestellt ist, eine Vielzahl von Auswertungslisten in der Auswertungslisten-Speichereinheit 413 gespeichert werden.
  • 12 zeigt ein Diagramm zur Darstellung eines Beispiels der in der Maßnahmen- und Richtlinienlisten-Speichereinheit 416 der Richtlinien-Auswertungsvorrichtung 40 im Filterrichtlinien-Auswertungssystem gespeicherten Maßnahmen- und Richtlinienliste. Eine Maßnahmen- und Richtlinienliste umfasst: ein Unterschiedsmuster 1202, das die Unterschiede zwischen zwei Protokollen der Protokollausgabe, wenn die Richtlinie vor der Aktualisierung (alte Richtlinie) angewendet wird, und der Protokollausgabe, wenn die Aktualisierungsrichtlinie (neue Richtlinie) angewendet wird, gruppiert; und eine vorgeschlagene Maßnahme 1203, die der Maßnahmeninhalt ist, wenn ein Unterschiedsmuster auftritt.
  • Hier kann die Richtlinie vor der Aktualisierung die in der Richtlinien-Speichereinheit 304 der Gateway-Vorrichtung 30 gespeicherte Richtlinie sein, und die Aktualisierungsrichtlinie kann die in der Richtlinien-Speichereinheit 409 der Richtlinien-Auswertungsvorrichtung 40 gespeicherte Richtlinie sein.
  • Ferner kann das Unterschiedsmuster 1202 der Unterschied zwischen den in zwei Protokollen enthaltenen Filterergebnissen (Akzeptieren, Blockieren) oder der Unterschied zwischen den Verarbeitungszeiten sein. Wenn ein Unterschied im Filterergebnis besteht, wird das Paket, das normalerweise zugelassen werden müsste, blockiert und führt offensichtlich zu einem Einfluss auf den Vorgang, so dass der Maßnahmeninhalt gegebenenfalls eine andere Maßnahme als das Filtern erfordert.
  • Wenn andererseits ein Unterschied in der Verarbeitungszeit besteht, kann gegebenenfalls ein anderes Unterschiedsmuster erzeugt werden einschließlich den Punkt, ob der Unterschied zwischen der Zeit des Filterprozesses auf Basis der Aktualisierungsrichtlinie und der höchstzulässige Verarbeitungszeit 1004 kleiner ist als ein vorgegebener Wert.
  • Wenn das Ergebnis kleiner ist als der vorgegebene Wert, erfordert der Maßnahmeninhalt gegebenenfalls eine Prüfung der Ausführungsreihenfolge der in der Richtlinien-Speichereinheit 409 gespeicherten Aktualisierungsrichtlinie sowie eine Prüfung des Inhalts der Richtlinie. Wenn das Ergebnis den vorgegebenen Wert überschreitet, erfordert der Maßnahmeninhalt gegebenenfalls eine andere Maßnahme als das Filtern wie in dem Fall, in dem ein Unterschied im Filterergebnis besteht.
  • Der Inhalt des Unterschiedsmusters 1202 und die vorgeschlagene Maßnahme 1203 kann unter Verwendung der Eingabe/Ausgabe-Vorrichtung 23 oder durch das Netzwerk (nicht dargestellt) oder durch ein anderes Verfahren vorgegeben werden.
  • Es ist darauf hinzuweisen, dass die Elemente der Maßnahmen- und Richtlinienliste nicht auf die zuvor beschriebenen Elemente beschränkt sind, aber wenigstens diese Elemente umfassen sollten. Ferner ist die Reihenfolge der Elemente der Maßnahmen- und Richtlinienliste nicht auf die in 12 dargestellte Reihenfolge beschränkt. Darüber hinaus kann, obwohl eine Maßnahmen- und Richtlinienliste im Beispiel von 11 dargestellt ist,eine Vielzahl von Auswertungslisten in der Maßnahmen- und Richtlinienlisten-Speichereinheit 416 gespeichert werden.
  • Wie zuvor beschrieben kann unter Verwendung der Steuervorrichtung 10, der Gateway-Vorrichtung 30 und des Netzwerks 60, die aktuell verwendet werden, die Filterrichtlinie in der realen Umgebung ausgewertet werden. Ferner kann durch Kopieren des Pakets in die Netzwerkvorrichtung 20 und durch Auswerten des-kopierten Pakets in der Richtlinien-Auswertungsvorrichtung 40 die Auswertung ohne Einfluss auf den normalen Betrieb der realen Umgebung durchgeführt werden.
  • Ebenfalls kann in Bezug auf ein Paket, das selten in der realen Umgebung erzeugt wird, das Paket ausgewertet werden, wenn es nicht für einen vorgegebenen Zeitraum erzeugt wird, so dass der Testserver ein Testpaket erzeugt. Ferner kann ebenfalls die Filterbearbeitungszeit ausgewertet werden, die für die Steuerung wesentlich ist.
  • Zweite Ausführungsform
  • Das Filterrichtlinien-Auswertungssystem der ersten Ausführungsform umfasst die Netzwerkvorrichtung 20, die Gateway-Vorrichtung 30 und die Richtlinien-Auswertungsvorrichtung 40. In einem Filterrichtlinien-Auswertungssystem gemäß einer zweiten Ausführungsform sind diese drei Vorrichtungen in einer Gateway-Vorrichtung 30-1 integriert. Somit kann ein Filterrichtlinien-Auswertungssystem mit weniger Hardwareressourcen hergestellt werden.
  • 13 zeigt ein Diagramm zur Darstellung eines Beispiels der Konfiguration des Filterrichtlinien-Auswertungssystems. Wie im Beispiel in 13 dargestellt umfasst das Filterrichtlinien-Auswertungssystem der zweiten Ausführungsform Steuervorrichtungen 10-1 und 10-2, eine Gateway-Vorrichtung 30-1, einen Testserver 50 und ein Netzwerk 60. Die Steuervorrichtungen 10-1 und 10-2, der Testserver 50 und das Netzwerk 60 weisen die gleiche Konfiguration auf, die mit den gleichen Bezugszeichen beschrieben wurde, so dass auf die Beschreibung von diesen verzichtet wird.
