JP2006521776A - インテリジェント統合ネットワークセキュリティ装置 - Google Patents
インテリジェント統合ネットワークセキュリティ装置 Download PDFInfo
- Publication number
- JP2006521776A JP2006521776A JP2006509443A JP2006509443A JP2006521776A JP 2006521776 A JP2006521776 A JP 2006521776A JP 2006509443 A JP2006509443 A JP 2006509443A JP 2006509443 A JP2006509443 A JP 2006509443A JP 2006521776 A JP2006521776 A JP 2006521776A
- Authority
- JP
- Japan
- Prior art keywords
- flow
- packet
- information
- devices
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Alarm Systems (AREA)
Abstract
データパケットを処理する方法、コンビュータプログラム製品及び装置について記載される。その方法は、データパケットを受信し、データパケットを検査し、パケットに関連する単一のフローレコードを決定し、単一のフローレコードから複数の装置(220、230)への命令を抽出する。
Description
本発明はコンピュータネットワークセキュリティをコントロールする方法に関する。
ファイアウォールと侵入検知システムは、無権限または破壊的なユーザーからコンピュータネットワークを保護するために使用される装置である。ファイアウォールはローカル・エリア・ネットワークの外側のユーザーからローカル・エリア・ネットワークを守るのに使用される。ファイアウォールはローカル・エリア・ネットワークの外側のユーザーのもとへ、あるいはそのユーザーから送られたメッセージ全てにつき、検査をし、経路制御を行い、頻繁にラベル付けを行う。侵入検知システム(IDS)は疑わしい振る舞いパターンを認識するために、ネットワーク内に通信されている情報を検査するために使用される。
IDSによって得られた情報はネットワークへのアクセスから無権限または破壊的なユーザーをブロックするために使用することができる。侵入防御システム(IPS)はIDSのインラインバージョンである。IPSはネットワーク内に通信されている情報を検査し、疑わしい振る舞いパターンを認識するために使用される。
IDSによって得られた情報はネットワークへのアクセスから無権限または破壊的なユーザーをブロックするために使用することができる。侵入防御システム(IPS)はIDSのインラインバージョンである。IPSはネットワーク内に通信されている情報を検査し、疑わしい振る舞いパターンを認識するために使用される。
フローベースのルータ(FBR)は、ネットワーク・アドミニストレータがパケット転送と経路制御を、ネットワーク・アドミニストレータによって定義されたネットワークポリシーによって実装することを可能にする。FBRは、ネットワーク・アドミニストレータが、パケットがネットワーク中の特定のパスを通るよう選択的に経路制御するポリシーを実装することを可能にする。また、FBRは、特定のタイプのパケットが、経路制御される際に、個別の望ましいサービスを受けることを保証するために使用することができる。従来のルータは、利用可能なルーティング情報に基づき、パケットを目的アドレスに転送することができる。FBRによって、宛先アドレスのみに基づいて経路制御する代わりに、ネットワーク・アドミニストレータが、アプリケーション、プロトコル、パケットサイズおよびエンド・システムのアイデンティティを含むいくつかの基準に基づいて、パケットを許可するか拒絶するかにかかるルーティングポリシーを実装することができるようになる。
信頼されていないネットワークによる攻撃から信頼されたネットワークを守るため、パケットフィルータはネットワークレイヤ中のデータについて動作する。例えば、パケットフィルータは、プロトコルータイプ、送信元および宛先インターネット・プロトコル(IP)アドレス、および送信元と宛先ポートの番号等を含むところの、TRANSMISSION CONTROL PROTOCOL/INTERNET PROTOCOL(TCP/IP)のヘッダのフィールドを検査する。パケットフィルータのデメリットは、低速であること、複雑なセキュリティ・ポリシーを備えた大きなネットワークにおける管理の困難性である。パケットフィルータはコミュニケーションのコンテキストを理解しないので、それのみでは、強固な保護を提供することはできない。加えて、パケットフィルータは、アプリケーション層においてデータを検査するのではなく、したがって、パケットフィルータは、アプリケーション層を利用して試みられたセキュリティ侵入には弱い。
プロキシサーバは、信頼されていないネットワークから信頼されたネットワークを隔離するため、アプリケーション層に運ばれた値を基に動作することができる。アプリケーションプロキシサーバでは、2つのTCPコネクションが確立され得る。ひとつは、パケット送信元とプロキシサーバの間、いまひとつはプロキシサーバとパケットの宛先の間である。アプリケーションプロキシサーバは宛先サーバを代理して、到着パケットを受け取る。アプリケーションデータはプロキシサーバによってアセンブルされ、検査される。また、第2のTCPコネクションは、宛先サーバへ許可パケットを中継するため、プロキシサーバと宛先サーバとの間で開かれる。
プロキシサーバは、アプリケーション層でパケットを検査するのに必要な付加的なプロトコル・スタック・オーバーヘッドによって、動作が遅くなることがある。更に、一義的なプロキシーが各アプリケーション毎に必要になるので、プロキシサーバの実装は複雑で、かつ新アプリケーションサポートの修正が困難である。さらに、プロキシサーバは、単にアプリケーション・パケットを検査するのみであり、プロキシサーバはTCPまたはネットワークレイヤで試みられたネットワーク・セキュリティ侵入を検知しないかもしれない。
本発明は、データパケットを処理しおよびコンピュータネットワークセキュリティを実装する、方法及びコンピュータプログラム製品を含む装置を提供する。
発明の利点は、次の特徴の1つ以上を含んでいるかもしれない。開示された技術は、試みられたネットワーク・セキュリティ侵入を検知し、かつそのセキュリティ侵入に関連した現在のパケットをブロックすることができる。開示された技術は強固で効率的なネットワーク・セキュリティを提供することができ、複数のセキュリティ装置とただ一つのフローテーブルを含んでいる。ネットワーク・セキュリティ情報は他のネットワーク・セキュリティ・デバイスから得られ、フローテーブル中の一つのレコードに格納される。パケットが許可されるかどうか決める一つのフローレコードの使用によって、より速い応答時間が得られる。
発明の1つ以上の実装の詳細は、添付の図面と以下の説明の中で述べられる。他の特徴および発明の利点は、説明、図面および請求項から明白になるだろう。
図1は、サーバ(102)、いくつかのワークステーション(W/S)(104)およびセキュリティシステム124を含むローカル・エリア・ネットワーク(LAN)(100)を含むネットワークトポロジーを示している。セキュリティシステム124はセッション・モジュール122および多くの他のセキュリティ装置を含むことができる。開示された実装では、セキュリティシステム124は2台のセキュリティ装置、すなわち、第1のセキュリティ装置106および第2のセキュリティ装置108を含んでいる。LAN100はインターネット(114)等の外部ネットワークにセキュリティシステム124を通じて接続される。LAN100は、さらに、ルータ(118)によって別のLAN(116)やサテライト(120)に接続される。第2のLAN116はウェブサーバ(110)、電子メールサーバ(112)、サーバ102、いくつかのワークステーション104およびセキュリティシステム124を含んでいる。コンピュータ、サーバおよびLANの中の他のデバイスは、配線、光ファイバーおよび電波のような様々なデータ伝送媒体を使用して相互に連結される。セッション・モジュール122は、ネットワーク内に通信されているパケットを監視する。ある実装においては、第1のセキュリティ装置106はファイアウォールであり、第2のセキュリティ装置108はIPSであってもよい。セッション・モジュール122は、試みられたネットワーク・セキュリティ侵入にかかるパケットのブロックをするために、第1のセキュリティ装置106および第2のセキュリティ装置108と共に動作する。
図2に、セッション・モジュール122のブロック図を示す。セッション・モジュール122はパケットを受け取る着信パケットインターフェース205を含む。受け取られたパケットはフロー処理エンジン(FPE)202により分析され、試みられたネットワーク・セキュリティ侵入が侵入中か否かを判断する。セッション・モジュール122はさらにフローテーブル215を含む。フローテーブル215は受信パケットのフロー情報を格納するために使用される。セッション・モジュール122は、さらにネットワーク上の他のセキュリティ装置へのインターフェースを含む。ある実装においては、セッション・モジュール122はファイアウォールインターフェース220、IPSインターフェース225およびフローベースのルータ・インターフェース230を含む。セキュリティ装置インターフェース218は、セッション・モジュール122によって使用され、受信パケットが許可されるか修正されるべきかどうかを決めるため、受信パケットにかかる情報およびそのパケットにかかるフロー情報を得ルータめに使用される。セキュリティ装置インターフェース218は、さらに、パケット処理をするキュリティ装置によって使用されるフロー情報を通信するため、セッション・モジュール122によって使用される。
図3は、本発明の原理にかかる実装で使用されるフローテーブル215の構造を示す。フローテーブル215は現在のTCP/IPフローに関するフローレコード302を含む。TCP/IPフローは、送信元と宛先との間の一方向情報通信データ・パケットのシーケンスを含む。フローレコードはインデックスキー305を用いてインデックス付けされている。インデックスキー305は、受信パケットにかかる適切なフローレコードを格納し検索するために使用される。ある実装においては、インデックスキー305はハッシュ・キーであってもよい。また、フローテーブル215はハッシュ・テーブルとして実装されてもよい。セッション・モジュール122(図2)は、ネットワーク上の2以上のセキュリティ装置に対するインストラクションを、一つのフローレコード内に保存する。セッション・モジュール122のある実装においては、3つのセキュリティ装置(例えば装置310、315および320)の命令は、フローレコード302に格納されてもよい。フローレコード302は他の情報とともに、ポリシー情報(例えばファイアウォールポリシー、IPSポリシーなどそのフローに適用されるポリシー情報)も格納する。ここに、他の情報とは、暗号化パラメータ、アドレス変換パラメータ、ブックキーピング情報および統計等であり、これらは各セキュリティ装置によって使用されてもよい。フローレコード302は、さらにパケットが許可されるかどうか決定するため、セッション・モジュール122に使用されるフロー情報325を含むことができる。これら情報には、ネットワークポリシーを実装するのに必要な情報を含むことができる。これらは、例えば、接続タイム・アウト、時間課金、帯域幅使用法等である。フロー、セッションおよびフローテーブルは、「マルチ・メソッド、ゲートウェイベース・ネットワーク・セキュリティ・システムズおよびその方法」という表題の、米国特許出願10/072、683に、より詳しく記述されている。それらの内容は、すべてここに組み入れられるものとする。
図4はFPE 202(図2)の動作を説明するフローチャートである。ここで図2および4を参照すると、着信パケットはセッション・モジュールによって受け取られる(ステップ400)。IPパケットはデフラグされ(ステップ402)、IPヘッダは各IPパケットにつき有効化される(ステップ403)。この有効化ステップにおいて、与えられたパケットにかかるIPヘッダが抽出され、基本的瑕疵の有無が検査される。その後、FPE202は、セッションが許可されることになっているかどうか判断する(ステップ415)。
パケットがTCPパケット(404)である場合、TCPヘッダが有効化され(ステップ405)、TCPパケットはアセンブリされる(ステップ410)。有効化プロセスはTCPヘッダ・データを抽出し基本的瑕疵の有無にかかるヘッダの評価を含む。ステップ410で生成された疑似アセンブリ情報は、セッション・モジュール122によって他のセキュリティ装置に送信され、これらセキュリティ装置でパケットの処理がされる。リアセンブリについては、米国特許出願10/072、683および10/072、683により非常に詳しく記述されている。
ステップ415では、FPE 202は、与えられた受信パケットにかかるTCP/IPヘッダ・データを使用して、セッション分類ステップを実行する。セッション・モジュール122は、パケットが、受信パケットに関連し、フローテーブル420から検索されたTCP/IPフローに関して得られた情報に基づいて許可されるかどうか決めることができる。さらに、セッション・モジュール122は、他のセキュリティ装置、例えばファイアウォール425、IPS430、フローベースルータ435のうちの1つから戻された情報を使用してもよい。さらに、セッション・モジュール122は、与えられたパケットを処理するためのそれぞれのデバイスにフロー情報を伝えることにより、セキュリティ装置の動作を行ってもよい。最後に、パケットが許可されれば(ステップ440)、FPE
202はパケットを転送する。それ以外の場合には、パケットは他の処理をする(ステップ445)。他の処理には、パケットに関する特別の情報のログ、パケットの保持する、あるいはパケットの修正しまたは破棄を含んでもよい。これで、FPE202の動作の説明を終える。
202はパケットを転送する。それ以外の場合には、パケットは他の処理をする(ステップ445)。他の処理には、パケットに関する特別の情報のログ、パケットの保持する、あるいはパケットの修正しまたは破棄を含んでもよい。これで、FPE202の動作の説明を終える。
図5は、セッション分類(図4のステップ415)にかかる処理のフローチャートである。セッション分類ステップはパケットを受け取り(ステップ500)、パケットが許可されるかどうか決めるために使用される情報を抽出する。抽出された情報は送信元および宛先IPアドレス、送信元および宛先ポート番号、およびプロトコルを含む(ステップ505)。抽出された情報はパケットが既知のセッション・フローに関係しているかどうか判断するために、フローテーブル215(ステップ510)を検索するために使用さる。既知のセッション・フローについては、ステップ510は、フローテーブル215中の一致するフローレコードを生成する(ステップ515)。一致するフローレコードが見つかった場合、FPE202(図2)は一致するフローレコードから受信パケットのTCP/IPセッション情報を抽出する(ステップ520)。FPE202は、受信パケットが許可されるか否かを、ステップ520で得られたTCP/IPセッション情報を使用して決定する。より具体的には、FPE202は一致するフローレコードから情報を抽出し、セキュリティ装置へ情報を渡す(例えば、フローレコードからのセッションIDおよびTCP/IPセッション情報、さらには他のセキュリティ装置特有の情報を送信する)(ステップ525)。セキュリティ装置からの戻される結果に基づき、FPE202は与えられたパケット(ステップ530)を転送、破棄、記録、格納、修正または他の処理を行う。
ステップ515において、一致するフローレコードがフローテーブル215で見つからない場合、受信パケットは新しいTCP/IPセッション(ステップ532)に関係している。新しいTCP/IPセッションの場合、FPE202はその新しいセッションにセッションIDを割り当て、新しいセッションにかかるパケット用のセキュリティ・ポリシーを決定するために、FPE202は、他のセキュリティ装置(例えばファイアウォール、IPS、フロー・ルータ)と通信する。例えば、FPE202は新しいセッションにかかる受信パケットが許可されるか否かを決めるため、ファイアウォール540から情報を得る。FPE202は、既知の試みられたネットワーク・セキュリティ侵入の攻撃署名と一致するとして、受信パケットをブロックすべきか決定するため、IPS545と通信してもよい。FPE202は、フロー・ルータ550からの新セッションにかかるネットワークポリシーも得てもよい。FPE202は、異なるセキュリティ装置間の調停者の役割をし、パケットが新しいTCP/IPセッションと関係すれば許可されるであろうことを決定するため、セキュリティ装置から個々にあるいはこれらの組合せによって得られた情報を利用してもよい。FPE202は、新しいフローレコードを作成するためにセキュリティ装置から得た情報を使用し、フローテーブル215に新しいフローレコードを格納する(ステップ555)。新しいフローレコードは、受信パケットに関連した新しいセッションのTCP/IPセッション情報および他のセキュリティ装置特有の情報を含む。その後、FPE202は、図4に記載された与えられたTCP/IPセッションにかかる受信パケットの処理を行う。その処理とは、対応するフローレコードからのセキュリティ装置にセッションID、TCP/IPセッション情報およびセキュリティ装置特有の情報を伝えることを含む。
受信パケットが様々なセキュリティ装置を使用して、試みられたネットワーク・セキュリティ侵入に関係しているかどうか判断することに加えて、セッション・モジュールは、さらに図4に記述されるような受信TCP/IPパケットの疑似リアセンブリを行なうことができる。図6に、セッション・モジュールによって生成することができる疑似リアセンブリ情報を示す。疑似リアセンブリ情報は、メモリ中の与えられたパケット600の位置へのポインタ、およびフロー605中のパケットの相対的地位を含む情報へのポインタを含む。ひとつの実装において、IPSは受動的TCP/IPリアセンブリを行なうかもしれない。また、パケット600の位置へのポインタはIPSの内のパケットを見つけるために使用されてもよい。他実装においては、フローのパケットの相対的地位を含んでいる情報へのポインタ605は、パケットにかかるTCP/IPヘッダに含まれるTCP/IPシーケンス番号を得るために使用されてもよい。その疑似リアセンブリ情報は、セッション・モジュール122(図2)に接続されたセキュリティ装置に伝えられてもよい。セキュリティ装置は、受信パケットを処理するために疑似リアセンブリ情報を使用する。
上記セッション・モジュール122は、多くの異なるネットワークトポロジーの中で使用されてもよい。図7は、セッション・モジュール122がファイアウォール705へ統合される場合のネットワークトポロジーである。ファイアウォール705は、ルータ720およびIPS715へのインターフェースを含む。ファイアウォール705は外部ネットワークインターフェース700からパケットを受け取る。受信パケットが既知の攻撃シグネチャに基づいてブロックされるべきかどうかを決定するため、ファイアウォール705はIPS715と通信する。ファイアウォール705およびIPS715が、パケットの通過を許可する際、ファイアウォール705は、ルータ720に受信パケットを送る。ルータ720は、ルータに格納されたネットワークポリシーに基づいて、内部ネットワークインターフェース725を使用して、望む宛先へ送信パケットを転送するかもしれない。
図8は、セッション・モジュール122を使用して、コンピュータネットワークセキュリティを実装する他の配置例を示す。この配置では、セッション・モジュール820は、ファイアウォール805、IPS810およびルータ815からなる直列配置にて作動する。外部ネットワークインターフェース800を通じて受け取られたパケットは、ルータ815に通信される前に、ファイアウォール805によって遮断されることがある。ファイアウォール805は、さらにIPS810に受信パケットにかかる情報を送る。IPS810は受信パケットを検査し、既知の攻撃シグネチャに基づき、受信パケットがブロックされるべきときは、セッション・モジュール820に通知する。ルータ815は次の処理のためにセッション・モジュール820にパケットを送る。受信パケットが許可されるべきことをセッション・モジュール820が決定する場合、セッションモジュール820は内部ネットワークインターフェース825を使用して、所望の宛先へ受信パケットを転送する。
本発明の原理に基づく実施例は、ディジタル電子回路中で、コンピュータ・ハードウェア、ファームウェア、ソフトウェア、あるいはそれらの組合せ中で実装されてもよい。実施例は、コンピュータプログラム製品(つまり明確に情報媒体で固定化されたコンピュータプログラム)として実装されてもよい。情報媒体は、機械可読の記憶装置あるいは転送される信号であってもよく、これらは、プログラマブルプロセッサ、コンピュータあるいは多数のコンピュータのようなデータ処理装置によって実行されこれらを制御する。コンピュータプログラムはプログラミング言語の任意の形式で書かれるかもしれない。それはコンパイルされた言語あるいは解釈された言語を含んでいる。それは、スタンドアロンプログラム、あるいはモジュール、コンポーネント、サブルーチンあるいはコンピューティング環境で使用するにふさわしい他のユニットとして含む任意の形式で展開される。コンピュータプログラムは、一地点における一つのコンピュータによって実行され、あるいは多数地点における多数のコンピュータ上で横断分配されて展開され通信網によって相互に連結される。
発明の方法は、入力データ上で作動し出力の生成により発明の機能を行なうためにコンピュータプログラムを実行する、1つ以上のプログラム可能なプロセッサによって行なわれてもよい。発明の方法も、発明の装置も、特定目的論理回路(例えばFPGA、ASIC(特定用途向けIC))(フィールドプログラマブルゲートアレイ)によって行なわれ、実装されてもよい。
コンピュータプログラムの実行にふさわしいプロセッサは、例えば、一般および特定目的マイクロプロセッサ、および各種デジタルコンピュータのプロセッサのいずれでもよい。一般に、プロセッサは、読み取り専用メモリおよびランダムアクセス記憶装置の一方または両方から命令とデータを受ける。コンピュータの必須要素は、命令を実行するためのプロセッサと、命令とデータを格納するための1以上のメモリ装置である。一般に、コンピュータは、受け取りまたは送信するところの、データを格納する、例えば磁気ディスク、光磁気ディスクあるいは光ディスク等の大記憶装置を含んでいてもよい。コンピュータプログラム命令およびデータを固定化するにふさわしい情報媒体は、EPROM、EEPROM、フラッシュメモリ等の半導体メモリ装置である不揮発性メモリであってもいいし、磁気ディスク(例えば内部ハードディスク、リムーバブル・ディスク);光磁気ディスク;またCD-ROMとDVD-ROMディスクでもよい。プロセッサとメモリは特定目的論理回路の補助を受け、または、これに組み入れられてもよい。
本発明の原理に基づく実施例は、バックエンド・コンポーネントを含む計算機システム中に(例えばデータ・サーバとして)実装されるかもしれない。あるいは、ミドルウェア・コンポーネント(例えばアプリケーションサーバ)であってもよい。あるいは、それはフロントエンドのコンポーネント(例えばユーザーが本発明の実装と対話するGUIあるいはウエブブラウザがあるクライアントコンピュータ)あるいはそのようなバックエンド、ミドルウェアあるいはフロントエンドのコンポーネントのどんな組合せでもよい。システムのコンポーネントは、任意の形式あるいはデジタルデータ・コミュニケーション(例えば通信網)の媒体によって相互に連結してもよい。通信網の例は例えば、ローカル・エリア・ネットワーク(LAN)および広域ネットワーク(例えばインターネット)(WAN)を含んでいる。
計算機システムはクライアントとサーバを含んでいてもよい。クライアントとサーバは離れた場所に位置し、通信網を通ってやりとりするかもしれない。クライアントとサーバの関係は、それぞれのコンピュータ上で作動し、互いとのクライアントサーバ関係を持っているコンピュータプログラムによって発生する。
本発明は特別の実施例に基づき記述された。しかしながら、様々な変更が、本発明の趣旨を逸脱せずになされうることは理解されるだろう。例えば、発明のステップは異なる順に行なわれても望ましい結果を達成するかもしれない。さらに、セッション・モジュール、IPS、ファイアウォールおよびルータはすべて、図9の中で示される構成のような単一のデバイスに組み入れられるかもしれない。さらに、1台以上のセキュリティ装置にパッケージにされたセッション・モジュールの他の構成も可能である。したがって、他の実施例も以下の特許請求の範囲の範囲に含まれる。
Claims (50)
- コンピュータネットワークのフローに関するデータパケットを検査する方法において、前記コンピュータネットワークは前記パケットを処理する一以上の装置を含み、各データパケットは関連するヘッダデータを含み、前記方法は、
前記データパケットを受信し、
前記データパケットを検査し、
前記パケットに関連する単一のフローレコードを決定し、
前記単一のフローレコードから複数の前記装置への命令を抽出し、この命令を対応する前記装置に送信して前記パケットの処理を行わせる
ことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。 - 請求項1の方法において、前記装置はセキュリティ装置であることを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