  • Die Gateway-Vorrichtung 30-1 ist mit einer Alt-Filterverarbeitungseinheit 301-1 zum Durchführen eines Filterprozesses am Kommunikationspaket, das der Gateway-Vorrichtung 30-1 zugeführt wird, auf Basis der in einer Altrichtlinien-Speichereinheit 304-1 gespeicherten Filterrichtlinie, einer Neu-Filterverarbeitungseinheit 301-2 zum Durchführen eines Filterprozesses auf Basis der in einer Neurichtlinien-Speichereinheit 304-2 gespeicherten Filterrichtlinie und einer Richtlinien-Aktualisierungseinheit 302 zum Aktualisieren der in der Altrichtlinien-Speichereinheit 304-1 gespeicherten Filterrichtlinie ausgestattet.
  • Ferner ist die Gateway-Vorrichtung 30-1 mit einer ersten Kommunikationseinheit 303 zum Durchführen der Kommunikation mit dem Netzwerk 60, der Altrichtlinien-Speichereinheit 304-1 zum Speichern der in der Alt-Filterverarbeitungseinheit 301-1 verwendeten Filterrichtlinie, der Neurichtlinien-Speichereinheit 304-2 zum Speichern der in der Neu-Filterverarbeitungseinheit 301-2 gespeicherten Filterrichtlinie, einer Altfilterprotokoll-Speichereinheit 305-1 zum Speichern des Filterprotokolls, das als ein Ergebnis des Durchführens des Filterprozesses in der Alt-Filterverarbeitungseinheit 301-1 erzeugt wird, und einer Neufilterprotokoll-Speichereinheit 305-2 zum Speichern des Filterprotokolls, das als ein Ergebnis des Durchführens des Filterprozesses in der Neu-Filterverarbeitungseinheit 301-2 erzeugt wird, ausgestattet.
  • Ferner ist die Gateway-Vorrichtung 30-1 mit einer zweiten Kommunikationseinheit 306 zum Durchführen der Kommunikation mit dem Testserver 50 durch das Netzwerk 60, einer dritten Kommunikationseinheit 307 zum Durchführen der Kommunikation mit der Steuervorrichtung 10-2, einer Richtlinien-Auswertungseinheit 308 zum Auswerten der Gültigkeit der in der Neurichtlinien-Speichereinheit 304-2 gespeicherten Aktualisierungs-Filterrichtlinie und einer Maßnahmen- und Richtlinien-Extrahierungseinheit 309 zum Extrahieren einer Maßnahme, wenn ermittelt wird, dass ein Problem besteht, ausgestattet.
  • Ferner ist die Gateway-Vorrichtung 30-1 mit einer Auswertungslisten-Ausgabeeinheit 310 zur Ausgabe der Auswertungsliste, in der das Auswertungsergebnis sowie die Maßnahme und Richtlinie für jeden Vorgang beschrieben sind, einer Datum- und Zeitinformations-Erfassungseinheit 311 zum Ermitteln der mit der Zeit einer vorgegebenen Standardzeit synchronisiertem Datum- und Uhrzeitinformation, einer Paketkopiereinheit 312 zum Kopieren des der Gateway-Vorrichtung 30-1 zugeführten Kommunikationspakets und einer Vorgangslisten-Speichereinheit 313 zum Speichern der zum Auswerten des mit der Richtlinienänderungen verbundenen Einflusses erforderlichen Vorgangsliste ausgestattet.
  • Ferner ist die Gateway-Vorrichtung 30-1 mit einer Auswertungslisten-Speichereinheit 314 zum Speichern der Auswertungsliste, in der das Auswertungsergebnis sowie die Maßnahme und Richtlinie für jeden Vorgang beschrieben sind, einer Speichereinheit für Datum und Uhrzeit des Auswertungsbeginns 315 zum Speichern, von Datum und Uhrzeit des Beginns der Auswertung der Aktualisierungs-Filterrichtlinie, einer Auswertungszeitraum-Speichereinheit 316 zum Speichern des Auswertungszeitraums, der den Zeitraum zum Durchführen der Auswertung mit den aktuellen Vorgangsdaten angibt, und einer Maßnahmen- und Richtlinienliste-Speichereinheit 317 zum Speichern der Maßnahmen- und Richtlinienliste, wenn das Auswertungsergebnis der Aktualisierungs-Filterrichtlinie den Auslegungstoleranzbereich überschreitet, ausgestattet.
  • 14 zeigt ein Diagramm zur Darstellung eines Beispiels der Hardwarekonfiguration der Gateway-Vorrichtung 30-1. Die Gateway-Vorrichtung 30-1 kann eine Konfiguration wie in 14 dargestellt oder beispielsweise eine Konfiguration eines normalen Computers zusätzlich zur in Bezug auf 13 beschriebenen Konfiguration aufweisen.
  • Die Gateway-Vorrichtung 30-1 umfasst eine erste Kommunikationsvorrichtung 21-1, eine zweite Kommunikationsvorrichtung 21-2, eine dritte Kommunikationsvorrichtung 21-3, eine erste Speichervorrichtung 22-1, eine zweite Speichervorrichtung 22-2, eine Eingabe/AusgabeVorrichtung 23, eine erste CPU 24-1, eine zweite CPU 24-2, einen ersten Speicher 25-1, einen zweiten Speicher 25-2 und eine interne Kommunikationsleitung 26 wie einen diese Komponenten verbindenden Bus.