- 請求項2の方法において、前記装置は侵入検知システム、侵入防止システム、ファイアウォール又はフローベースルータのいずれかより選択されることを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
- 請求項1の方法において、前記データパケットの検査は、前記データパケットが許可されるべきか否かを決定するために関連するヘッダデータを検査することを含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
- 請求項1の方法において、前記パケットに関連する単一のフローレコードの決定は、関連するヘッダデータを利用してフローレコードを探すことを含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
- 請求項1の方法において、前記単一のフローレコードから複数の前記装置への命令の抽出は、メモリから前記データパケットを探す情報と、前記フロー中に前記データパケットの相対位置を提供する情報とを取得することを含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
- 請求項1の方法において、前記パケットに関連する前記フローレコードの決定は:
少なくとも関連するヘッダデータを利用してパケットアイデンティファイアを決定し、
前記パケットアイデンティファイアを使用してフローテーブルを評価し、
もし、フローテーブルエントリがマッチすれば、マッチしたフローレコードを検索し、
もし、フローテーブルエントリがマッチしなければ、新しいフローレコードを作成し、
前記新しいフローレコードを前記フローテーブルに格納する
ことを含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。 - 請求項7の方法において、マッチしたフローレコードの検索は:
マッチしたフローレコードからセッションIDとフロー情報を抽出し、
前記セッションIDとフロー情報を前記装置に伝える
ことを含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。 - 請求項7の方法において、新しいフローレコードの作成は、
新しいセッションIDを作成し、
少なくとも2つの装置から前記データパケットに関連する特有のフロー情報を検索し、
前記新しいセッションIDと前記新しいフローレコード中の前記装置特有のフロー情報とを関連させる
ことを含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。 - 請求項9記載の方法において、前記装置特有のフロー情報を利用して前記パケットを処理する各装置への命令を生成することを含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
- 請求項9記載の方法において、一以上の前記装置はセキュリティ装置であり、前記方法は各セキュリティ装置毎のセキュリティ装置特有のフロー情報を前記新しいセッションIDとともに前記単一のフローレコードに格納することを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
- 請求項1記載の方法において、一以上の前記装置で抽出されたフロー命令を用いて、前記データパケットを処理することを含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
- 請求項1記載の方法において、少なくとも2つの前記装置はセキュリティ装置であり、前記方法は、さらに、
前記セキュリティ装置から、前記パケットを処理するにあたって対応する装置で生成された評価情報を取得し、
前記評価情報を使用して前記パケットを処理する
ことを含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。 - 請求項13記載の方法において、前記パケットの処理は、送信、破棄、修正、ログ又はパケットの保存のいずれか一以上であることを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
- 請求項13記載の方法において、前記処理ステップは前記パケットを送信するか否かを決定することを含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
- 請求項2記載の方法において、前記単一のフローレコードは、一以上のセキュリティ装置のポリシー情報を含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
- 請求項2記載の方法において、前記単一のフローレコードは、ファイアウォールポリシーと侵入防止システムポリシーを含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
- 請求項1記載の方法において、前記単一のフローレコードは、前記装置の一つによって使用される暗号化パラメータを含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
- 請求項1記載の方法において、前記単一のフローレコードは、アドレス変換パラメータを含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
- 請求項1記載の方法において、前記単一のフローレコードは、ブックキーピング又は統計情報を含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
- 請求項1記載の方法において、前記単一のフローレコードは、前記一以上の装置で使用される、所定のフローに対して適用されるポリシーを記載した情報を含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
- 請求項1記載の方法において、前記装置はセキュリティ装置であり、前記単一のフローレコードは、前記一以上のセキュリティ装置で前記パケットを処理する際に使用される、ポリシー情報を含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
- 情報媒体に実体化されたコンピュータプログラム製品において、コンピュータネットワークのフローに関するデータパケットを検査し、前記コンピュータネットワークは前記パケットを処理する一以上の装置を含み、各データパケットは関連するヘッダデータを含み、前記コンピュータプログラム製品はデータ処理装置に対して、
前記データパケットを受信し、
前記データパケットを検査し、
前記パケットに関連する単一のフローレコードを決定し、
前記単一のフローレコードから複数の前記装置への命令を抽出し、この命令を対応する前記装置に送信して前記パケットの処理を行わせる
命令を含むことを特徴とするコンピュータプログラム製品。 - 請求項23の製品において、前記装置はセキュリティ装置であることを特徴とするコンピュータプログラム製品。
- 請求項24の製品において、前記装置は侵入検知システム、侵入防止システム、ファイアウォール又はフローベースルータのいずれかより選択されることを特徴とするコンピュータプログラム製品。
- 請求項23の製品において、前記データパケットの検査命令は、前記データパケットが許可されるべきか否かを決定するために関連するヘッダデータを検査する命令を含むことを特徴とするコンピュータプログラム製品。
- 請求項23の製品において、前記パケットに関連する単一のフローレコードの決定は、関連するヘッダデータを利用してフローレコードを探す命令を含むことを特徴とするコンピュータプログラム製品。
- 請求項23の製品において、前記単一のフローレコードから複数の前記装置への命令の抽出は、メモリから前記データパケットを探す情報と、前記フロー中に前記データパケットの相対位置を提供する情報とを取得する命令を含むことを特徴とするコンピュータプログラム製品。
- 請求項23の製品において、前記パケットに関連する前記フローレコードの決定の命令は:
少なくとも関連するヘッダデータを利用してパケットアイデンティファイアを決定し、
前記パケットアイデンティファイアを使用してフローテーブルを評価し、
もし、フローテーブルエントリがマッチすれば、マッチしたフローレコードを検索し、
もし、フローテーブルエントリがマッチしなければ、新しいフローレコードを作成し、
前記新しいフローレコードを前記フローテーブルに格納する
命令を含むことを特徴とするコンピュータプログラム製品。 - 請求項29の製品において、マッチしたフローレコードの検索命令は:
マッチしたフローレコードからセッションIDとフロー情報を抽出し、
前記セッションIDとフロー情報を前記装置に伝える
命令を含むことを特徴とするコンピュータプログラム製品。 - 請求項29の製品において、新しいフローレコードの作成命令は、
新しいセッションIDを作成し、
少なくとも2つの装置から前記データパケットに関連する特有のフロー情報を検索し、
前記新しいセッションIDと前記新しいフローレコード中の前記装置特有のフロー情報とを関連させる
命令を含むことを特徴とするコンピュータプログラム製品。 - 請求項31記載の製品において、前記装置特有のフロー情報を利用して前記パケットを処理する各装置への命令を生成する命令を含むことを特徴とするコンピュータプログラム製品。
- 請求項31記載の製品において、一以上の前記装置はセキュリティ装置であり、前記製品は各セキュリティ装置毎のセキュリティ装置特有のフロー情報を前記新しいセッションIDとともに前記単一のフローレコードに格納することを特徴とするコンピュータプログラム製品。
- 請求項23記載の製品において、一以上の前記装置で抽出されたフロー命令を用いて、前記データパケットを処理する命令を含むことを特徴とするコンピュータプログラム製品。
- 請求項23記載の製品において、少なくとも2つの前記装置はセキュリティ装置であり、前記製品は、さらに、
前記セキュリティ装置から、前記パケットを処理するにあたって対応する装置で生成された評価情報を取得し、
前記評価情報を使用して前記パケットを処理する
命令を含むことを特徴とするコンピュータプログラム製品。 - 請求項35記載の製品において、前記パケットの処理は、送信、破棄、修正、ログ又はパケットの保存のいずれか一以上であることを特徴とするコンピュータプログラム製品。
- 請求項35記載の製品において、前記処理命令は前記パケットを送信するか否かを決定する命令を含むことを特徴とするコンピュータプログラム製品。
- 請求項24記載の製品において、前記単一のフローレコードは、一以上のセキュリティ装置のポリシー情報を含むことを特徴とするコンピュータプログラム製品。
- 請求項24記載の製品において、前記単一のフローレコードは、ファイアウォールポリシーと侵入防止システムポリシーを含むことを特徴とするコンピュータプログラム製品。
- 請求項23記載の製品において、前記単一のフローレコードは、前記装置の一つによって使用される暗号化パラメータを含むことを特徴とするコンピュータプログラム製品。
- 請求項23記載の方法において、前記単一のフローレコードは、アドレス変換パラメータを含むことを特徴とするコンピュータプログラム製品。
- 請求項23記載の製品において、前記単一のフローレコードは、ブックキーピング又は統計情報を含むことを特徴とするコンピュータプログラム製品。
- 請求項23記載の製品において、前記単一のフローレコードは、前記一以上の装置で使用される、所定のフローに対して適用されるポリシーを記載した情報を含むことを特徴とするコンピュータプログラム製品。
- 請求項23記載の製品において、前記装置はセキュリティ装置であり、前記単一のフローレコードは、前記一以上のセキュリティ装置で前記パケットを処理する際に使用される、ポリシー情報を含むことを特徴とするコンピュータプログラム製品。
- データパケットを処理する装置であって、
受信したデータパケット毎にフロー情報を決定するモジュールと、
前記モジュールによって検出された、複数の処理装置のフロー情報を含むところの、各フローのフローレコードを含むフローテーブルと、
前記装置に接続された複数の処理装置の各々に、装置特有のフロー情報を送信するインターフェースと
を含むことを特徴とするデータパケットを処理する装置。 - 請求項45記載の装置において、さらに、所定のパケットに関する特定のフローを同定する情報を評価し、前記同定されたフローに関するフローテーブル中のフローレコードを検索し、装置特有の情報を各処理装置に送信し、一以上の前記処理装置から評価情報を受信し、前記評価情報に従って前記パケットを処理するセッションモジュールを含むことを特徴とするデータパケットを処理する装置。
- 請求項46記載の装置において、前記セッションモジュールは、パケットの破棄、ログ、保存又は送信のいずれか一つを含むパケットの処理を行うことを特徴とするデータパケットを処理する装置。
- 請求項45記載の装置において、前記フローテーブルはインデックスキーと前記装置に接続された複数のセキュリティ装置の装置特有のフロー情報を含むことを特徴とするデータパケットを処理する装置。
- 請求項45記載の装置において、前記処理装置は、ファイアウォール、フローベースルータ、侵入検知システム又は侵入防止システムから選択されたことを特徴とするデータパケットを処理する装置。
- 請求項45記載の装置において、前記フローテーブルは一以上のフローレコードを有し、このフローレコードは、前記パケットを処理するにあたり二以上のセキュリティ装置に用いるポリシー情報を含むことを特徴とするデータパケットを処理する装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/402,920 US7650634B2 (en) | 2002-02-08 | 2003-03-28 | Intelligent integrated network security device |
| US10/402,920 | 2003-03-28 | ||
| PCT/US2004/009607 WO2004088952A2 (en) | 2003-03-28 | 2004-03-29 | Intelligent integrated network security device |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2006521776A true JP2006521776A (ja) | 2006-09-21 |
| JP2006521776A5 JP2006521776A5 (ja) | 2009-01-29 |
| JP4906504B2 JP4906504B2 (ja) | 2012-03-28 |
Family
ID=33130453
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006509443A Expired - Fee Related JP4906504B2 (ja) | 2003-03-28 | 2004-03-29 | インテリジェント統合ネットワークセキュリティ装置 |
Country Status (7)
| Country | Link |
|---|---|
| US (4) | US7650634B2 (ja) |
| EP (1) | EP1618724B1 (ja) |
| JP (1) | JP4906504B2 (ja) |
| CN (1) | CN100556031C (ja) |
| AT (1) | ATE369691T1 (ja) |
| DE (1) | DE602004008055T2 (ja) |
| WO (1) | WO2004088952A2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010068279A (ja) * | 2008-09-11 | 2010-03-25 | Hitachi Ltd | フロー情報処理装置及びネットワークシステム |
| WO2010100825A1 (ja) * | 2009-03-05 | 2010-09-10 | 日本電気株式会社 | セキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システム |
Families Citing this family (72)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8370936B2 (en) | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
| US7734752B2 (en) | 2002-02-08 | 2010-06-08 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
| US7650634B2 (en) | 2002-02-08 | 2010-01-19 | Juniper Networks, Inc. | Intelligent integrated network security device |
| US7558873B1 (en) | 2002-05-08 | 2009-07-07 | Nvidia Corporation | Method for compressed large send |
| US20030212735A1 (en) * | 2002-05-13 | 2003-11-13 | Nvidia Corporation | Method and apparatus for providing an integrated network of processors |
| US7437548B1 (en) | 2002-07-11 | 2008-10-14 | Nvidia Corporation | Network level protocol negotiation and operation |
| US7397797B2 (en) * | 2002-12-13 | 2008-07-08 | Nvidia Corporation | Method and apparatus for performing network processing functions |
| US8321584B2 (en) * | 2003-04-04 | 2012-11-27 | Ellacoya Networks, Inc. | Method and apparatus for offering preferred transport within a broadband subscriber network |
| US7710867B1 (en) * | 2003-05-23 | 2010-05-04 | F5 Networks, Inc. | System and method for managing traffic to a probe |
| US7913294B1 (en) | 2003-06-24 | 2011-03-22 | Nvidia Corporation | Network protocol processing for filtering packets |
| US7620070B1 (en) | 2003-06-24 | 2009-11-17 | Nvidia Corporation | Packet processing with re-insertion into network interface circuitry |
| US7359983B1 (en) * | 2003-06-24 | 2008-04-15 | Nvidia Corporation | Fragment processing utilizing cross-linked tables |
| US7359380B1 (en) | 2003-06-24 | 2008-04-15 | Nvidia Corporation | Network protocol processing for routing and bridging |
| US7487541B2 (en) * | 2003-12-10 | 2009-02-03 | Alcatel Lucent | Flow-based method for tracking back single packets |
| US7536723B1 (en) * | 2004-02-11 | 2009-05-19 | Airtight Networks, Inc. | Automated method and system for monitoring local area computer networks for unauthorized wireless access |
| US7929534B2 (en) * | 2004-06-28 | 2011-04-19 | Riverbed Technology, Inc. | Flow logging for connection-based anomaly detection |
| US7562389B1 (en) * | 2004-07-30 | 2009-07-14 | Cisco Technology, Inc. | Method and system for network security |
| US7555774B2 (en) * | 2004-08-02 | 2009-06-30 | Cisco Technology, Inc. | Inline intrusion detection using a single physical port |
| US7725938B2 (en) * | 2005-01-20 | 2010-05-25 | Cisco Technology, Inc. | Inline intrusion detection |
| US7808897B1 (en) * | 2005-03-01 | 2010-10-05 | International Business Machines Corporation | Fast network security utilizing intrusion prevention systems |
| US7746862B1 (en) | 2005-08-02 | 2010-06-29 | Juniper Networks, Inc. | Packet processing in a multiple processor system |
| GB0517304D0 (en) | 2005-08-23 | 2005-10-05 | Netronome Systems Inc | A system and method for processing and forwarding transmitted information |
| US8769663B2 (en) | 2005-08-24 | 2014-07-01 | Fortinet, Inc. | Systems and methods for detecting undesirable network traffic content |
| US7966659B1 (en) | 2006-04-18 | 2011-06-21 | Rockwell Automation Technologies, Inc. | Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like |
| DE602006014667D1 (de) * | 2006-06-23 | 2010-07-15 | Nippon Office Automation Co Lt | Protokoll- und Sitzunganalysator |
| US8009566B2 (en) | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
| US8397299B2 (en) * | 2006-09-14 | 2013-03-12 | Interdigital Technology Corporation | Method and system for enhancing flow of behavior metrics and evaluation of security of a node |
| US8594085B2 (en) * | 2007-04-11 | 2013-11-26 | Palo Alto Networks, Inc. | L2/L3 multi-mode switch including policy processing |
| US9331919B2 (en) * | 2007-11-30 | 2016-05-03 | Solarwinds Worldwide, Llc | Method for summarizing flow information of network devices |
| US8179799B2 (en) * | 2007-11-30 | 2012-05-15 | Solarwinds Worldwide, Llc | Method for partitioning network flows based on their time information |
| US8601113B2 (en) * | 2007-11-30 | 2013-12-03 | Solarwinds Worldwide, Llc | Method for summarizing flow information from network devices |
| US20100162399A1 (en) * | 2008-12-18 | 2010-06-24 | At&T Intellectual Property I, L.P. | Methods, apparatus, and computer program products that monitor and protect home and small office networks from botnet and malware activity |
| US8873556B1 (en) | 2008-12-24 | 2014-10-28 | Palo Alto Networks, Inc. | Application based packet forwarding |