  • Hier können von den in 13 dargestellten Verarbeitungseinheiten beispielsweise die Vorgangsinhalte der Alt-Filterverarbeitungseinheit 301-1, der Altrichtlinien-Speichereinheit 304-1 und der Altfilterprotokoll-Speichereinheit 305-1 den Vorgangsinhalten der ersten Speichervorrichtung 22-1, der ersten CPU 24-1 und des ersten Speichers 25-1 entsprechen. Die Vorgangsinhalte der anderen Verarbeitungseinheiten und der Speichereinheiten können den Vorgangsinhalten der zweiten Speichervorrichtung 22-2, der zweiten CPU 24-2 und des zweiten Speichers 25-2 entsprechen.
  • Mit den wie zuvor beschrieben ermittelten Vorgangsinhalten kann der aktuelle vorgangsrelevante Prozess (Alt-Filterverarbeitung) und der richtlinienauswertungsrelevante Prozess (Neu-Filterverarbeitung) in einer anderen realen Umgebung erfolgen. Als ein Ergebnis kann der Einfluss auf den Vorgang minimiert werden.
  • Es ist darauf hinzuweisen, dass der Vorgangsinhalt der Paketkopiereinheit 312 dem Vorgangsinhalt der zweiten CPU 24-2 entspricht. Ferner kann die CPU, falls die Verarbeitungskapazität von dieser ausreichend groß ist, als eine einzelne CPU ausgebildet sein statt auf die erste CPU 24-1 und die zweite CPU 24-2 aufgeteilt zu sein, oder es kann jede der ersten CPU 24-1 und der zweiten CPU 24-2 der Kern der CPU und nicht die CPU sein. Die Ausführungsumgebung des mit dem aktuellen Vorgang verbundenen Vorgangs und die Ausführungsumgebung des mit der Richtlinienauswertung verbundenen Prozesses weisen jedoch einen hohen Grad an Unabhängigkeit auf. Somit kann es wünschenswert sein, dass die Umgebungen das gleiche Niveau an Verarbeitungskapazität aufweisen.
  • Nachfolgend ist der Prozessablauf im Filterrichtlinien-Auswertungssystem gemäß der zweiten Ausführungsform beschrieben. Der nachfolgend beschriebene Prozessablauf wird durch die einzelnen Verarbeitungseinheiten zum Konfigurieren des Filterrichtlinien-Auswertungssystems so ausgeführt, dass jedes Programm, das in jeder der Speichervorrichtungen 13, 22-1, 22-2 und 53 der Steuervorrichtungen 10-1 und 10-2, der Gateway-Vorrichtung 30-1 und des Testservers 50 gespeichert ist, in jeden der Speicher 15, 24-1, 24-2 und 55 geladen wird und anschließend von jeder der CPUs 14, 24-1, 24-2 und 54 ausgeführt wird.
  • Ferner können die jeweiligen Programme vorab in den Speichervorrichtungen 13, 22-1, 22-2 und 53 gespeichert sein oder bei Bedarf durch ein anderes Speichermedium oder Kommunikationsmedium (ein Netzwerk oder ein über das Netzwerk verbreiteter Träger) installiert werden.
  • 15 zeigt ein Diagramm zur Darstellung eines Beispiels des Prozessablaufs im Filterrichtlinien-Auswertungssystem, in dem die Gateway-Vorrichtung 30-1 die Filterrichtlinie mit Hilfe der aktuellen Kommunikation zwischen den Steuervorrichtungen 10-1 und 10-2 auswertet. Hier ist ein Beispiel des Prozesses zum Übertragen eines Steuerbefehls von der Steuervorrichtung 10-1 zur Steuervorrichtung 10-2 zum Auswerten der in der Neurichtlinien-Speichereinheit 304-2 der Gateway-Vorrichtung 30-1 dargestellt.
  • Die Richtlinien-Auswertungseinheit 308 der Gateway-Vorrichtung 30-1 führt einen Auswertungsbeginnprozess durch (S1501). Hier umfasst der Auswertungsbeginnprozess Folgendes: Ermitteln des aktuellen Datums und der aktuellen Uhrzeit und Speichern in der Speichereinheit für Datum und Uhrzeit des Auswertungsbeginns 315; ein Prozess zum Festlegen des Protokollerfassungszustands der in der Vorgangslisten-Speichereinheit 313 gespeicherten Vorgangsliste mit „Nicht erhalten“; und ein Prozess zum Löschen der aktuellen Verarbeitungszeit, des Auswertungsergebnisses sowie der Maßnahme und Richtlinie in der in der Auswertungslisten-Speichereinheit 314 gespeicherten Auswertungsliste.
  • Ungeachtet von S1501 überträgt die Steuervorrichtung 10-1 eine Vielzahl von Steuerbefehlen an die Steuervorrichtung 10-2. In diesen Übertragungen erzeugt die Steuervorrichtung 10-1 einen Steuerbefehl ebenfalls nach S1501 (S1502) und überträgt den erzeugten Steuerbefehl an die Steuervorrichtung 10-2.
  • Die Paketkopiereinheit 312 der Gateway-Vorrichtung 30-1 kopiert den von der Steuervorrichtung 10-1 empfangenen Steuerbefehl (S1503). Anschließend überträgt die Paketkopiereinheit 312 den kopierten Steuerbefehl an die Alt-Filterverarbeitungseinheit 301-1 und die Neu-Filterverarbeitungseinheit 301-2.
  • Die Alt-Filterverarbeitungseinheit 301-1 der Gateway-Vorrichtung 30-1 führt einen Filterprozess am von der Paketkopiereinheit 312 empfangenen Paket durch Verwenden der in der Altrichtlinien-Speichereinheit 304-1 gespeicherten Filterrichtlinie durch (S1504). Anschließend erzeugt die Alt-Filterverarbeitungseinheit 301 ein altes Filterprotokoll, welches das Ergebnis des Filterprozesses angibt (S1506) und speichert das alte Filterprotokoll in der Altfilterprotokoll-Speichereinheit 305-1 (S1508). Danach überträgt die Alt-Filterverarbeitungseinheit 301-1 den Steuerbefehl, der den Filterprozess ausgeführt hat, an die Steuervorrichtung 10-2. Anschließendüberträgt die Alt-Filterverarbeitungseinheit 301-1 eine Meldung des Abschlusses des Speicherns des alten Filterprotokolls an die Richtlinien-Auswertungseinheit 308 der Gateway-Vorrichtung 30-1.