| US8769664B1 (en) * | 2009-01-30 | 2014-07-01 | Palo Alto Networks, Inc. | Security processing in active security devices |
| US8752142B2 (en) * | 2009-07-17 | 2014-06-10 | American Express Travel Related Services Company, Inc. | Systems, methods, and computer program products for adapting the security measures of a communication network based on feedback |
| US9756076B2 (en) * | 2009-12-17 | 2017-09-05 | American Express Travel Related Services Company, Inc. | Dynamically reacting policies and protections for securing mobile financial transactions |
| US8621636B2 (en) * | 2009-12-17 | 2013-12-31 | American Express Travel Related Services Company, Inc. | Systems, methods, and computer program products for collecting and reporting sensor data in a communication network |
| US8650129B2 (en) | 2010-01-20 | 2014-02-11 | American Express Travel Related Services Company, Inc. | Dynamically reacting policies and protections for securing mobile financial transaction data in transit |
| US8850539B2 (en) | 2010-06-22 | 2014-09-30 | American Express Travel Related Services Company, Inc. | Adaptive policies and protections for securing financial transaction data at rest |
| US8924296B2 (en) | 2010-06-22 | 2014-12-30 | American Express Travel Related Services Company, Inc. | Dynamic pairing system for securing a trusted communication channel |
| US10360625B2 (en) | 2010-06-22 | 2019-07-23 | American Express Travel Related Services Company, Inc. | Dynamically adaptive policy management for securing mobile financial transactions |
| IL210900A (en) | 2011-01-27 | 2015-08-31 | Verint Systems Ltd | System and method for efficient classification and processing of network traffic |
| US9047441B2 (en) | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
| US8695096B1 (en) | 2011-05-24 | 2014-04-08 | Palo Alto Networks, Inc. | Automatic signature generation for malicious PDF files |
| US9742732B2 (en) * | 2012-03-12 | 2017-08-22 | Varmour Networks, Inc. | Distributed TCP SYN flood protection |
| TW201351171A (zh) * | 2012-06-08 | 2013-12-16 | Cobrasonic Software Inc | 網路封包暨資料庫封包稽核系統及關聯性稽核裝置與方法 |
| US9215208B2 (en) * | 2012-08-17 | 2015-12-15 | The Keyw Corporation | Network attack offensive appliance |
| US9071529B2 (en) * | 2012-10-08 | 2015-06-30 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for accelerating forwarding in software-defined networks |
| US9461967B2 (en) * | 2013-07-18 | 2016-10-04 | Palo Alto Networks, Inc. | Packet classification for network routing |
| US10360196B2 (en) | 2014-04-15 | 2019-07-23 | Splunk Inc. | Grouping and managing event streams generated from captured network data |
| US10366101B2 (en) | 2014-04-15 | 2019-07-30 | Splunk Inc. | Bidirectional linking of ephemeral event streams to creators of the ephemeral event streams |
| US10693742B2 (en) | 2014-04-15 | 2020-06-23 | Splunk Inc. | Inline visualizations of metrics related to captured network data |
| US10462004B2 (en) | 2014-04-15 | 2019-10-29 | Splunk Inc. | Visualizations of statistics associated with captured network data |
| US10523521B2 (en) | 2014-04-15 | 2019-12-31 | Splunk Inc. | Managing ephemeral event streams generated from captured network data |
| US9923767B2 (en) | 2014-04-15 | 2018-03-20 | Splunk Inc. | Dynamic configuration of remote capture agents for network data capture |
| US9838512B2 (en) | 2014-10-30 | 2017-12-05 | Splunk Inc. | Protocol-based capture of network data using remote capture agents |
| US10700950B2 (en) | 2014-04-15 | 2020-06-30 | Splunk Inc. | Adjusting network data storage based on event stream statistics |
| US11281643B2 (en) | 2014-04-15 | 2022-03-22 | Splunk Inc. | Generating event streams including aggregated values from monitored network data |
| US11086897B2 (en) | 2014-04-15 | 2021-08-10 | Splunk Inc. | Linking event streams across applications of a data intake and query system |
| US9762443B2 (en) | 2014-04-15 | 2017-09-12 | Splunk Inc. | Transformation of network data at remote capture agents |
| US10127273B2 (en) | 2014-04-15 | 2018-11-13 | Splunk Inc. | Distributed processing of network data using remote capture agents |
| US12028208B1 (en) | 2014-05-09 | 2024-07-02 | Splunk Inc. | Selective event stream data storage based on network traffic volume |
| US9531672B1 (en) * | 2014-07-30 | 2016-12-27 | Palo Alto Networks, Inc. | Network device implementing two-stage flow information aggregation |
| US9596253B2 (en) | 2014-10-30 | 2017-03-14 | Splunk Inc. | Capture triggers for capturing network data |
| US10334085B2 (en) * | 2015-01-29 | 2019-06-25 | Splunk Inc. | Facilitating custom content extraction from network packets |
| US9525697B2 (en) | 2015-04-02 | 2016-12-20 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
| US20170012923A1 (en) | 2015-07-08 | 2017-01-12 | International Business Machines Corporation | Preventing a user from missing unread documents |
| US10075416B2 (en) * | 2015-12-30 | 2018-09-11 | Juniper Networks, Inc. | Network session data sharing |
| US10972461B2 (en) | 2018-08-28 | 2021-04-06 | International Business Machines Corporation | Device aware network communication management |
| US11451514B2 (en) * | 2019-01-03 | 2022-09-20 | Illumio, Inc. | Optimizing rules for configuring a firewall in a segmented computer network |
| US11019044B2 (en) * | 2019-03-08 | 2021-05-25 | Gigamon Inc. | Correlating network flows through a proxy device |
| US11929987B1 (en) * | 2020-02-25 | 2024-03-12 | Juniper Networks, Inc. | Preserving packet flow information across bump-in-the-wire firewalls |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000312225A (ja) * | 1998-10-05 | 2000-11-07 | Hitachi Ltd | パケット中継装置 |
| JP2001077857A (ja) * | 1999-09-08 | 2001-03-23 | Pfu Ltd | フィルタリング処理装置及びこれを備えるネットワーク及びその記憶媒体 |
| JP2002524891A (ja) * | 1998-06-19 | 2002-08-06 | アスアスホー コミュニケーションズ セキュリティ リミティド | フィルタコードを使用するipsecポリシー管理を実行するための方法および装置 |
| JP2003078549A (ja) * | 2001-08-31 | 2003-03-14 | Hitachi Ltd | パケット転送方法およびその装置 |
| WO2003025766A1 (en) * | 2001-09-14 | 2003-03-27 | Nokia Inc. | System and method for packet forwarding |
Family Cites Families (88)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5606668A (en) * | 1993-12-15 | 1997-02-25 | Checkpoint Software Technologies Ltd. | System for securing inbound and outbound data packet flow in a computer network |
| US5835726A (en) * | 1993-12-15 | 1998-11-10 | Check Point Software Technologies Ltd. | System for securing the flow of and selectively modifying packets in a computer network |
| US5598410A (en) * | 1994-12-29 | 1997-01-28 | Storage Technology Corporation | Method and apparatus for accelerated packet processing |
| US5781550A (en) * | 1996-02-02 | 1998-07-14 | Digital Equipment Corporation | Transparent and secure network gateway |
| US5898830A (en) * | 1996-10-17 | 1999-04-27 | Network Engineering Software | Firewall providing enhanced network security and user transparency |
| US6308148B1 (en) * | 1996-05-28 | 2001-10-23 | Cisco Technology, Inc. | Network flow data export |
| US6243667B1 (en) * | 1996-05-28 | 2001-06-05 | Cisco Systems, Inc. | Network flow switching and flow data export |
| US5842040A (en) * | 1996-06-18 | 1998-11-24 | Storage Technology Corporation | Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units |
| JPH10107795A (ja) | 1996-09-30 | 1998-04-24 | Hitachi Software Eng Co Ltd | ネットワーク管理システム |
| US6119236A (en) * | 1996-10-07 | 2000-09-12 | Shipley; Peter M. | Intelligent network security device and method |
| US6453345B2 (en) * | 1996-11-06 | 2002-09-17 | Datadirect Networks, Inc. | Network security and surveillance system |
| US6591303B1 (en) * | 1997-03-07 | 2003-07-08 | Sun Microsystems, Inc. | Method and apparatus for parallel trunking of interfaces to increase transfer bandwidth |
| US6049528A (en) * | 1997-06-30 | 2000-04-11 | Sun Microsystems, Inc. | Trunking ethernet-compatible networks |
| US6088356A (en) * | 1997-06-30 | 2000-07-11 | Sun Microsystems, Inc. | System and method for a multi-layer network element |
| US5909686A (en) * | 1997-06-30 | 1999-06-01 | Sun Microsystems, Inc. | Hardware-assisted central processing unit access to a forwarding database |
| US6775692B1 (en) * | 1997-07-31 | 2004-08-10 | Cisco Technology, Inc. | Proxying and unproxying a connection using a forwarding agent |
| US6006264A (en) * | 1997-08-01 | 1999-12-21 | Arrowpoint Communications, Inc. | Method and system for directing a flow between a client and a server |
| US7143438B1 (en) * | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
| US6098172A (en) * | 1997-09-12 | 2000-08-01 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with proxy reflection |
| US6154775A (en) * | 1997-09-12 | 2000-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules |
| US6141749A (en) * | 1997-09-12 | 2000-10-31 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with stateful packet filtering |
| US6170012B1 (en) * | 1997-09-12 | 2001-01-02 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with cache query processing |
| US6370603B1 (en) * | 1997-12-31 | 2002-04-09 | Kawasaki Microelectronics, Inc. | Configurable universal serial bus (USB) controller implemented on a single integrated circuit (IC) chip with media access control (MAC) |
| US6205551B1 (en) * | 1998-01-29 | 2001-03-20 | Lucent Technologies Inc. | Computer security using virus probing |
| US6279113B1 (en) * | 1998-03-16 | 2001-08-21 | Internet Tools, Inc. | Dynamic signature inspection-based network intrusion detection |
| US6466985B1 (en) * | 1998-04-10 | 2002-10-15 | At&T Corp. | Method and apparatus for providing quality of service using the internet protocol |
| US6275942B1 (en) * | 1998-05-20 | 2001-08-14 | Network Associates, Inc. | System, method and computer program product for automatic response to computer system misuse using active response modules |
| US6157955A (en) * | 1998-06-15 | 2000-12-05 | Intel Corporation | Packet processing system including a policy engine having a classification unit |
| US7073196B1 (en) * | 1998-08-07 | 2006-07-04 | The United States Of America As Represented By The National Security Agency | Firewall for processing a connectionless network packet |
| US6633543B1 (en) * | 1998-08-27 | 2003-10-14 | Intel Corporation | Multicast flow control |
| JP2000092118A (ja) * | 1998-09-08 | 2000-03-31 | Hitachi Ltd | プログラマブルネットワーク |
| US6311278B1 (en) | 1998-09-09 | 2001-10-30 | Sanctum Ltd. | Method and system for extracting application protocol characteristics |
| KR100333250B1 (ko) * | 1998-10-05 | 2002-05-17 | 가나이 쓰토무 | 패킷 중계 장치 |
| US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
| US6301668B1 (en) * | 1998-12-29 | 2001-10-09 | Cisco Technology, Inc. | Method and system for adaptive network security using network vulnerability assessment |
| US6499107B1 (en) * | 1998-12-29 | 2002-12-24 | Cisco Technology, Inc. | Method and system for adaptive network security using intelligent packet analysis |
| US6487666B1 (en) | 1999-01-15 | 2002-11-26 | Cisco Technology, Inc. | Intrusion detection signature analysis using regular expressions and logical operators |
| US7643481B2 (en) * | 1999-03-17 | 2010-01-05 | Broadcom Corporation | Network switch having a programmable counter |
| US6952401B1 (en) * | 1999-03-17 | 2005-10-04 | Broadcom Corporation | Method for load balancing in a network switch |
| US6600744B1 (en) * | 1999-03-23 | 2003-07-29 | Alcatel Canada Inc. | Method and apparatus for packet classification in a data communication system |