  • Die Steuervorrichtung 10-2 führt einen Steuervorgang auf Basis des empfangenen Steuerbefehls durch (S1510).
  • Die Neu-Filterverarbeitungseinheit 301-2 der Gateway-Vorrichtung 30-1 führt unterdessen einen Filterprozess am von der Paketkopiereinheit 312 empfangenen Paket durch Verwenden der in der Neurichtlinien-Speichereinheit 304-2 gespeicherten Filterrichtlinie durch (S1505). Anschließend erzeugt die Neu-Filterverarbeitungseinheit 301-2 ein neues Filterprotokoll, welches das Ergebnis des Filterprozesses angibt (S1507), und speichert daserzeugte neue Filterprotokoll in der Neufilterprotokoll-Speichereinheit 305-2 (S1509). Anschließend überträgt die Neu-Filterverarbeitungseinheit 301-2 eine Meldung des Abschlusses des Speicherns des neuen Filterprotokolls an die Richtlinien-Auswertungseinheit 308 der Gateway-Vorrichtung 30-1.
  • Der von gestrichelten Linien umrahmte Vorgang von S1502 bis S1510 kann einmal oder mehrmals zum Speichern von einem oder einer Vielzahl von alten Filterprotokollen und neuen Filterprotokollen in Bezug auf einen oder eine Vielzahl von Steuerbefehlen durchgeführt werden. Es kann ebenfalls die Übertragung des Steuerbefehls nach dem von gestrichelten Linien umrahmten Vorgang fortgesetzt werden.
  • Anschließend extrahiert die Richtlinien-Auswertungseinheit 308 der Gateway-Vorrichtung 30-1 das in dem in der Altfilterprotokoll-Speichereinheit. 305-1 gespeicherten alten Filterprotokoll enthaltene Vorgangspaket unter Verwendung des Paketmusters der in der Vorgangslisten-Speichereinheit 313 gespeicherten Vorgangsliste. Danach aktualisiert die Richtlinien-Auswertungseinheit 308 den Protokollerfassungszustand der Vorgangsliste (S1511).
  • Die Richtlinien-Auswertungseinheit 308 ermittelt das Vorhandensein oder Fehlen des Vorgangs, in dem das alte Filterprotokoll in der aktualisierten Vorgangsliste erhalten wurde (S1512). Als ein Ergebnis dieses Ermittelns beendet die Richtlinien-Auswertungseinheit 308 den Prozess, wenn ermittelt wird, dass ein Vorgang besteht, in dem das alte Filterprotokoll nicht erhalten wurde (S1513). Wenn andererseits ermittelt wird, dass das alte Filterprotokoll in allen Vorgängen erhalten wurde, führt die Richtlinien-Auswertungseinheit 308 eine Auswertung der Filterrichtlinie durch (S1514). Hier ist das detaillierte Verfahren der Filterrichtlinie das gleiche wie in Bezug auf 7 beschrieben.
  • Anschließend speichert die Richtlinien-Auswertungseinheit 308 die in S1514 erzeugte Auswertungsliste in der Auswertungslisten-Speichereinheit 314 (S1515). Hier kann die Richtlinien-Auswertungseinheit 308 den Prozess beenden (S1513) oder kann das Vorhandensein oder Fehlen eines Einflusses auf den Vorgang wie zuvor beschrieben ermitteln. Wenn ermittelt wird, dass kein Einfluss auf den Vorgang besteht, kann die Richtlinien-Auswertungseinheit 308 die in der Neurichtlinien-Speichereinheit 304-2 gespeicherte Filterrichtlinie in der Altfilterrichtlinien-Speichereinheit 304-1 speichern.
  • 16 zeigt ein Diagramm zur Darstellung eines Beispiels des Prozessablaufs im Filterrichtlinien-Auswertungssystem, in dem die Richtlinien-Auswertungsvorrichtung 40 die Filterrichtlinie unter Verwendung des Testservers 50 auswertet. Dieser Prozess kann ebenfalls in der Auswertung der anzuwendenden Filterrichtlinie unter Verwendung der Gateway-Vorrichtung 30-1 durchgeführt werden, wenn die verstrichene Zeit seit Datum und Uhrzeit des Auswertungsbeginns einen vorgegebenen Auswertungszeitraum überschreitet.
  • Die Datum- und Uhrzeit-Erfassungseinheit 311 der Gateway-Vorrichtung 30-1 ermittelt das aktuelle Datum und die aktuelle Uhrzeit (S1601). Anschließend ermittelt die Datum- und Uhrzeit-Erfassungseinheit 311 Datum und Uhrzeit des Auswertungsbeginns von der Speichereinheit für Datum und Uhrzeit des Auswertungsbeginns 315 zum Berechnen der verstrichenen Zeit von Datum und Uhrzeit des Auswertungsbeginns (S1602). Danach ermittelt die Datum- und Uhrzeit-Erfassungseinheit 311 den vorgegebenen Auswertungszeitraum von der Auswertungszeitraum-Speichereinheit 316 und ermittelt, ob die in S1602 berechnete verstrichene Zeit den Auswertungszeitraum überschreitet (S1603).
  • Als ein Ergebnis dieses Ermittelns kehrt die Datum- und Uhrzeit-Erfassungseinheit 311 zu S1601 zurück, um das aktuelle Datum und die aktuelle Uhrzeit zu ermitteln, wenn ermittelt wird, dass die berechnete verstrichene Zeit den Auswertungszeitraum nicht überschreitet. Wenn andererseits ermittelt wird, dass die berechnete verstrichene Zeit die Auswertungszeit nicht überschreitet, überträgt die Datum- und Uhrzeit-Erfassungseinheit 311 eine Meldung des Verstreichens des Auswertungszeitraums, die anzeigt, dass die verstrichene Zeit den Auswertungszeitraum überschreitet, an die Richtlinien-Auswertungseinheit 308.
  • Die Richtlinien-Auswertungseinheit 308 der Gateway-Vorrichtung 30-1 ermittelt die in der Vorgangslisten-Speichereinheit 313 gespeicherte Vorgangsliste und extrahiert den Vorgang, in dem das Filterprotokoll nicht erhalten wurde (S1604). Die Richtlinien-Auswertungseinheit 308 überträgt die ID des extrahierten Vorgangs sowie einen Testpaket-Anforderungsbefehl für den extrahierten Vorgang an den Testserver 50.
  • Als Reaktion darauf erzeugt der Testserver 50 auf Basis des empfangenen Testpaket-Anforderungsbefehls und der Vorgangs-ID ein Testpaket durch Erzeugen eines Testpakets in der Testpaket-Erzeugungseinheit 501 oder durch Extrahieren eines in der Testpaket-Speichereinheit 503 gespeicherten Testpakets (S1605). Hier kann das Testpaket durch Sammeln aller Steuerbefehle zum Zeitpunkt eines Testlaufs o. Ä., etwa wenn das System fertiggestellt wird, erzeugt oder manuell erzeugt und vorgegeben werden.
  • Der Testserver 50 überträgt das erzeugte Testpaket an die Neu-Filterverarbeitungseinheit 301-2 der Gateway-Vorrichtung 30-1. Der Testserver 50 überträgt dann das Testpaket an die zweite Kommunikationseinheit 306 und nicht an die erste Kommunikationseinheit 303. Dies dient zum Verhindern, dass das Testpaket an die Steuervorrichtung 10-2 übertragen wird, in der das Paket nicht normal befördert wird und den Vorgang beeinflusst.
  • Die Neu-Filterverarbeitungseinheit 301-2 der Gateway-Vorrichtung 30-1 führt einen Filterprozess am empfangenen Testpaket durch Verwenden der in der Neurichtlinien-Speichereinheit 304-2 gespeicherten Filterrichtlinie durch (S1606). Anschließend erzeugt die Neu-Filterverarbeitungseinheit 301-2 ein neues Filterprotokoll, welches das Ergebnis des Filterprozesses angibt (S1607). Danach speichert die Neu-Filterverarbeitungseinheit 301-2 das erzeugte neue Filterprotokoll in der Neufilterprotokoll-Speichereinheit 305-2 (S1608). Anschließend überträgt die Neu-Filterverarbeitungseinheit 301-2 eine Meldung des Abschlusses des Speicherns des neuen Filterprotokolls an die Richtlinien-Auswertungseinheit 308 der Gateway-Vorrichtung 30-1.
  • Die Richtlinien-Auswertungseinheit 308 der Gateway-Vorrichtung 30-1 aktualisiert den Protokollerfassungszustand der Vorgangsliste durch Extrahieren des im erzeugten neuen Filterprotokoll enthaltenenSteuerbefehls unter Verwendung des Paketmusters der in der Vorgangslisten-Speichereinheit 313 gespeicherten Vorgangsliste (S1609). Die Richtlinien-Auswertungseinheit 308 ermittelt anschließend das Vorhandensein oder Fehlen eines Vorgangs, in dem das Filterprotokoll in der aktualisierten Vorgangsliste nicht erhalten wurde (S1610). Als ein Ergebnis dieses Ermittelns kehrt die Richtlinien-Auswertungseinheit 308 zu S1604 zurück, um erneut ein Testpaket anzufordern und einen Filterprozess durchzuführen, wenn ermittelt wird, dass ein Vorgang besteht, in dem das Filterprotokoll nicht erhalten wurde.
  • Wenn andererseits ermittelt wird, dass das Filterprotokoll in allen Vorgängen erhalten wurde, führt die Richtlinien-Auswertungseinheit 308 eine Auswertung der Filterrichtlinie durch (S1611). Hier ist das detaillierte Verfahren der Auswertung der Filterrichtlinie das gleiche wie das Verfahren, das in Bezug auf 7 beschrieben wurde. Die Richtlinien-Auswertungseinheit 308 speichert die in S1611 erzeugte Auswertungsliste in der Auswertungslisten-Speichereinheit 314 (S1612).
  • Es ist darauf hinzuweisen, dass das alte Filterprotokoll als ein Ergebnis des Durchführens des Filterprozesses am Testpaket auf Basis der in der Altrichtlinien-Speichereinheit 304-1 gespeicherten Filterrichtlinie vorab in der Altfilterprotokoll-Speichereinheit 305-1 gespeichert werden kann, ohne eigentlich in der Alt-Filterverarbeitungseinheit 301-1 verarbeitet zu werden.
  • Wie zuvor beschrieben kann unter Verwendung der Steuervorrichtung 10, der Gateway-Vorrichtung 30-1 und des Netzwerks 60, die aktuell verwendet werden, die Filterrichtlinie in der realen Umgebung ausgewertet werden. Ferner wird das Paket in der Gateway-Vorrichtung 30-1 kopiert und im anderen Prozess als der Filterprozess für den normalen Betrieb ausgewertet. Auf diese Weise kann die Auswertung ohne Einfluss auf den normalen Betrieb der realen Umgebung durchgeführt werden.
  • Ebenfalls kann in Bezug auf ein Paket, das selten in der realen Umgebung erzeugt wird, das Paket ausgewertet werden, wenn es nicht für einen vorgegebenen Zeitraum erzeugt wird, so dass der Testserver ein Testpaket erzeugt. Ferner kann ebenfalls die Filterbearbeitungszeit ausgewertet werden, die für die Steuerung wesentlich ist. Die Auswertung kann durch eine einzelne Gateway-Vorrichtung 30-1 durchgeführt werden.

Claims (15)

  1. Auswertungssystem, umfassend eine Netzwerkvorrichtung (20), eine Gateway-Vorrichtung (30), eine Richtlinien-Auswertungsvorrichtung (40), eine erste Steuervorrichtung (10-1) und eine zweite Steuervorrichtung (10-2), wobei die Netzwerkvorrichtung (20) ein von der ersten Steuervorrichtung (10-1) empfangenes Paket kopiert und zur Gateway-Vorrichtung (30) und Richtlinien-Auswertungsvorrichtung (40) überträgt, wobei die Gateway-Vorrichtung (30) das kopierte Paket empfängt, einen ersten Filterprozess auf Basis einer in einer ersten Richtlinien-Speichereinheit (304) gespeicherten ersten Richtlinie durchführt, das Paket, das den ersten Filterprozess passiert hat, während das Ergebnis des ersten Filterprozesses gespeichert wird, an die zweite Steuervorrichtung (10-2) überträgt und das Ergebnis des gespeicherten ersten Filterprozesses an die Richtlinien-Auswertungsvorrichtung (40) überträgt, und wobei die Richtlinien-Auswertungsvorrichtung (40) das kopierte Paket empfängt, einen zweiten Filterprozess auf Basis einer in einer zweiten Richtlinien-Speichereinheit (409) gespeicherten zweiten Richtlinie durchführt, das Ergebnis des zweiten Filterprozesses speichert und die in der zweiten Richtlinien-Speichereinheit (409) gespeicherte zweite Richtlinie auf Basis des übertragenen ersten Filterprozesses und des Ergebnisses des gespeicherten zweiten Filterprozesses auswertet.
  2. Auswertungssystem nach Anspruch 1, wobei die Gateway-Vorrichtung (30) ein erstes Ergebnis, welches das Akzeptieren oder Blockieren des Passierens des kopierten Pakets ist, in das Ergebnis des ersten Filterprozesses einbezieht, und wobei die Richtlinien-Auswertungsvorrichtung (40) ein zweites Ergebnis, welches das Akzeptieren oder Blockieren des Passierens des kopierten Pakets ist, in das Ergebnis des zweiten Filterprozesses einbezieht, und den Unterschied zwischen dem ersten Ergebnis und dem zweiten Ergebnis zum Auswerten der in der zweiten Richtlinien-Speichereinheit (409) gespeicherten zweiten Richtlinie ermittelt.
  3. Auswertungssystem nach Anspruch 2, wobei die Gateway-Vorrichtung (30) eine erste Verarbeitungszeit des ersten Filterprozesses in das Ergebnis des ersten Filterprozesses einbezieht, und wobei die Richtlinien-Auswertungsvorrichtung (40) eine zweite Verarbeitungszeit des zweiten Filterprozesses in das Ergebnis des zweiten Filterprozesses einbezieht, den Unterschied zwischen der ersten Verarbeitungszeit und der zweiten Verarbeitungszeit ermittelt, die zweite Verarbeitungszeit mit einer vorgegebenen Bearbeitungszeit als Beschränkung vergleicht und die in der zweiten Richtlinien-Speichereinheit (409) gespeicherten zweiten Richtlinie auswertet.
  4. Auswertungssystem nach Anspruch 3, wobei die Richtlinien-Auswertungsvorrichtung (40) eine Auswertungsliste durch Extrahieren der vorgeschlagenen Maßnahme entsprechend dem Unterschied zwischen dem ersten Ergebnis und dem zweiten Ergebnis oder durch Extrahieren der vorgeschlagenen Maßnahme entsprechend dem Ergebnis des Vergleichs der zweiten Verarbeitungszeit mit der vorgegebenen Verarbeitungszeit als Beschränkung erzeugt und die Auswertungsliste ausgibt.
  5. Auswertungssystem nach Anspruch 4, wobei die Richtlinien-Auswertungsvorrichtung (40) die in der zweiten Richtlinien-Speichereinheit (409) gespeicherte zweite Richtlinie an die Gateway-Vorrichtung (30) auf Basis des Ergebnisses der Auswertung überträgt, und wobei die Gateway-Vorrichtung die übertragene zweite Richtlinie in der ersten Richtlinien-Speichereinheit (304) speichert.
  6. Auswertungssystem nach Anspruch 5, wobei die Richtlinien-Auswertungsvorrichtung (40) das mit dem vorgegebenen Vorgang verbundene Ergebnis vom Ergebnis des übertragenen ersten Filterprozesses extrahiert, das mit dem jeweiligen vorgegebenen Vorgang verbundene Ergebnis vom Ergebnis des gespeicherten zweiten Filterprozesses extrahiert und die in der zweiten Richtlinien-Speichereinheit (409) gespeicherte zweite Richtlinie auswertet.
  7. Auswertungssystem nach Anspruch 6, wobei die Richtlinien-Auswertungsvorrichtung (40) das mit dem vorgegebenen Vorgang verbundene Ergebnis durch Vergleichen des Musters des im Ergebnis des übertragenen ersten Filterprozesses enthaltenen Pakets mit dem Muster des für den jeweiligen vorgegebenen Vorgang verwendeten Pakets extrahiert, das mit dem vorgegebenen Vorgang verbundenen Ergebnis durch Vergleichen des Musters des im Ergebnis des gespeicherten zweiten Filterprozesses enthaltenen Paketsmit dem Muster des für den jeweiligen vorgegebenen Vorgang verwendeten Paketsextrahiert und das mit dem jeweiligen vorgegebenen Vorgang verbundene Ergebnis extrahiert.
  8. Auswertungssystem nach Anspruch 7, wobei die Richtlinien-Auswertungsvorrichtung (40), wenn ermittelt wird, dass das Ergebnis des übertragenen ersten Filterprozesses das mit allen vorgegebenen Vorgängen verbundene Ergebnis enthält, die in der zweiten Richtlinien-Speichereinheit gespeicherte zweite Richtlinie auswertet.
  9. Auswertungssystem nach Anspruch 8, wobei das Auswertungssystem ferner einen Testserver (50) umfasst, wobei der Testserver (50) ein Testpaket an die Richtlinien-Auswertungsvorrichtung (40) als Reaktion auf eine Anforderung der Richtlinien-Auswertungsvorrichtung (40) überträgt, wobei die Richtlinien-Auswertungsvorrichtung (40) eine zweite Kommunikationseinheit (402) zum Durchführen der Kommunikation mit der Netzwerkvorrichtung (20) und eine erste Kommunikationseinheit (401) zum Durchführen der Kommunikation mit dem Testserver (50) umfasst, das Testpaket durch die erste Kommunikationseinheit (401) empfängt, den zweiten Filterprozess auf Basis der in der zweiten Richtlinien-Speichereinheit (409) gespeicherten zweiten Richtlinie durchführt und das Ergebnis des zweiten Filterprozesses speichert.
  10. Auswertungssystem nach Anspruch 9, wobei die Richtlinien-Auswertungsvorrichtung (40), wenn ermittelt wird, dass ein vorgegebener Auswertungszeitraum abgelaufen ist, die Anforderung an den Testserver (50) überträgt.
  11. Auswertungssystem, umfassend eine Gateway-Vorrichtung (30-1), eine erste Steuervorrichtung (10-1) und eine zweite Steuervorrichtung (10-2), wobei die Gateway-Vorrichtung (30-1) Folgendes umfasst: eine erste Kommunikationseinheit (303) zum Empfangen eines. Pakets von der ersten Steuervorrichtung (10-1); eine Paketkopiereinheit (312) zum Kopieren des in der ersten Kommunikationseinheit (303) empfangenen Pakets und Übertragen an die Gateway-Vorrichtung (30-1) und an die Richtlinien-Auswertungsvorrichtung (40); eine erste Richtlinien-Speichereinheit (304-1), in der eine erste Richtlinie gespeichert wird; eine erste,Filterverarbeitungseinheit (301-1) zum Durchführen eines ersten Filterprozesses am kopierten Paket auf Basis der in der ersten Richtlinien-Speichereinheit (304-1) gespeicherten Richtlinie; eine dritteKommunikationseinheit (307) zum Übertragen des Pakets, das den ersten Filterprozess durch die erste Filterverarbeitungseinheit (301-1) passiert hat, zur zweiten Steuervorrichtung (10-2); eine erste Filterprotokoll-Speichereinheit (305-1), in der das Ergebnis des ersten Filterprozesses durch die erste Filterverarbeitungseinheit (301-1) gespeichert wird; eine zweite Richtlinien-Speichereinheit (304-2), in der eine zweite Richtlinie gespeichert wird; eine zweite Filterverarbeitungseinheit (301-2) zum Durchführen eines zweiten Filterprozesses am kopierten Paket auf Basis der in der zweiten Richtlinien-Speichereinheit (304-2) gespeicherten Richtlinie; eine zweite Filterprotokoll-Speichereinheit (305-2), in der das Ergebnis des zweiten Filterprozesses durch die zweite Filterverarbeitungseinheit (301-2) gespeichert wird; und eine Richtlinien-Auswertungseinheit (308) zum Auswerten der in der zweiten Richtlinien-Speichereinheit (304-2) gespeicherten zweite Richtlinie auf Basis des in der ersten Filterprotokoll-Speichereinheit (305-1) gespeicherten Ergebnisses des ersten Filterprozesses und auf Basis des in der zweiten Filterprotokoll-Speichereinheit (305-2) gespeicherten Ergebnisses des zweiten Filterprozesses.
  12. Auswertungssystem nach Anspruch 11, wobei die erste Filterprotokoll-Speichereinheit (305-1) das Ergebnis des ersten Filterprozesses, umfassend ein erstes Ergebnis, welches das Akzeptieren oder Blockieren des Passierens des kopierten Pakets ist, speichert, wobei die zweite Filterprotokoll-Speichereinheit (305-2) das Ergebnis des zweiten Filterprozesses, umfassend ein zweites Ergebnis, welches das Akzeptieren oder Blockieren des Passierens des kopierten Pakets ist, speichert, und wobei die Richtlinien-Auswertungseinheit (308) den Unterschied zwischen dem ersten Ergebnis und dem zweiten Ergebnis zum Auswerten der in der zweiten Richtlinien-Speichereinheit (304-2) gespeicherten zweiten Richtlinie ermittelt.
  13. Auswertungssystem nach Anspruch 12, wobei die erste Filterprotokoll-Speichereinheit (305-1) das Ergebnis des ersten Filterprozesses, umfassend eine erste Verarbeitungszeit des ersten Filterprozesses, speichert, wobei die zweite Filterprotokoll-Speichereinheit (305-2) das Ergebnis des zweiten Filterprozesses, umfassend eine zweite Verarbeitungszeit des zweiten Filterprozesses, speichert, und wobei die Richtlinien-Auswertungseinheit (308) den Unterschied zwischen der ersten Verarbeitungszeit und der zweiten Verarbeitungszeit ermittelt, die zweite Verarbeitungszeit mit einer vorgegebenen Bearbeitungszeit als Beschränkung vergleicht und die in der zweiten Richtlinien-Speichereinheit (304-2) gespeicherte zweite Richtlinie auswertet.
  14. Auswertungssystem nach Anspruch 13, wobei die Richtlinien-Auswertungseinheit (308) die in der zweiten Richtlinien-Speichereinheit (304-2) gespeicherte zweite Richtlinie auf Basis einer Abschlussmeldung von der ersten Filterverarbeitungseinheit (301-1) und der zweiten Filterverarbeitungseinheit (301-2) auswertet.
  15. Auswertungssystem nach Anspruch 14, ferner umfassend einen Testserver (50), wobei der Testserver (50) ein Testpaket an die Richtlinien-Auswertungsvorrichtung (40) als Reaktion auf eine Anforderung der Gateway-Vorrichtung (30-1) überträgt, wobei die Gateway-Vorrichtung (30-1) ferner eine dritte Kommunikationseinheit zum Durchführen der Kommunikation mit dem Testserver (50) umfasst, und wobei die zweite Filterverarbeitungseinheit (301-2) den zweiten Filterprozess am in der dritten Kommunikationseinheit empfangenen Paket auf Basis der in der zweiten Richtlinien-Speichereinheit (304-2) gespeicherten zweiten Richtlinie durchführt.
DE102016207144.0A 2015-06-10 2016-04-27 Auswertungssystem Active DE102016207144B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2015117065A JP6438850B2 (ja) 2015-06-10 2015-06-10 評価システム
JP2015-117065 2015-06-10

Publications (2)

Publication Number Publication Date
DE102016207144A1 DE102016207144A1 (de) 2016-12-15
DE102016207144B4 true DE102016207144B4 (de) 2023-02-09

Family

ID=57395445

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016207144.0A Active DE102016207144B4 (de) 2015-06-10 2016-04-27 Auswertungssystem

Country Status (3)

Country Link
US (1) US10051004B2 (de)
JP (1) JP6438850B2 (de)
DE (1) DE102016207144B4 (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10805337B2 (en) * 2014-12-19 2020-10-13 The Boeing Company Policy-based network security
JP6869869B2 (ja) * 2017-10-26 2021-05-12 株式会社日立製作所 制御システムのための対策立案システムおよび監視装置
CN115037513A (zh) * 2022-04-27 2022-09-09 锐捷网络股份有限公司 一种安全策略的配置方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004062216A1 (ja) 2002-12-27 2004-07-22 Fujitsu Limited ファイアウォールのポリシをチェックする装置
US20050125697A1 (en) 2002-12-27 2005-06-09 Fujitsu Limited Device for checking firewall policy
DE102013200159A1 (de) 2012-01-09 2013-08-22 International Business Machines Corporation Management von Sicherheitsrichtlinien unter Verwendung einer Störungsanalyse
JP2015117065A (ja) 2013-12-20 2015-06-25 東洋製罐株式会社 容器の密封装置

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7100201B2 (en) * 2002-01-24 2006-08-29 Arxceo Corporation Undetectable firewall
US7644436B2 (en) * 2002-01-24 2010-01-05 Arxceo Corporation Intelligent firewall
US7188365B2 (en) * 2002-04-04 2007-03-06 At&T Corp. Method and system for securely scanning network traffic
US20050050316A1 (en) * 2003-08-25 2005-03-03 Amir Peles Passive SSL decryption
US8179895B2 (en) * 2006-08-01 2012-05-15 Tekelec Methods, systems, and computer program products for monitoring tunneled internet protocol (IP) traffic on a high bandwidth IP network
US20090174551A1 (en) * 2008-01-07 2009-07-09 William Vincent Quinn Internet activity evaluation system
KR101312125B1 (ko) * 2012-02-22 2013-09-26 주식회사 팬택 콘텐츠 필터링 장치 및 방법
WO2014076821A1 (ja) * 2012-11-16 2014-05-22 富士通株式会社 検証システム、管理装置、検証方法およびプログラム
US9819551B2 (en) * 2013-11-20 2017-11-14 Big Switch Networks, Inc. Systems and methods for testing networks with a controller
RO131470A2 (ro) * 2015-04-10 2016-10-28 Ixia, A California Corporation Metode, sisteme şi suport citibil pe calculator pentru măsurarea întârzierii unei linii de comunicaţii unidirecţionale

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004062216A1 (ja) 2002-12-27 2004-07-22 Fujitsu Limited ファイアウォールのポリシをチェックする装置
US20050125697A1 (en) 2002-12-27 2005-06-09 Fujitsu Limited Device for checking firewall policy
DE102013200159A1 (de) 2012-01-09 2013-08-22 International Business Machines Corporation Management von Sicherheitsrichtlinien unter Verwendung einer Störungsanalyse
JP2015117065A (ja) 2013-12-20 2015-06-25 東洋製罐株式会社 容器の密封装置

Also Published As

Publication number Publication date
JP6438850B2 (ja) 2018-12-19
DE102016207144A1 (de) 2016-12-15
US10051004B2 (en) 2018-08-14
JP2017005482A (ja) 2017-01-05
US20160366182A1 (en) 2016-12-15

Similar Documents

Publication Publication Date Title
DE102015003363A1 (de) Verfahren und system zum testen cloud-basierter anwendungen in einer produktionsumgebung unter verwendung hergestellter benutzer-daten
DE102015004128A1 (de) Verfahren und System zum Testen cloud-basierter Anwendungen und Dienste in einer Produktionsumgebung unter Verwendung von getrennten Back-End-Systemen
DE10393571T5 (de) Verfahren und System zum Validieren logischer End-to-End-Zugriffspfade in Storage Area Netzwerken
DE102014211504A1 (de) Verfahren und System zur Gewinnung und Analyse von forensischen Daten in einer verteilten Rechnerinfrastruktur
DE102004052270A1 (de) Verarbeitungsvorrichtungs-Managementsystem
DE102016207144B4 (de) Auswertungssystem
DE10392438T5 (de) Vorrichtung und Verfahren zur zentralen Überwachung und Steuerung von Anlagen
DE102015102434A1 (de) Verfahren und System zum Bereitstellen eines robusten und effizienten Verwaltungs- und Verifikationsdienstes für Verwundbarkeiten von virtuellen Betriebsmitteln
DE112012004247T5 (de) Passives Überwachen virtueller Systeme unter Verwendung einer erweiterbaren Indexierung
EP3743844B1 (de) Blockchain-basiertes identitätssystem
DE102013209934B4 (de) Starten oder Stoppen virtueller Server in angemessener Reihenfolge
DE112017007877B4 (de) Steuerung und Steuerungssystem
DE112012000274B4 (de) Schutz der Unversehrtheit von Daten auf Speicherdatenträgern
DE602005001550T2 (de) Verfahren und vorrichtung zur unterstützung von transaktionen
DE112014004208T5 (de) Integrationsverfahren und -System
EP3172869B1 (de) Verfahren zur nachbildung von laufzeiten in netzwerken, sowie entsprechendes gateway
DE102016008158A1 (de) System und steuerverfahren
DE112016001586T5 (de) Relaisvorrichtung und Programm
DE112012000780T5 (de) Verarbeiten von Berechtigungsprüfungsdaten
CH709741A1 (de) Börsenhandelsplattform.
DE602004012108T2 (de) Fernkonfigurationsmanagement eines Datanverarbeitungssystems
EP3607437B1 (de) Verfahren zum konfigurieren zumindest eines geräts eines schienenfahrzeugs in einem netzwerk, computerprogramm und computerlesbares speichermedium
EP3705993B1 (de) System und verfahren zum auffinden und identifizieren von rechenknoten in einem netzwerk
DE112019006821T5 (de) Angriffserfassungseinrichtung und angriffserfassungsprogramm
AT513242B1 (de) Verfahren zur Synchronisation von Daten in einem Computernetzwerk

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final