| EP1143660A3 (en) | 1999-06-10 | 2003-12-10 | Alcatel Internetworking, Inc. | State transition protocol for high availability units |
| US6735169B1 (en) * | 1999-07-02 | 2004-05-11 | Cisco Technology, Inc. | Cascading multiple services on a forwarding agent |
| US6549516B1 (en) * | 1999-07-02 | 2003-04-15 | Cisco Technology, Inc. | Sending instructions from a service manager to forwarding agents on a need to know basis |
| US6650641B1 (en) * | 1999-07-02 | 2003-11-18 | Cisco Technology, Inc. | Network address translation using a forwarding agent |
| US6704278B1 (en) * | 1999-07-02 | 2004-03-09 | Cisco Technology, Inc. | Stateful failover of service managers |
| US6633560B1 (en) * | 1999-07-02 | 2003-10-14 | Cisco Technology, Inc. | Distribution of network services among multiple service managers without client involvement |
| US6970913B1 (en) * | 1999-07-02 | 2005-11-29 | Cisco Technology, Inc. | Load balancing using distributed forwarding agents with application based feedback for different virtual machines |
| US6606315B1 (en) * | 1999-07-02 | 2003-08-12 | Cisco Technology, Inc. | Synchronizing service instructions among forwarding agents using a service manager |
| US6742045B1 (en) * | 1999-07-02 | 2004-05-25 | Cisco Technology, Inc. | Handling packet fragments in a distributed network service environment |
| US7051066B1 (en) * | 1999-07-02 | 2006-05-23 | Cisco Technology, Inc. | Integrating service managers into a routing infrastructure using forwarding agents |
| US6851061B1 (en) * | 2000-02-16 | 2005-02-01 | Networks Associates, Inc. | System and method for intrusion detection data collection using a network protocol stack multiplexor |
| US6795918B1 (en) * | 2000-03-07 | 2004-09-21 | Steven T. Trolan | Service level computer security |
| JP2001313640A (ja) | 2000-05-02 | 2001-11-09 | Ntt Data Corp | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 |
| US6654373B1 (en) * | 2000-06-12 | 2003-11-25 | Netrake Corporation | Content aware network apparatus |
| US6981158B1 (en) * | 2000-06-19 | 2005-12-27 | Bbnt Solutions Llc | Method and apparatus for tracing packets |
| US20020032797A1 (en) * | 2000-09-08 | 2002-03-14 | Wei Xu | Systems and methods for service addressing |
| AU2001293080A1 (en) * | 2000-09-28 | 2002-04-15 | Symantec Corporation | System and method for analyzing protocol streams for a security-related event |
| US7054930B1 (en) * | 2000-10-26 | 2006-05-30 | Cisco Technology, Inc. | System and method for propagating filters |
| US7970886B1 (en) * | 2000-11-02 | 2011-06-28 | Arbor Networks, Inc. | Detecting and preventing undesirable network traffic from being sourced out of a network domain |
| AU2002232481A1 (en) * | 2000-11-07 | 2002-05-21 | Fast-Chip, Inc. | Switch-based network processor |
| WO2002045380A2 (en) * | 2000-11-30 | 2002-06-06 | Lancope, Inc. | Flow-based detection of network intrusions |
| US6781992B1 (en) * | 2000-11-30 | 2004-08-24 | Netrake Corporation | Queue engine for reassembling and reordering data packets in a network |
| US6975628B2 (en) * | 2000-12-22 | 2005-12-13 | Intel Corporation | Method for representing and controlling packet data flow through packet forwarding hardware |
| WO2002060098A2 (en) * | 2001-01-25 | 2002-08-01 | Crescent Networks, Inc. | Dual use rate policer and re-marking logic |
| US7099350B2 (en) * | 2001-04-24 | 2006-08-29 | Atitania, Ltd. | Method and apparatus for converting data between two dissimilar systems |
| US7543066B2 (en) * | 2001-04-30 | 2009-06-02 | International Business Machines Corporation | Method and apparatus for maintaining session affinity across multiple server groups |
| US6901052B2 (en) * | 2001-05-04 | 2005-05-31 | Slt Logic Llc | System and method for policing multiple data flows and multi-protocol data flows |
| US20020165956A1 (en) * | 2001-05-07 | 2002-11-07 | Peter Phaal | Traffic driven scheduling of active tests |
| WO2002093828A2 (en) * | 2001-05-17 | 2002-11-21 | Solidum Systems Corporation | Distributed packet processing system with internal load distribution |
| CN1145318C (zh) * | 2001-06-26 | 2004-04-07 | 华为技术有限公司 | 一种因特网服务提供者安全防护的实现方法 |
| US7239636B2 (en) * | 2001-07-23 | 2007-07-03 | Broadcom Corporation | Multiple virtual channels for use in network devices |
| US20030033463A1 (en) * | 2001-08-10 | 2003-02-13 | Garnett Paul J. | Computer system storage |
| US7331061B1 (en) * | 2001-09-07 | 2008-02-12 | Secureworks, Inc. | Integrated computer security management system and method |
| US6976154B1 (en) * | 2001-11-07 | 2005-12-13 | Juniper Networks, Inc. | Pipelined processor for examining packet header information |
| US7512980B2 (en) * | 2001-11-30 | 2009-03-31 | Lancope, Inc. | Packet sampling flow-based detection of network intrusions |
| DE10201655C1 (de) | 2002-01-17 | 2003-07-31 | Amcornet Gmbh | Multifunktions-Server,insbesondere Twin-Firewall-Server |
| US7076803B2 (en) * | 2002-01-28 | 2006-07-11 | International Business Machines Corporation | Integrated intrusion detection services |
| US7222366B2 (en) * | 2002-01-28 | 2007-05-22 | International Business Machines Corporation | Intrusion event filtering |
| US7174566B2 (en) * | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
| US20030149887A1 (en) * | 2002-02-01 | 2003-08-07 | Satyendra Yadav | Application-specific network intrusion detection |
| US8370936B2 (en) * | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
| US7734752B2 (en) * | 2002-02-08 | 2010-06-08 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
| US7650634B2 (en) | 2002-02-08 | 2010-01-19 | Juniper Networks, Inc. | Intelligent integrated network security device |
| US6856991B1 (en) * | 2002-03-19 | 2005-02-15 | Cisco Technology, Inc. | Method and apparatus for routing data to a load balanced server using MPLS packet labels |
| WO2004040854A1 (ja) * | 2002-10-30 | 2004-05-13 | Fujitsu Limited | L2スイッチ |
| US20050102497A1 (en) | 2002-12-05 | 2005-05-12 | Buer Mark L. | Security processor mirroring |
| US7895431B2 (en) * | 2004-09-10 | 2011-02-22 | Cavium Networks, Inc. | Packet queuing, scheduling and ordering |
| US7535907B2 (en) * | 2005-04-08 | 2009-05-19 | Oavium Networks, Inc. | TCP engine |
-
2003
- 2003-03-28 US US10/402,920 patent/US7650634B2/en not_active Expired - Lifetime
-
2004
- 2004-03-29 AT AT04758554T patent/ATE369691T1/de not_active IP Right Cessation
- 2004-03-29 DE DE602004008055T patent/DE602004008055T2/de not_active Expired - Lifetime
- 2004-03-29 EP EP04758554A patent/EP1618724B1/en not_active Expired - Lifetime
- 2004-03-29 WO PCT/US2004/009607 patent/WO2004088952A2/en active IP Right Grant
- 2004-03-29 CN CN200480008628.0A patent/CN100556031C/zh not_active Expired - Lifetime
- 2004-03-29 JP JP2006509443A patent/JP4906504B2/ja not_active Expired - Fee Related
-
2009
- 2009-10-08 US US12/575,997 patent/US8332948B2/en not_active Expired - Lifetime
-
2012
- 2012-09-14 US US13/616,067 patent/US8726016B2/en not_active Expired - Fee Related
-
2014
- 2014-03-31 US US14/230,180 patent/US9100364B2/en not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002524891A (ja) * | 1998-06-19 | 2002-08-06 | アスアスホー コミュニケーションズ セキュリティ リミティド | フィルタコードを使用するipsecポリシー管理を実行するための方法および装置 |
| JP2000312225A (ja) * | 1998-10-05 | 2000-11-07 | Hitachi Ltd | パケット中継装置 |
| JP2001077857A (ja) * | 1999-09-08 | 2001-03-23 | Pfu Ltd | フィルタリング処理装置及びこれを備えるネットワーク及びその記憶媒体 |
| JP2003078549A (ja) * | 2001-08-31 | 2003-03-14 | Hitachi Ltd | パケット転送方法およびその装置 |
| WO2003025766A1 (en) * | 2001-09-14 | 2003-03-27 | Nokia Inc. | System and method for packet forwarding |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010068279A (ja) * | 2008-09-11 | 2010-03-25 | Hitachi Ltd | フロー情報処理装置及びネットワークシステム |
| JP4717106B2 (ja) * | 2008-09-11 | 2011-07-06 | 株式会社日立製作所 | フロー情報処理装置及びネットワークシステム |
| WO2010100825A1 (ja) * | 2009-03-05 | 2010-09-10 | 日本電気株式会社 | セキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システム |
Also Published As
| Publication number | Publication date |
|---|---|
| US8332948B2 (en) | 2012-12-11 |
| US20100132030A1 (en) | 2010-05-27 |
| WO2004088952A2 (en) | 2004-10-14 |
| DE602004008055T2 (de) | 2007-11-22 |
| US8726016B2 (en) | 2014-05-13 |
| US9100364B2 (en) | 2015-08-04 |
| CN1768516A (zh) | 2006-05-03 |
| US20130067561A1 (en) | 2013-03-14 |
| CN100556031C (zh) | 2009-10-28 |
| US20040030927A1 (en) | 2004-02-12 |
| DE602004008055D1 (de) | 2007-09-20 |
| US7650634B2 (en) | 2010-01-19 |
| JP4906504B2 (ja) | 2012-03-28 |
| WO2004088952A3 (en) | 2004-12-16 |
| US20140259146A1 (en) | 2014-09-11 |
| EP1618724A2 (en) | 2006-01-25 |
| ATE369691T1 (de) | 2007-08-15 |
| EP1618724B1 (en) | 2007-08-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4906504B2 (ja) | インテリジェント統合ネットワークセキュリティ装置 | |
| JP4490994B2 (ja) | ネットワークセキュリティデバイスにおけるパケット分類 | |
| US7076803B2 (en) | Integrated intrusion detection services | |
| US7222366B2 (en) | Intrusion event filtering | |
| US8042182B2 (en) | Method and system for network intrusion detection, related network and computer program product | |
| US7610375B2 (en) | Intrusion detection in a data center environment | |
| US8170020B2 (en) | Leveraging active firewalls for network intrusion detection and retardation of attack | |
| US7746862B1 (en) | Packet processing in a multiple processor system | |
| Cheema et al. | [Retracted] Prevention Techniques against Distributed Denial of Service Attacks in Heterogeneous Networks: A Systematic Review | |
| JP2005517349A (ja) | マルチメッソドゲートウエイに基づいたネットワークセキュリティシステム及び方法 | |
| EP2901612A2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
| KR20090087437A (ko) | 트래픽 검출 방법 및 장치 | |
| Albanese et al. | Deceiving attackers by creating a virtual attack surface | |
| Tudosi et al. | Secure network architecture based on distributed firewalls | |
| Mubarakali et al. | A survey: Security threats and countermeasures in software defined networking | |
| Alshamrani | Reconnaissance attack in sdn based environments | |
| Balogh et al. | LAN security analysis and design | |
| Ohri et al. | Software-defined networking security challenges and solutions: A comprehensive survey | |
| Mustapha et al. | Rethinking Deep Packet Inspection Design and Deployment in the era of SDN and NFV | |
| Adabala et al. | A Prevention Technique for DDoS Attacks in SDN using Ryu Controller Application | |
| Tae et al. | Implementation of Rule‐Based DDoS Solution in Software‐Defined Network | |
| Nurika | Genetic Algorithm Optimized Packet Filtering | |
| Akhlaq | Improved performance high speed network intrusion detection systems (NIDS). A high speed NIDS architectures to address limitations of Packet Loss and Low Detection Rate by adoption of Dynamic Cluster Architecture and Traffic Anomaly Filtration (IADF). |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080715 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20081014 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20081021 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081114 |
|
| A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A524 Effective date: 20081114 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090519 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090521 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20091110 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100309 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20100317 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20100402 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120110 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150120 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4906504 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |