JP2007068208A - Device, method and program for band control - Google Patents

Device, method and program for band control Download PDF

Info

Publication number
JP2007068208A
JP2007068208A JP2006287894A JP2006287894A JP2007068208A JP 2007068208 A JP2007068208 A JP 2007068208A JP 2006287894 A JP2006287894 A JP 2006287894A JP 2006287894 A JP2006287894 A JP 2006287894A JP 2007068208 A JP2007068208 A JP 2007068208A
Authority
JP
Japan
Prior art keywords
data
smtp
unit
application
restriction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006287894A
Other languages
Japanese (ja)
Inventor
Satoshi Kamiya
聡史 神谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2006287894A priority Critical patent/JP2007068208A/en
Publication of JP2007068208A publication Critical patent/JP2007068208A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a band control device for autonomously regulating specific application level traffic so that network resources can be utilized in fair manner. <P>SOLUTION: The band control device is connected to at least one information processing device. The band control device detects regulation subject data, based on data contents of an L4 connection, and performs a control of communication regulation, with respect to the detected regulation subject data. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、帯域制御装置、その帯域制御装置における帯域制御方法及び帯域制御プログラムに関するものである。   The present invention relates to a bandwidth control device, a bandwidth control method in the bandwidth control device, and a bandwidth control program.

現在、インターネットの利用者は増加の一途をたどっており、コミュニケーションの一手段として、電子メールを利用する利用者の数も増大している。とりわけ、携帯電話の利用者の急増により、コンピュータ同士間によるメールトラフィックの増加に加えて、携帯電話によるメールトラフィックも増加しているのが現状である。   Currently, the number of users of the Internet is increasing, and the number of users who use electronic mail as a means of communication is also increasing. In particular, due to the rapid increase in the number of mobile phone users, in addition to the increase in mail traffic between computers, there is also an increase in mail traffic on mobile phones.

なお、電子メールの有用な機能の1つに同報機能がある。近年、この同報機能を利用し、不特定多数のユーザに向けて広告等のダイレクトメールが送信されるケースが急増している。なお、このような迷惑メールをSPAMメールと称す。   One useful function of electronic mail is a broadcast function. In recent years, cases where direct mail such as advertisements are transmitted to an unspecified number of users by using this broadcast function are increasing rapidly. Such spam mail is referred to as SPAM mail.

このSPAMメールは、大量のメールトラフィックの要因となり、さらに、SPAMメールにはメールの到達を確認するためのアドレスが必ずしも記載されているとは限らず、大量の未送達メールが発生する場合がある。未送達メールの処理が過大になると、受信サーバにとってはDosアタック(Deny Of Service Attack)(サービス拒否攻撃)の原因となる。このため、SPAMメールの配信処理、及び、未送達メールの返信処理のためにISP(Internet Service Provider)やキャリア、企業等は、メールサーバの増設を行わなければならない。   This SPAM mail causes a large amount of mail traffic. Furthermore, the SPAM mail does not always include an address for confirming the arrival of mail, and a large amount of undelivered mail may occur. . If the processing of undelivered mail becomes excessive, it causes a Dos attack (Deny Of Service Attack) for the receiving server. For this reason, ISPs (Internet Service Providers), carriers, companies, etc. have to increase the number of mail servers for SPAM mail distribution processing and undelivered mail reply processing.

以下、図1、図2を参照しながら、従来のメール配信システムの概略について説明する。なお、以下の処理動作は、SMTP(Simple Mail Transfer Protocol)をメールの転送プロトコルとして使用した場合を例にとり説明する。   The outline of a conventional mail delivery system will be described below with reference to FIGS. The following processing operation will be described by taking as an example a case where SMTP (Simple Mail Transfer Protocol) is used as a mail transfer protocol.

図1に示すメール配信システムは、ISP、キャリア、企業等の管理下に設けられているネットワーク管理ドメイン(3)の境界に、ルータ(101)を配置し、管理ドメイン(3)内に、メールサーバ(以下、MTA(Message Transfer Agent)と称す)(2−1〜2−3)を配備している。また、管理ドメイン(3)外にはMTA(2−4、2−5)が存在する構成となっている。なお、MTA(2−4)は、悪意を持ったユーザが使用するものとし、MTA(2−5)は、通常のユーザが管理するものとする。なお、図1のメール配信システムでは、MTA(2−4、2−5)から管理ドメイン(3)内のMTA(2−2)に対してメール配送が行われている例を示している。   In the mail delivery system shown in FIG. 1, a router (101) is arranged at the boundary of a network management domain (3) provided under the management of an ISP, carrier, company, etc., and mail is sent to the management domain (3). Servers (hereinafter referred to as MTA (Message Transfer Agent)) (2-1 to 2-3) are deployed. In addition, MTA (2-4, 2-5) exists outside the management domain (3). It should be noted that MTA (2-4) is used by a malicious user, and MTA (2-5) is managed by a normal user. The mail delivery system in FIG. 1 shows an example in which mail delivery is performed from the MTA (2-4, 2-5) to the MTA (2-2) in the management domain (3).

通常のルータ(101)は、ルータ(101)自身に流入されるトラフィックがメールトラフィックであるか否かを識別せずに、IPアドレスを基に管理ドメイン(3)内のMTA(2−1〜2−3)に対してトラフィックを配送する。このため、ルータ(101)は、MTA(2−4)から大量のSMTPトラフィック(102)が流入されると、その流入されたSMTPトラフィック(102)をMTA(2−2)に配送することになる。   The normal router (101) does not identify whether the traffic flowing into the router (101) itself is mail traffic, and based on the IP address, MTA (2-1 to 2-1) in the management domain (3). Deliver traffic to 2-3). For this reason, when a large amount of SMTP traffic (102) is flowed from the MTA (2-4), the router (101) delivers the flowed SMTP traffic (102) to the MTA (2-2). Become.

また、ルータ(101)は、MTA(2−5)からもSMTPトラフィック(103)が流入されると、その流入されたSMTPトラフィック(103)をMTA(2−2)に配送することになる。このとき、ルータ(101)からMTA(2−2)に配送されるSMTPトラフィック(102)の量が多くなり、MTA(2−2)において、ルータ(101)から配送されるSMTPトラフィック(102)を処理することが出来なくなると、MTA(2−2)は、ルータ(101)を介してMTA(2−5)から配送されるSMTPトラフィック(103)を受け付けられなくなる。   Further, when the SMTP traffic (103) is also flown from the MTA (2-5), the router (101) delivers the flowed SMTP traffic (103) to the MTA (2-2). At this time, the amount of SMTP traffic (102) delivered from the router (101) to the MTA (2-2) increases, and the SMTP traffic (102) delivered from the router (101) in the MTA (2-2). Cannot be processed, the MTA (2-2) cannot accept the SMTP traffic (103) delivered from the MTA (2-5) via the router (101).

また、ルータ(101)自身もMTA(2−4)から流入されるSMTPトラフィック(102)の転送処理に集中してしまうと、他のユーザであるMTA(2−5)からSMTPトラフィック(103)が流入された際に、その流入されたSMTPトラフィック(103)をMTA(2−2)に配送する処理がSMTPトラフィック(102)により妨げられてしまうことになる。   Further, if the router (101) itself concentrates on the transfer processing of the SMTP traffic (102) that flows in from the MTA (2-4), the SMTP traffic (103) from the MTA (2-5) that is another user. When SMTP flows in, the SMTP traffic (102) prevents the SMTP traffic (103) from being delivered to the MTA (2-2).

このように、単にルータ(101)が配備されているだけのメール配信システムでは、大量のSPAMメール配信のトラフィックを制御することができないことになる。   In this way, a mail distribution system in which the router (101) is simply deployed cannot control a large amount of SPAM mail distribution traffic.

また、近年では、メールトラフィックを識別する装置としてL4レイヤを識別できるファイアウォールがある。しかしながら、ファイアウォールはアプリケーションレイヤレベルの内容までは精査しないため、ファイアウォールでは外部から転送されたメールがSPAMメールか否かを判定することはできないことになる。   In recent years, there is a firewall that can identify the L4 layer as a device for identifying mail traffic. However, since the firewall does not scrutinize the contents at the application layer level, the firewall cannot determine whether the mail transferred from the outside is a SPAM mail.

なお、図2のメール配信システムは、管理ドメイン(3)内のMTA(2−2)がメール配信サーバとなったケースを示している。ISPやキャリアが、サーバのホスティングサービスを行っているケースでは、そのサービスと契約した外部のユーザが管理ドメイン(3)内のMTA(2−2)を用いてSPAMメールの配信を行うケースも想定される。図2では、MTA(2−2)からMTA(2−4)やMTA(2−5)に向けて大量のSMTPトラフィック(104)が配信され、MTA(2−1)から配信されたSMTPトラフィック(106)と、MTA(2−3)から配信されたSMTPトラフィック(105)と、がルータ(101)で圧迫されている状態が示されている。   The mail delivery system in FIG. 2 shows a case where the MTA (2-2) in the management domain (3) is a mail delivery server. In the case where the ISP or carrier is providing a server hosting service, it is assumed that an external user who has contracted with that service uses the MTA (2-2) in the management domain (3) to distribute SPAM mail. Is done. In FIG. 2, a large amount of SMTP traffic (104) is distributed from MTA (2-2) to MTA (2-4) and MTA (2-5), and SMTP traffic distributed from MTA (2-1). (106) and the SMTP traffic (105) distributed from the MTA (2-3) are being pressed by the router (101).

なお、本発明より先に出願された技術文献として、正規利用者の通信トラフィックを確保しながら、分散型サービス不能攻撃(DDos攻撃)の攻撃トラフィックの伝送帯域を制限することを可能とするものがあり、例えば、ゲート装置において、DDos攻撃の攻撃容疑パケットを検出すると、上流の通信装置に対して攻撃容疑パケットの伝送帯域制限値を通知し、上流の通信装置は、攻撃容疑パケットの伝送帯域を受信した伝送帯域制限値に制限しながら、更に上流の通信装置に対して伝送帯域制限値の通知を最上流まで繰り返し、各通信装置が攻撃容疑パケットの伝送帯域を制限するものがある(例えば、特許文献1、2参照)。   In addition, as a technical document filed prior to the present invention, it is possible to limit the transmission band of the attack traffic of the distributed denial of service attack (DDos attack) while securing the communication traffic of the authorized user. Yes, for example, when an attack suspect packet of a DDos attack is detected in the gate device, the upstream communication device is notified of the transmission bandwidth limit value of the attack suspect packet, and the upstream communication device determines the transmission bandwidth of the attack suspect packet. While limiting to the received transmission band limit value, there are those that further repeat the notification of the transmission band limit value to the upstream communication device to the most upstream, and each communication device limits the transmission band of the suspected attack packet (for example, (See Patent Documents 1 and 2).

また、ゲート装置において、DDos攻撃の攻撃容疑パケットを検出すると、上流の通信装置に対して攻撃容疑パケットの容疑シグネチャと正規条件とを送信し、上流の通信装置は、容疑シグネチャで識別されるパケットの伝送帯域を制限しながら、正規条件と容疑シグネチャとを基に生成される正規シグネチャで識別されるパケットの伝送帯域制限を解除しつつ、更に、上流の通信装置に対して容疑シグネチャと正規条件との送信を最上流まで繰り返し、各通信装置が攻撃容疑パケットの帯域制限を実施しながら、攻撃容疑パケットから攻撃パケットを検出して、更に帯域を制限するものがある(例えば、特許文献3参照)。
特開2003−283572号公報 特開2003−283555号公報 特開2003−283554号公報 Further, when the attack suspect packet of the DDos attack is detected in the gate device, the suspect signature of the attack suspect packet and the normal condition are transmitted to the upstream communication device, and the upstream communication device is identified by the suspect signature. While restricting the transmission bandwidth of the packet, the transmission bandwidth restriction of the packet identified by the normal signature generated based on the normal condition and the suspect signature is released, and further, the suspect signature and the normal condition for the upstream communication device Is repeated until the most upstream, and each communication device detects the attack packet from the attack suspect packet while limiting the bandwidth of the attack suspect packet, and further limits the bandwidth (for example, see Patent Document 3). ).
JP 2003-283572 A JP 2003-283555 A JP 2003-283554 A

しかしながら、上記特許文献1〜3は、攻撃容疑パケットを検出した時に、攻撃容疑パケットの伝送帯域を制限しているが、ゲート装置が上流の通信装置に対して攻撃容疑パケットの伝送帯域を制限する情報を送信することで、各通信装置が攻撃容疑パケットの伝送帯域を制限していることから、1つの装置内で攻撃容疑パケットの伝送帯域を制限することは困難であると考えられる。   However, the above Patent Documents 1 to 3 limit the transmission bandwidth of the attack suspect packet when the attack suspect packet is detected. However, the gate device limits the transmission bandwidth of the attack suspect packet to the upstream communication device. Since each communication device limits the transmission bandwidth of the attack suspect packet by transmitting information, it is considered difficult to limit the transmission bandwidth of the attack suspect packet within one device.

本発明は、上記事情に鑑みてなされたものであり、特定のアプリケーションレイヤレベルのトラフィックに対して自律的に規制をかけ、ネットワークリソースを公平に利用させることを可能とする帯域制御装置、帯域制御方法及び帯域制御プログラムを提供することを目的とするものである。   The present invention has been made in view of the above circumstances, and provides a bandwidth control device and bandwidth control that can autonomously regulate traffic at a specific application layer level and allow network resources to be used fairly. It is an object to provide a method and a bandwidth control program.

かかる目的を達成するために本発明は以下の特徴を有することとする。   In order to achieve this object, the present invention has the following features.

本発明にかかる帯域制御装置は、少なくとも1つの情報処理装置に接続される帯域制御装置であって、L4コネクションのデータ内容を基に規制対象となるデータを検知する検知手段と、規制対象となるデータの通信規制の制御を行う制御手段と、を有することを特徴とするものである。   The bandwidth control device according to the present invention is a bandwidth control device connected to at least one information processing device, and is a detection means for detecting data to be regulated based on the data content of the L4 connection, and is a regulation target. And a control means for controlling data communication restriction.

また、本発明にかかる帯域制御装置は、ポート番号に、SMTPが含まれていないパケットデータを、規制対象となるデータから除外する第1の規制対象除外手段を有することを特徴とするものである。   In addition, the bandwidth control device according to the present invention is characterized in that the port number includes a first restriction target excluding means for excluding packet data that does not include SMTP from the restriction target data. .

また、本発明にかかる帯域制御装置は、ポート番号に、SMTPが含まれており、且つ、該SMTPが含まれているパケットデータのIPアドレスが、規制対象外とする特定の送信元IPアドレスまたは宛先IPアドレスであるパケットデータを、規制対象となるデータから除外する第2の規制対象除外手段を有することを特徴とするものである。   In the bandwidth control device according to the present invention, the port number includes SMTP, and the IP address of the packet data including the SMTP is not specified as a specific source IP address or The present invention is characterized in that it has a second restriction target excluding means for excluding the packet data that is the destination IP address from the restriction target data.

また、本発明にかかる帯域制御装置は、規制対象外とする特定のメールアドレスが含まれるパケットデータを、規制対象となるデータから除外する第3の規制対象除外手段を有することを特徴とするものである。   In addition, the bandwidth control apparatus according to the present invention includes a third restriction target exclusion unit that excludes packet data including a specific mail address that is not subject to restriction from data subject to restriction. It is.

また、本発明にかかる帯域制御方法は、少なくとも1つの情報処理装置に接続される帯域制御装置で行う帯域制御方法であって、L4コネクションのデータ内容を基に規制対象となるデータを検知する検知工程と、規制対象となるデータの通信規制の制御を行う制御工程と、を、帯域制御装置が行うことを特徴とするものである。   The bandwidth control method according to the present invention is a bandwidth control method performed by a bandwidth control device connected to at least one information processing device, and detects data to be regulated based on the data content of the L4 connection. The bandwidth control apparatus performs the process and the control process for controlling the communication restriction of the data to be restricted.

また、本発明にかかる帯域制御方法は、ポート番号に、SMTPが含まれていないパケットデータを、規制対象となるデータから除外する規制対象除外工程を、帯域制御装置が行うことを特徴とするものである。   Further, the bandwidth control method according to the present invention is characterized in that the bandwidth control device performs a regulation object exclusion step of excluding packet data whose port number does not include SMTP from data to be regulated. It is.

また、本発明にかかる帯域制御プログラムは、少なくとも1つの情報処理装置に接続される帯域制御装置で実行させる帯域制御プログラムであって、L4コネクションのデータ内容を基に規制対象となるデータを検知する検知処理と、規制対象となるデータの通信規制の制御を行う制御処理と、を、帯域制御装置に実行させることを特徴とするものである。   The bandwidth control program according to the present invention is a bandwidth control program that is executed by a bandwidth control device connected to at least one information processing device, and detects data to be regulated based on the data content of the L4 connection. The bandwidth control device is caused to execute detection processing and control processing for controlling communication restriction of data to be restricted.

また、本発明にかかる帯域制御プログラムは、ポート番号に、SMTPが含まれていないパケットデータを、規制対象となるデータから除外する規制対象除外処理を、帯域制御装置に実行させることを特徴とするものである。   In addition, the bandwidth control program according to the present invention causes the bandwidth control device to execute a restriction target exclusion process for excluding packet data that does not include SMTP in the port number from the restriction target data. Is.

本発明によれば、特定のアプリケーションレイヤレベルのトラフィックに対して自律的に規制をかけ、ネットワークリソースを公平に利用させることが可能となる。   ADVANTAGE OF THE INVENTION According to this invention, it becomes possible to apply a regulation autonomously with respect to the traffic of a specific application layer level, and to use a network resource fairly.

まず、本実施形態における帯域制御装置について説明する。
本実施形態における帯域制御装置は、ネットワークを介して接続される情報処理装置間に配備されるネットワーク機器となる帯域制御装置であって、帯域制御装置が情報処理装置から送信されるデータのアプリケーションレイヤのデータ内容を検査し、規制対象となるデータを検知した際に、該検知した規制対象となるデータの一連のL3トラフィック、L4コネクション、アプリケーションレイヤレベルのトランザクションの遮断をしたり、帯域制限をしたり、遅延付加をしたりすることを特徴とするものである。詳細には、帯域制御装置が、規制対象となるデータを検知した際に、該検知した規制対象となるデータのアプリケーションレイヤレベルの新規のL7セッション(トランザクション)トラフィックの通過を禁止することになる。また、帯域制御装置においてアプリケーションレイヤレベルの終端処理を行っている場合には、セッションの確立を拒絶することになる。また、L3トラフィック、または、L4コネクショントラフィックの流量(=帯域)を規定値以下に制限することになる。また、規制対象となるデータのアプリケーションレイヤレベルのデータに対し、規定値の遅延を付加し、規制対象となるデータのアプリケーションレイヤレベルの処理時間を増大させることになる。 First, the bandwidth control apparatus in this embodiment will be described.
The bandwidth control device in the present embodiment is a bandwidth control device that is a network device deployed between information processing devices connected via a network, and the bandwidth control device is an application layer for data transmitted from the information processing device. When the data to be regulated is detected and the regulated data is detected, a series of L3 traffic, L4 connection, and application layer level transactions of the detected regulated data are blocked, or the bandwidth is limited. Or adding a delay. Specifically, when the bandwidth control device detects the data to be regulated, the new L7 session (transaction) traffic at the application layer level of the detected data to be regulated is prohibited. In addition, when application band level termination processing is performed in the bandwidth control device, session establishment is rejected. Further, the flow rate (= bandwidth) of the L3 traffic or the L4 connection traffic is limited to a specified value or less. In addition, a delay of a specified value is added to the data at the application layer level of the data to be regulated, thereby increasing the processing time at the application layer level of the data to be regulated.

なお、規制対象となるデータとしては、以下の(1)〜(5)の場合のデータが挙げられる。
(1)特定のL3アドレスのデータトラフィック量が規定値を超過した場合(なお、データトラフィック量が規定値を超過したか否かを判断する際の判断基準としては、単位時間あたりのデータトラフィック量、または、データトラフィック量の総量が挙げられる)。
(2)特定のL3アドレスのL4コネクション数が規定値を超過した場合(判断基準としては、(1)と同様に、単位時間あたり、または、総量)。
(3)アプリケーションレイヤレベルにおいて識別される情報処理装置を監視対象とし、該監視対象とした情報処理装置からのデータトラフィック量が規定値を超過した場合(判断基準としては、(1)と同様に、単位時間あたり、または、総量)。
(4)特定の情報処理装置からのL4コネクション数が規定値を超過した場合(判断基準としては、(1)と同様に、単位時間あたり、または、総量)。
(5)特定の情報処理装置からのアプリケーションレイヤレベルでのトランザクション数が規定値を超過した場合(判断基準としては、(1)と同様に、単位時間あたり、または、総量)。
なお、上記の(1)〜(5)の各場合を組み合わせた場合を基に規制対象となるデータとすることも可能である。 The data to be regulated include data in the following cases (1) to (5).
(1) When the amount of data traffic of a specific L3 address exceeds a specified value (Note that the criteria for determining whether or not the amount of data traffic exceeds the specified value is the amount of data traffic per unit time Or the total amount of data traffic).
(2) When the number of L4 connections of a specific L3 address exceeds a specified value (as a judgment criterion, as in (1), per unit time or total amount).
(3) When an information processing apparatus identified at the application layer level is a monitoring target, and the amount of data traffic from the information processing apparatus that is the monitoring target exceeds a specified value (the determination criterion is the same as (1) , Per unit time or total amount).
(4) When the number of L4 connections from a specific information processing apparatus exceeds a specified value (as a determination criterion, as in (1), per unit time or total amount).
(5) When the number of transactions at the application layer level from a specific information processing apparatus exceeds a specified value (as a criterion for judgment, per unit time or the total amount as in (1)).
In addition, it is also possible to use the data to be regulated based on the case where the above cases (1) to (5) are combined.

また、本実施形態における帯域制御装置は、アプリケーションレイヤレベルのデータの遷移状態を監視し、該監視するアプリケーションレイヤレベルのデータの遷移状態を基に、規制対象となるデータを検知した際に、該検知した規制対象となるデータの一連のL3トラフィック、L4コネクション、アプリケーションレイヤレベルのトランザクションの遮断をしたり、帯域制限をしたり、遅延付加をしたりすることを特徴とするものである。   Further, the bandwidth control apparatus according to the present embodiment monitors the transition state of the application layer level data, and detects the data subject to regulation based on the transition state of the application layer level data to be monitored. It is characterized by blocking a series of L3 traffic, L4 connection, and application layer level transactions of the detected data to be regulated, limiting the bandwidth, and adding a delay.

なお、アプリケーションレイヤレベルのデータの遷移状態を監視する際の処理動作は、上述した規制対象となるデータを検知する際の処理動作と同様である。特に、SMTP(Simple Mail Transfer Protocol)による電子メール(以下、メールと称す)配信システムにおいて、配送元のSMTPサーバ、および、配送先のSMTPサーバのIPアドレス単位、メール配信のTCPコネクション単位、メール配信のSMTPトランザクション単位に、配信メールのIPパケット数、TCPコネクション数、送信メール数、SMTPトランザクションの継続時間、SMTPメッセージの送信元メールアドレス(Mail From)数、SMTPメッセージの宛先メールアドレス(Rcpt−To)数、SMTPエラー応答数、同時に確立するTCPコネクション数、同時に確立するSMTPトランザクション数、を計測し、各計測値の何れかが、事前に設定していた規定値を超過した際に、または、その規定値を超過した複数の計測値の組み合わせにより、規制対象となるデータと判断し、以後、その規制対象となるデータに合致するIPパケット、TCPコネクション、SMTPトランザクションに対して規制処理を実施することになる。なお、規制対象となるデータを予め設定することも可能である。   The processing operation when monitoring the transition state of data at the application layer level is the same as the processing operation when detecting the data to be regulated as described above. In particular, in an electronic mail (hereinafter referred to as mail) distribution system using SMTP (Simple Mail Transfer Protocol), the IP address of the SMTP server of the delivery source and the SMTP server of the delivery destination, the TCP connection unit of the mail delivery, the mail delivery The number of IP packets of delivery mail, the number of TCP connections, the number of outgoing mails, the duration of an SMTP transaction, the number of sender mail addresses (Mail From) of SMTP messages, and the destination mail address of SMTP messages (Rcpt-To) ), The number of SMTP error responses, the number of TCP connections established at the same time, the number of SMTP transactions established at the same time, and any one of the measured values is set in advance Is exceeded, or a combination of a plurality of measurement values exceeding the specified value is determined as data to be regulated, and thereafter, IP packets, TCP connections, and SMTP transactions that match the data to be regulated Will be subject to regulatory processing. It is also possible to preset data to be regulated.

また、規制対象となるデータに対する規制制御は、IPレベルと、TCPレベルと、SMTPレベルと、に分かれて行われることになる。規制対象となるデータに対するIPレベルの規制制御は、IPパケットの廃棄と、IPパケットの遅延付加と、IPパケットの帯域規制(ポリシング、シェーピング)と、である。また、規制対象となるデータに対するTCPレベルの規制制御は、TCPコネクションの切断と、TCPコネクションのコネクション数の規制(新規TCPコネクションの受付拒否)と、TCPのACK応答遅延付加と、である。また、規制対象となるデータに対するSMTPトランザクションレベルの規制制御は、SMTPトランザクションの強制終了と、SMTPトランザクションのトランザクション数の規制(新規SMTPトランザクションの通過拒否)と、SMTPコマンド応答の遅延付加と、である。   Further, the restriction control for the data to be restricted is performed separately for the IP level, the TCP level, and the SMTP level. The IP-level regulation control for the data to be regulated includes IP packet discard, IP packet delay addition, and IP packet bandwidth regulation (policing and shaping). The TCP level restriction control for the data to be restricted includes disconnection of the TCP connection, restriction of the number of TCP connections (rejection of new TCP connections), and addition of a TCP ACK response delay. Further, the restriction control of the SMTP transaction level for the data subject to restriction is forcibly termination of the SMTP transaction, restriction of the number of transactions of the SMTP transaction (rejection of passage of new SMTP transaction), and delay addition of the SMTP command response. .

また、本実施形態における帯域制御装置は、ポート番号に、SMTPが含まれていないパケットデータを、規制対象となるデータから除外する機能と、ポート番号に、SMTPが含まれており、尚且つ、該パケットデータのIPアドレスが、規制対象外とする特定の送信元IPアドレスまたは宛先IPアドレスであるパケットデータを、規制対象となるデータから除外する機能と、規制対象外とする特定のメールアドレスが含まれるパケットデータを、規制対象となるデータから除外する機能と、の少なくとも1つの機能を搭載することも可能である。   In addition, the bandwidth control device according to the present embodiment includes a function for excluding packet data that does not include SMTP in the port number from the data to be regulated, and the port number includes SMTP. A function of excluding packet data whose IP address of the packet data is a specific source IP address or destination IP address that is not subject to restriction from data subject to restriction, and a specific mail address that is not subject to restriction It is also possible to mount at least one function of excluding the included packet data from the data to be regulated.

以下、添付図面を参照しながら、本実施形態におけるアプリケーション帯域制御装置について説明する。   Hereinafter, an application band control apparatus according to the present embodiment will be described with reference to the accompanying drawings.

本実施形態におけるアプリケーション帯域制御装置は、外部の通信機器から受信するデータのアプリケーションレイヤのデータ内容を検査し、規制対象となるデータを検知した際に、該検知した規制対象となるデータのL3トラフィック、L4コネクション、アプリケーションレイヤレベルのトランザクションに対して規制制御を行い、ネットワークリソースを公平に利用させることを可能とするものである。   The application bandwidth control apparatus according to the present embodiment inspects the data content of the application layer of the data received from the external communication device, and when detecting the data to be regulated, the L3 traffic of the detected data to be regulated , L4 connection and application layer level transactions are regulated and network resources can be used fairly.

具体的には、規制対象となるデータのL3トラフィック、L4コネクション、アプリケーションレイヤレベルのトランザクションの遮断処理をしたり、帯域制限処理をしたり、遅延付加処理をしたりすることで、悪質と考えられるユーザが使用するMTAから送信されるメールトラフィックに対して自律的に規制をかけ、SPAMメールによるトラフィックの増大を軽減することを特徴とするものである。   Specifically, it is considered malicious by performing block processing of L3 traffic, L4 connection, and application layer level transactions of data subject to regulation, bandwidth limitation processing, and delay addition processing. The mail traffic transmitted from the MTA used by the user is autonomously restricted, and the increase in traffic due to the SPAM mail is reduced.

図3は、本実施形態におけるアプリケーション帯域制御装置(1)を配置したメール配信システムの概略図である。なお、図3に示すメール配信システムは図1に示す従来のメール配信システムに対応するシステム構成である。   FIG. 3 is a schematic diagram of a mail delivery system in which the application bandwidth control device (1) in the present embodiment is arranged. The mail delivery system shown in FIG. 3 has a system configuration corresponding to the conventional mail delivery system shown in FIG.

図3に示すメール配信システムは、アプリケーション帯域制御装置(1)が、悪意を持ったユーザの使用するMTA(2−4)から配信されるメールトラフィック(6)に対してのみ規制をかけ、MTA(2−4)から配信される一部のトラフィック(4)のみをMTA(2−2)に対して配信する状態を示すものである。なお、アプリケーション帯域制御装置(1)は、MTA(2−5)から配信されるメールトラフィック(5)は正常にMTA(2−2)に配信している。   In the mail delivery system shown in FIG. 3, the application bandwidth control device (1) regulates only the mail traffic (6) delivered from the MTA (2-4) used by the malicious user. Only a part of traffic (4) distributed from (2-4) is distributed to MTA (2-2). The application bandwidth control device (1) normally distributes the mail traffic (5) distributed from the MTA (2-5) to the MTA (2-2).

また、図4は、本実施形態におけるアプリケーション帯域制御装置(1)を配置した別のメール配信システムの概略図である。なお、図4に示すメール配信システムは図2に示す従来のメール配信システムに対応するシステム構成である。   FIG. 4 is a schematic diagram of another mail delivery system in which the application bandwidth control device (1) in the present embodiment is arranged. The mail delivery system shown in FIG. 4 has a system configuration corresponding to the conventional mail delivery system shown in FIG.

図4に示すメール配信システムは、アプリケーション帯域制御装置(1)が、悪意を持ったユーザの使用するMTA(2−2)から配信されたSPAMメールに対して規制をかけ、管理ドメイン(3)の外部のMTA(2−4、2−5)への配信を停止している状態を示すものである。なお、アプリケーション帯域制御装置(1)は、管理ドメイン(3)内の他のMTA(2−1)、MTA(2−3)から配信されるメールトラフィックは正常に外部のMTA(2−4、2−5)に配信している。   In the mail delivery system shown in FIG. 4, the application bandwidth control device (1) regulates the SPAM mail delivered from the MTA (2-2) used by the malicious user, and the management domain (3) It shows a state where distribution to the external MTA (2-4, 2-5) is stopped. Note that the application bandwidth control device (1) is configured so that the mail traffic distributed from the other MTA (2-1) and MTA (2-3) in the management domain (3) is normally external MTA (2-4, 2-5).

次に、図5〜図11を参照しながら、本実施形態におけるアプリケーション帯域制御装置(1)について説明する。なお、図5は、本実施形態におけるアプリケーション帯域制御装置(1)の構成例を示すブロック図であり、図5には、一実施例として、メールを対象としたアプリケーション帯域制御装置(1)の構成例を示している。また、図6は、図5に示すL3/L4通過許可リスト(35)のデータベースの構成例を示す。また、図7は、図5に示すL3/L4規制対象リスト(36)のデータベースの構成例を示す。また、図8は、図5に示すアプリケーション通過許可リスト(55)のデータベースの構成例を示す。また、図9〜図11は、図5に示すアプリケーション規制対象リスト(56)及び規制対象リスト(66)のデータベースの構成例を示す。なお、本実施例ではL3レイヤとしてIPを、L4レイヤとしてTCPを、アプリケーションレイヤとしてSMTPを用いた場合を例にとり説明する。   Next, the application band control device (1) in the present embodiment will be described with reference to FIGS. FIG. 5 is a block diagram showing a configuration example of the application bandwidth control apparatus (1) in the present embodiment. FIG. 5 shows an example of the application bandwidth control apparatus (1) for mail as an example. A configuration example is shown. FIG. 6 shows a configuration example of the database of the L3 / L4 passage permission list (35) shown in FIG. FIG. 7 shows a configuration example of the database of the L3 / L4 restriction target list (36) shown in FIG. FIG. 8 shows a configuration example of the database of the application pass permission list (55) shown in FIG. 9 to 11 show configuration examples of the database of the application restriction target list (56) and the restriction target list (66) shown in FIG. In the present embodiment, a case where IP is used as the L3 layer, TCP is used as the L4 layer, and SMTP is used as the application layer will be described as an example.

(アプリケーション帯域制御装置(1)の構成)
まず、図5を参照しながら、本実施形態におけるアプリケーション帯域制御装置(1)の構成について説明する。
アプリケーション帯域制御装置(1)は、図5に示すように、ネットワークインタフェース(20)と、トラフィック制御部(30)と、L4終端部(40)と、アプリケーション処理部(50)と、判定部(60)と、を有して構成される。 (Configuration of Application Bandwidth Control Device (1))
First, the configuration of the application bandwidth control device (1) in the present embodiment will be described with reference to FIG.
As shown in FIG. 5, the application bandwidth control device (1) includes a network interface (20), a traffic control unit (30), an L4 termination unit (40), an application processing unit (50), and a determination unit ( 60).

(ネットワークインタフェース(20)の構成)
ネットワークインタフェース(20)は、1つ以上の入出力ポートを有して構成されている。なお、図5に示すネットワークインタフェース(20)は、2つの入出力ポートを具備する構成例を示しており、入力ポート(21)、及び、出力ポート(23)は管理ドメイン(3)内の機器と接続するポートとである。また、入力ポート(22)、及び、出力ポート(24)は管理ドメイン(3)外の機器と接続するポートである。 (Configuration of network interface (20))
The network interface (20) has one or more input / output ports. The network interface (20) shown in FIG. 5 shows a configuration example having two input / output ports, and the input port (21) and the output port (23) are devices in the management domain (3). And a port to be connected. The input port (22) and the output port (24) are ports connected to devices outside the management domain (3).

(ネットワークインタフェース(20)の機能)
ネットワークインタフェース(20)は、物理レイヤ(layer1)、および、データリンクレイヤ(layer2)の終端処理を行う。なお、本実施例では、物理レイヤ、データリンクレイヤの種類については特に限定しないが、以下の説明では、データリンクレイヤとしてEthernet(登録商標)を使用する場合について説明する。また、ネットワークインタフェース(20)とトラフィック制御部(30)との間はMACフレームデータによるデータ転送を行うものとする。 (Function of network interface (20))
The network interface (20) performs termination processing of the physical layer (layer 1) and the data link layer (layer 2). In the present embodiment, the types of the physical layer and the data link layer are not particularly limited. However, in the following description, a case where Ethernet (registered trademark) is used as the data link layer will be described. In addition, data transfer using MAC frame data is performed between the network interface (20) and the traffic control unit (30).

ネットワークインタフェース(20)は、管理ドメイン内の入力ポート(21)、または、管理ドメイン外の入力ポート(22)を介してネットワークから受信したMACフレームデータをトラフィック制御部(30)のL3データ受信部(31)に送信する。また、ネットワークインタフェース(20)は、トラフィック制御部(30)のL3データ送信部(32)から受信したMACフレームデータを、管理ドメイン内の出力ポート(23)、または、管理ドメイン外の出力ポート(24)を介してネットワークへ送信する。   The network interface (20) receives the MAC frame data received from the network via the input port (21) in the management domain or the input port (22) outside the management domain, and the L3 data reception unit of the traffic control unit (30). To (31). Further, the network interface (20) receives the MAC frame data received from the L3 data transmission unit (32) of the traffic control unit (30) as an output port (23) in the management domain or an output port ( 24) to the network.

(トラフィック制御部(30)の構成)
トラフィック制御部(30)は、ネットワークインタフェース(20)と、L4終端部(40)と、判定部(60)と、接続している。
なお、トラフィック制御部(30)は、L3データ受信部(31)と、L3データ送信部(32)と、L3データ計測部(33)と、データバッファ(34)と、L3/L4通過許可リスト(35)と、L3/L4規制対象リスト(36)と、を有して構成される。 (Configuration of traffic control unit (30))
The traffic control unit (30) is connected to the network interface (20), the L4 termination unit (40), and the determination unit (60).
The traffic control unit (30) includes an L3 data reception unit (31), an L3 data transmission unit (32), an L3 data measurement unit (33), a data buffer (34), and an L3 / L4 passage permission list. (35) and an L3 / L4 restriction target list (36).

(L3データ受信部(31)の機能)
L3データ受信部(31)は、ネットワークインタフェース(20)から送信されるMACフレームデータを受信する。そして、L3データ受信部(31)は、ネットワークインタフェース(20)から受信したMACフレームデータを基に、IPヘッダ情報の抽出処理、IPアドレスの抽出処理、上位プロトコル(TCP/UDPほか)の特定処理を行う。なお、L3データ受信部(31)は、上位プロトコルの特定処理により、上位プロトコルが特定できた場合には、その特定できた上位プロトコルのTCPヘッダ情報をMACフレームデータから抽出することになる。なお、L3データ受信部(31)は、ネットワークインタフェース(20)から受信したMACフレームデータを、データバッファ(34)に一旦格納することになる。 (Function of L3 data receiver (31))
The L3 data receiving unit (31) receives MAC frame data transmitted from the network interface (20). Then, the L3 data receiving unit (31), based on the MAC frame data received from the network interface (20), extracts the IP header information, extracts the IP address, and specifies the upper protocol (TCP / UDP, etc.) I do. In addition, when the higher level protocol can be specified by the higher level protocol specifying process, the L3 data receiving unit (31) extracts the TCP header information of the specified higher level protocol from the MAC frame data. The L3 data receiving unit (31) temporarily stores the MAC frame data received from the network interface (20) in the data buffer (34).

また、L3データ受信部(31)は、L3データ受信部(31)において、MACフレームデータから抽出したIPヘッダ情報とTCPヘッダ情報とを基に、L3/L4通過許可リスト(35)に格納されている規制対象外とするデータのIPアドレスとTCPコネクション情報(図6参照)、または、L3/L4規制対象リスト(36)に格納されている規制対象となるデータのIPアドレスとTCPコネクション情報(図7参照)を参照し、データバッファ(34)に一旦格納したMACフレームデータを、L3データ送信部(32)に転送するか、または、L4データ受信部(41)に転送するか、または、トラフィック制御部(30)内で廃棄するか、を決定することになる。なお、IPアドレスは、MACフレームデータから抽出した送信元IPアドレス(図6、図7のIP SA)、宛先IPアドレス(図6、図7のIP DA)を一組とした情報であり、IPアドレスを識別するために使用するものである。また、TCPコネクション情報は、送信元IPアドレス(図6、図7のIP SA)、宛先IPアドレス(図6、図7のIP DA)、プロトコル(図6、図7のProtocol)、送信元ポート番号(図6、図7のSP)、宛先ポート番号(図6、図7のDP)を一組とした情報であり、TCPコネクションを識別するために使用する情報である。   The L3 data receiving unit (31) is stored in the L3 / L4 passage permission list (35) based on the IP header information and the TCP header information extracted from the MAC frame data in the L3 data receiving unit (31). The IP address and TCP connection information (see FIG. 6) of the data to be excluded from the restriction target (see FIG. 6), or the IP address and TCP connection information of the restriction target data stored in the L3 / L4 restriction target list (36) Referring to FIG. 7), the MAC frame data once stored in the data buffer (34) is transferred to the L3 data transmission unit (32), transferred to the L4 data reception unit (41), or It is decided whether or not to discard within the traffic control unit (30). The IP address is information that is a set of a source IP address (IP SA in FIGS. 6 and 7) and a destination IP address (IP DA in FIGS. 6 and 7) extracted from the MAC frame data. It is used to identify an address. The TCP connection information includes a source IP address (IP SA in FIGS. 6 and 7), a destination IP address (IP DA in FIGS. 6 and 7), a protocol (Protocol in FIGS. 6 and 7), and a source port. This information is a set of a number (SP in FIGS. 6 and 7) and a destination port number (DP in FIGS. 6 and 7), and is information used to identify a TCP connection.

L3データ受信部(31)は、データバッファ(34)に一旦格納したMACフレームデータが、L3/L4通過許可リスト(35)に格納されている規制対象外とするIPアドレス、または、TCPコネクション情報に合致すると判断した場合には、L3データ受信部(31)は、そのMACフレームデータをL3データ送信部(32)に転送することになる。なお、この処理をパケットスルー処理と称することにする。   The L3 data receiving unit (31) receives the IP address or the TCP connection information from which the MAC frame data once stored in the data buffer (34) is not regulated, stored in the L3 / L4 passage permission list (35). If it is determined that it matches, the L3 data receiving unit (31) transfers the MAC frame data to the L3 data transmitting unit (32). This process is referred to as a packet through process.

また、L3データ受信部(31)は、データバッファ(34)に一旦格納したMACフレームデータが、L3/L4通過許可リスト(35)に格納されている規制対象外とするIPアドレス、または、TCPコネクション情報に合致せず、L3/L4規制対象リスト(36)に格納されている規制対象となるIPアドレス、または、TCPコネクション情報に合致しないと判断した場合には、L3データ受信部(31)は、そのMACフレームデータをL4データ受信部(41)に転送することになる。なお、この処理をアプリケーション中継処理と称することにする。   In addition, the L3 data receiving unit (31) is configured such that the MAC frame data once stored in the data buffer (34) is an IP address that is not subject to restriction stored in the L3 / L4 passage permission list (35), or TCP If it does not match the connection information and it is determined that it does not match the IP address to be regulated stored in the L3 / L4 regulation target list (36) or the TCP connection information, the L3 data receiving unit (31) The MAC frame data is transferred to the L4 data receiving unit (41). This process is referred to as an application relay process.

また、L3データ受信部(31)は、データバッファ(34)に一旦格納したMACフレームデータが、L3/L4通過許可リスト(35)に格納されている規制対象外とするIPアドレス、または、TCPコネクション情報に合致せず、L3/L4規制対象リスト(36)に格納されている規制対象となるIPアドレス、または、TCPコネクション情報に合致すると判断した場合には、L3データ受信部(31)は、L3/L4規制対象リスト(36)内の規制動作フィールド(図7の規制動作)を参照し、そのMACフレームデータを、L4データ受信部(41)へ転送するか(アプリケーション中継処理)、または、トラフィック制御部(30)内で廃棄処理するか(MACフレームデータ破棄処理)、を決定することになる。   In addition, the L3 data receiving unit (31) is configured such that the MAC frame data once stored in the data buffer (34) is an IP address that is not subject to restriction stored in the L3 / L4 passage permission list (35), or TCP If it does not match the connection information and it is determined that it matches the IP address to be restricted stored in the L3 / L4 restriction target list (36) or the TCP connection information, the L3 data receiving unit (31) , Refer to the restriction operation field (restriction action of FIG. 7) in the L3 / L4 restriction target list (36), and transfer the MAC frame data to the L4 data receiving unit (41) (application relay process), or In the traffic control unit (30), whether to discard (MAC frame data discarding process) is determined.

例えば、L3データ受信部(31)は、図7に示すL3/L4規制対象リスト(36)内の「規制動作」が「中継」であると判断した場合には、MACフレームデータを、L4データ受信部(41)へ転送することになる(アプリケーション中継処理)。また、L3データ受信部(31)は、図7に示すL3/L4規制対象リスト(36)内の「規制動作」が「廃棄」であると判断した場合には、MACフレームデータを、トラフィック制御部(30)内で廃棄処理することになる(MACフレームデータ破棄処理)。   For example, if the L3 data receiving unit (31) determines that the “restriction operation” in the L3 / L4 restriction target list (36) shown in FIG. The data is transferred to the receiving unit (41) (application relay processing). When the L3 data receiving unit (31) determines that the “restriction operation” in the L3 / L4 restriction target list (36) illustrated in FIG. 7 is “discard”, the L3 data reception unit (31) performs traffic control on the MAC frame data. It is discarded in the part (30) (MAC frame data discarding process).

また、L3データ受信部(31)は、L3データ受信部(31)において抽出したIPヘッダ情報とTCPヘッダ情報とをL3データ計測部(33)に送信することになる。また、L3データ受信部(31)は、データバッファ(34)に一旦格納したMACフレームデータを、L4データ受信部(41)に転送する場合には、そのMACフレームデータから抽出したIPヘッダ情報とTCPヘッダ情報とをL4データ受信部(41)に転送することになる。   In addition, the L3 data receiving unit (31) transmits the IP header information and the TCP header information extracted by the L3 data receiving unit (31) to the L3 data measuring unit (33). When the L3 data receiving unit (31) transfers the MAC frame data once stored in the data buffer (34) to the L4 data receiving unit (41), the IP header information extracted from the MAC frame data and The TCP header information is transferred to the L4 data receiving unit (41).

なお、L3データ受信部(31)は、判定部(60)からの指定により、L3/L4通過許可リスト(35)、L3/L4規制対象リスト(36)に登録されているIPアドレス、または、TCPコネクション情報を基に、MACフレームデータに対して、パケットスルー処理、アプリケーション中継処理、MACフレームデータ破棄処理を実施することになる。   Note that the L3 data receiving unit (31) can receive an IP address registered in the L3 / L4 passage permission list (35), the L3 / L4 restriction target list (36), or by the designation from the determination unit (60), or Based on the TCP connection information, packet through processing, application relay processing, and MAC frame data discarding processing are performed on the MAC frame data.

(L3データ送信部(32)の機能)
L3データ送信部(32)は、データバッファ(34)を介してL3データ受信部(31)から受信したMACフレームデータをネットワークインタフェース(20)に送信する。また、L3データ送信部(32)は、L4終端部(40)内のL4データ送信部(42)から送信されるTCPデータを受信し、該受信したTCPデータに対して、該TCPデータの属するIPヘッダ情報を付与し、IPデータを構築する。そして、L3データ送信部(32)は、該構築したIPデータに対しMACヘッダ情報を付与し、MACフレームデータを作成し、その作成したMACフレームデータをネットワークインタフェース(20)に送信することになる。なお、L3データ送信部(32)は、L3データ送信部(32)において構築したIPデータが規制対象のIPデータである場合には、データバッファ(34)にIPデータを一旦格納し、送信規制処理を行った後に、データバッファ(34)に一旦格納したIPデータを取り出し、該取り出したIPデータに対してMACヘッダ情報を付与し、MACフレームデータを作成し、その作成したMACフレームデータをネットワークインタフェース(20)に送信することになる。 (Function of L3 data transmission unit (32))
The L3 data transmission unit (32) transmits the MAC frame data received from the L3 data reception unit (31) to the network interface (20) via the data buffer (34). The L3 data transmission unit (32) receives TCP data transmitted from the L4 data transmission unit (42) in the L4 termination unit (40), and the TCP data belongs to the received TCP data. IP header information is assigned and IP data is constructed. Then, the L3 data transmission unit (32) attaches MAC header information to the constructed IP data, creates MAC frame data, and transmits the created MAC frame data to the network interface (20). . The L3 data transmission unit (32) temporarily stores the IP data in the data buffer (34) when the IP data constructed in the L3 data transmission unit (32) is the IP data to be regulated, and the transmission regulation. After processing, the IP data once stored in the data buffer (34) is taken out, MAC header information is added to the taken out IP data, MAC frame data is created, and the created MAC frame data is transferred to the network. It is transmitted to the interface (20).

なお、L3データ送信部(32)は、判定部(60)からの指定により、L3/L4規制対象リスト(36)に登録されているIPアドレス、または、TCPコネクション情報に合致するIPデータと判断し、尚かつ、規制動作が「遅延」に該当するIPデータに対し、送信規制処理(遅延付加処理)を実施することになる。   Note that the L3 data transmission unit (32) determines that the IP data matches the IP address registered in the L3 / L4 restriction target list (36) or the TCP connection information according to the designation from the determination unit (60). In addition, transmission restriction processing (delay addition processing) is performed on IP data whose restriction operation corresponds to “delay”.

(L3データ計測部(33)の機能)
L3データ計測部(33)は、L3データ受信部(31)から送信されたIPヘッダ情報とTCPヘッダ情報とを受信し、該受信したIPヘッダ情報とTCPヘッダ情報とを基に、同一送信元IPアドレスで、同一宛先ポート番号(本実施例では、SMTP)のTCPコネクション数、または、同一宛先IPアドレスで、同一送信元ポート番号(本実施例ではSMTP)のTCPコネクション数の計測を行うことになる。 (Function of L3 data measurement unit (33))
The L3 data measuring unit (33) receives the IP header information and TCP header information transmitted from the L3 data receiving unit (31), and based on the received IP header information and TCP header information, the same transmission source Measure the number of TCP connections for the same destination port number (SMTP in this embodiment) with the IP address or the number of TCP connections for the same source port number (SMTP in this embodiment) with the same destination IP address. become.

L3データ計測部(33)は、L3データ受信部(31)から受信したIPヘッダ情報とTCPヘッダ情報とを基に計測した、同一送信元IPアドレスで、同一宛先ポート番号のTCPコネクション数、または、同一宛先IPアドレスで、同一送信元ポート番号のTCPコネクション数が、L3データ計測部(33)に予め設定されている規定値以上になったと判定した場合に、その規定値以上になったと判定したIPヘッダ情報とTCPヘッダ情報とを判定部(60)に送信することになる。   The L3 data measuring unit (33) measures the number of TCP connections with the same source IP address and the same destination port number measured based on the IP header information and the TCP header information received from the L3 data receiving unit (31), or When it is determined that the number of TCP connections with the same destination IP address and the same transmission source port number is equal to or greater than a predetermined value preset in the L3 data measurement unit (33), it is determined that the number is equal to or greater than the predetermined value. The transmitted IP header information and TCP header information are transmitted to the determination unit (60).

(データバッファ(34)の機能)
データバッファ(34)は、L3データ受信部(31)とL3データ送信部(32)とから送信されるデータ(L3データ受信部(31)からはMACフレームデータ、L3データ送信部(32)からはIPデータ)を一時的に保存するために使用するものである。 (Function of data buffer (34))
The data buffer (34) is transmitted from the L3 data receiving unit (31) and the L3 data transmitting unit (32) (from the L3 data receiving unit (31) to the MAC frame data, from the L3 data transmitting unit (32)). Is used for temporarily storing IP data).

(L3/L4通過許可リスト(35)、L3/L4規制対象リスト(36)の機能)
L3/L4通過許可リスト(35)は、規制対象外とするデータのIPアドレスと、TCPコネクション情報と、が格納されている。L3/L4通過許可リスト(35)に格納されているデータに関しては、規制動作は全て通過処理(パケットスルー処理)を行うことになるため、L3/L4通過許可リスト(35)には、規制動作を示す規制動作情報の項目が存在しないことになる。また、L3/L4規制対象リスト(36)には、規制対象となるデータのIPアドレスと、TCPコネクション情報と、規制動作情報と、が格納されている。 (Functions of the L3 / L4 passage permission list (35) and the L3 / L4 restriction target list (36))
The L3 / L4 passage permission list (35) stores an IP address of data that is not subject to restriction and TCP connection information. With respect to data stored in the L3 / L4 passage permission list (35), all the restriction operations are to be performed as a passage process (packet-through process). Therefore, the L3 / L4 passage permission list (35) includes a restriction operation. This means that there is no restriction operation information item indicating. The L3 / L4 restriction target list (36) stores an IP address of data to be restricted, TCP connection information, and restriction operation information.

なお、L3/L4通過許可リスト(35)と、L3/L4規制対象リスト(36)と、に格納される情報は、判定部(60)から設定されることになる。また、L3/L4通過許可リスト(35)と、L3/L4規制対象リスト(36)と、に格納されている情報は、L3データ受信部(31)が参照し、L3データ受信部(31)において抽出したIPヘッダ情報とTCPヘッダ情報との照合用に使用されることになる。なお、L3/L4通過許可リスト(35)のデータ構造の構成例を図6に示す。また、L3/L4規制対象リスト(36)のデータ構造の構成例を図7に示す。   The information stored in the L3 / L4 passage permission list (35) and the L3 / L4 restriction target list (36) is set from the determination unit (60). The information stored in the L3 / L4 passage permission list (35) and the L3 / L4 restriction target list (36) is referred to by the L3 data receiving unit (31), and the L3 data receiving unit (31). Is used for collation between the IP header information extracted in step 1 and the TCP header information. An example of the data structure of the L3 / L4 passage permission list (35) is shown in FIG. An example of the data structure of the L3 / L4 restriction target list (36) is shown in FIG.

図6に示すL3/L4通過許可リスト(35)は、IPの送信元アドレス:IP SAと、IPの宛先アドレス:IP DAと、Protocolと、送信元ポート番号:SP(Source Port)と、宛先ポート番号:DP(Destination Port)と、を有して構成されるデータ構造となっている。   The L3 / L4 passage permission list (35) shown in FIG. 6 includes an IP source address: IP SA, an IP destination address: IP DA, Protocol, a source port number: SP (Source Port), and a destination. The data structure includes a port number: DP (Destination Port).

図7に示すL3/L4規制対象リスト(36)は、L3/L4通過許可リスト(35)に、規制動作を示す規制動作情報の項目が新たに追加されたデータ構造となっている。なお、規制動作としては、本実施例では、中継(アプリケーション中継処理)、遅延(遅延付加処理)、廃棄(MACフレームデータ破棄処理)が挙げられる。   The L3 / L4 restriction target list (36) shown in FIG. 7 has a data structure in which items of restriction operation information indicating restriction actions are newly added to the L3 / L4 passage permission list (35). In this embodiment, the restriction operation includes relay (application relay processing), delay (delay addition processing), and discard (MAC frame data discard processing).

(L4終端部(40)の構成)
L4終端部(40)は、トラフィック制御部(30)と、アプリケーション処理部(50)と、判定部(60)と、接続している。
なお、L4終端部(40)は、L4データ受信部(41)と、L4データ送信部(42)と、L4データ計測部(43)と、データバッファ(44)と、を有して構成される。 (Configuration of L4 terminal portion (40))
The L4 termination unit (40) is connected to the traffic control unit (30), the application processing unit (50), and the determination unit (60).
The L4 termination unit (40) includes an L4 data reception unit (41), an L4 data transmission unit (42), an L4 data measurement unit (43), and a data buffer (44). The

(L4データ受信部(41)の機能)
L4データ受信部(41)は、トラフィック制御部(30)のL3データ受信部(31)から送信されたMACフレームデータ、及び、IPヘッダ情報とTCPヘッダ情報とを受信する。L4データ受信部(41)は、トラフィック制御部(30)のL3データ受信部(31)から送信されたMACフレームデータを受信するとTCPの終端処理を行うことになる。なお、TCPの終端処理としては、TCPコネクションの状態遷移管理、TCPコネクションのオープン処理(3ウェイ・ハンド・シェーク)、TCPコネクションのクローズ処理(4ウェイ・ハンド・シェーク)、MACフレームデータからのTCPデータの取り出し処理、到着パケットの順序管理、SMTPメッセージの再構築処理等が挙げられる。 (Function of L4 data receiving unit (41))
The L4 data receiving unit (41) receives the MAC frame data, the IP header information, and the TCP header information transmitted from the L3 data receiving unit (31) of the traffic control unit (30). When the L4 data receiving unit (41) receives the MAC frame data transmitted from the L3 data receiving unit (31) of the traffic control unit (30), the L4 data receiving unit (41) performs a TCP termination process. As TCP termination processing, TCP connection state transition management, TCP connection open processing (3-way handshake), TCP connection close processing (4-way handshake), TCP from MAC frame data Examples include data extraction processing, arrival packet order management, SMTP message reconstruction processing, and the like.

また、L4データ受信部(41)は、MACフレームデータを受信した際に、該受信したMACフレームデータに含まれる上位プロトコルデータ(本実施例ではSMTPメッセージ)の抽出処理を行い、該抽出したSMTPメッセージをSMTP中継処理用にアプリケーションデータ受信部(51)に送信する。なお、L4データ受信部(41)は、アプリケーションデータ受信部(51)からバックプレッシャー信号を受信すると、アプリケーションデータ受信部(51)に対するSMTPメッセージの送信を停止し、SMTPメッセージをデータバッファ(44)に一時的に格納することになる。そして、L4データ受信部(41)は、バックプレッシャー信号の受信が解除されることで、データバッファ(44)に一時的に格納したSMTPメッセージを読み出し、該読み出したSMTPメッセージをアプリケーションデータ受信部(51)に送信することになる。   In addition, when receiving the MAC frame data, the L4 data receiving unit (41) performs an extraction process of upper protocol data (SMTP message in the present embodiment) included in the received MAC frame data, and the extracted SMTP The message is transmitted to the application data receiving unit (51) for SMTP relay processing. When the L4 data receiving unit (41) receives the back pressure signal from the application data receiving unit (51), the L4 data receiving unit (41) stops the transmission of the SMTP message to the application data receiving unit (51), and the SMTP message is sent to the data buffer (44). Will be temporarily stored. The L4 data receiving unit (41) reads the SMTP message temporarily stored in the data buffer (44) by releasing the reception of the back pressure signal, and reads the read SMTP message to the application data receiving unit ( 51).

また、L4データ受信部(41)は、TCPの終端処理であるTCPコネクションの状態遷移管理により、個々のTCPコネクションの遷移状態を管理し、該当TCPデータのTCPコネクション情報、及び、そのTCPコネクションの開始通知および終了通知をL4データ計測部(43)に送信する。また、L4データ受信部(41)は、判定部(60)から指定されたMACフレームデータ内のTCPデータに対する受信規制処理を実施することになる。なお、TCPデータに対する受信規制処理としては、新規コネクション受付拒否(SYNパケットデータ受信時のデータ廃棄)、既接続コネクションの切断(以後の受信データの廃棄)が挙げられる。   Further, the L4 data receiving unit (41) manages the transition state of each TCP connection by the TCP connection state transition management, which is a TCP termination process, and the TCP connection information of the corresponding TCP data and the TCP connection information A start notification and an end notification are transmitted to the L4 data measurement unit (43). In addition, the L4 data receiving unit (41) performs a reception restriction process on the TCP data in the MAC frame data designated by the determining unit (60). Note that reception restriction processing for TCP data includes rejection of new connection acceptance (data discard when receiving SYN packet data) and disconnection of an already connected connection (discarding received data thereafter).

(L4データ送信部(42)の機能)
L4データ送信部(42)は、アプリケーションデータ送信部(52)からSMTP中継処理用に送信されたSMTPメッセージを受信し、該受信したSMTPメッセージを基にTCPデータの構築処理を行い、その構築処理を行ったTCPデータをL3データ送信部(32)に転送する。その際、L4データ送信部(42)は、L4データ受信部(41)内で管理するTCPコネクションの遷移状態の情報を参照し、TCPデータの送信制御を行うことになる。 (Function of L4 data transmission unit (42))
The L4 data transmission unit (42) receives the SMTP message transmitted for the SMTP relay process from the application data transmission unit (52), performs the construction process of the TCP data based on the received SMTP message, and the construction process The TCP data subjected to is transferred to the L3 data transmission unit (32). At this time, the L4 data transmission unit (42) refers to the information on the transition state of the TCP connection managed in the L4 data reception unit (41) and performs TCP data transmission control.

なお、L4データ送信部(42)は、アプリケーションデータ送信部(52)から送信されるSMTPメッセージの受信を停止したい場合には、バックプレッシャー信号をアプリケーションデータ送信部(52)に送信する。なお、L4データ送信部(42)は、判定部(60)から指定された、特定のTCPデータに対する送信規制処理を実施することになる。TCPデータに対する送信規制処理としては、新規コネクション受付拒否(SYNパケットデータ受信時のRSTパケットデータ送信)、既接続コネクションの切断(FINパケットデータ送信)、TCPのACK送出遅延等が挙げられる。   The L4 data transmission unit (42) transmits a back pressure signal to the application data transmission unit (52) when it is desired to stop receiving the SMTP message transmitted from the application data transmission unit (52). Note that the L4 data transmission unit (42) performs a transmission restriction process for specific TCP data designated by the determination unit (60). Transmission restriction processing for TCP data includes new connection acceptance rejection (RST packet data transmission when receiving SYN packet data), disconnection of already connected connection (FIN packet data transmission), TCP ACK transmission delay, and the like.

(L4データ計測部(43)の機能)
L4データ計測部(43)は、L4データ受信部(41)から送信されたTCPコネクション情報と該当TCPコネクションの開始通知、および、終了通知に基づいて、該当TCPコネクションの継続時間を計測する。 (Function of L4 data measurement unit (43))
The L4 data measuring unit (43) measures the duration of the corresponding TCP connection based on the TCP connection information, the start notification of the corresponding TCP connection, and the end notification transmitted from the L4 data receiving unit (41).

また、L4データ計測部(43)は、L4データ受信部(41)から送信されたTCPコネクション情報と該当TCPコネクションの開始通知、終了通知に基づいて、判定部(60)に、新規開始TCPコネクションと、終了TCPコネクションと、を通知する。   Also, the L4 data measurement unit (43) sends a new start TCP connection to the determination unit (60) based on the TCP connection information transmitted from the L4 data reception unit (41) and the start notification and end notification of the corresponding TCP connection. And the end TCP connection.

また、L4データ計測部(43)は、L4データ計測部(43)内で管理しているTCPコネクションの継続時間が閾値以上になった場合に、TCPコネクション情報を判定部(60)に送信することになる。なお、TCPコネクションの継続時間の閾値は、L4データ計測部(43)に予め設定しておくことになる。また、TCPコネクション継続時間の閾値は変更することも可能である。   In addition, the L4 data measurement unit (43) transmits the TCP connection information to the determination unit (60) when the duration of the TCP connection managed in the L4 data measurement unit (43) exceeds a threshold value. It will be. Note that the threshold value of the duration of the TCP connection is set in advance in the L4 data measurement unit (43). In addition, the threshold value of the TCP connection duration can be changed.

(データバッファ(44)の機能)
データバッファ(44)は、L4データ受信部(41)とL4データ送信部(42)とから送信されるデータ(L4データ受信部(41)からはSMTPメッセージ、L4データ送信部(42)からはTCPデータ)を一時的に保存するために使用するものである。 (Function of data buffer (44))
The data buffer (44) receives data transmitted from the L4 data receiving unit (41) and the L4 data transmitting unit (42) (from the L4 data receiving unit (41) to the SMTP message and from the L4 data transmitting unit (42)). (TCP data) is used for temporarily storing.

(アプリケーション処理部(50)の構成)
アプリケーション処理部(50)は、L4終端部(40)と、判定部(60)と、接続している。
なお、アプリケーション処理部(50)は、アプリケーションデータ受信部(51)と、アプリケーションデータ送信部(52)と、アプリケーションデータ計測部(53)と、データバッファ(54)と、アプリケーション通過許可リスト(55)と、アプリケーション規制対象リスト(56)と、アプリケーション実行部(57)と、を有して構成される。 (Configuration of application processing unit (50))
The application processing unit (50) is connected to the L4 termination unit (40) and the determination unit (60).
The application processing unit (50) includes an application data receiving unit (51), an application data transmitting unit (52), an application data measuring unit (53), a data buffer (54), and an application pass permission list (55). ), An application restriction target list (56), and an application execution unit (57).

(アプリケーションデータ受信部(51)の機能)
アプリケーションデータ受信部(51)は、L4データ受信部(41)から送信されるSMTPメッセージを受信する。そして、アプリケーションデータ受信部(51)は、その受信したSMTPメッセージをメッセージ単位にアプリケーション実行部(57)に送信することになる。なお、アプリケーション実行部(57)は、SMTPメッセージの量が、転送処理容量を超えたと判断した場合は、SMTPメッセージの一時的な保存が必要と判断し、バックプレッシャー信号をアプリケーションデータ受信部(51)に送信することになる。これにより、アプリケーションデータ受信部(51)は、アプリケーション実行部(57)からバックプレッシャー信号を受信することになり、アプリケーションデータ受信部(51)は、SMTPメッセージをデータバッファ(54)に一時的に格納することになる。そして、アプリケーションデータ受信部(51)は、データバッファ(54)に一時的に格納したSMTPメッセージを識別するためのSMTPメッセージ識別情報をアプリケーション実行部(57)に送信する。そして、アプリケーション実行部(57)は、SMTPメッセージの量が、転送処理容量を超えていないと判断した場合は、転送処理が可能と判断し、アプリケーション実行部(57)は、バックプレッシャー信号の送信を停止し、アプリケーションデータ受信部(51)から受信したSMTPメッセージ識別情報を基に、一時的にデータバッファ(54)に格納したSMTPメッセージを読み出すことになる。これにより、アプリケーション実行部(57)は、一時的にデータバッファ(54)に格納されたSMTPメッセージを取得することになる。 (Function of application data receiving unit (51))
The application data receiving unit (51) receives the SMTP message transmitted from the L4 data receiving unit (41). Then, the application data receiving unit (51) transmits the received SMTP message to the application executing unit (57) in message units. When the application execution unit (57) determines that the amount of the SMTP message exceeds the transfer processing capacity, the application execution unit (57) determines that the SMTP message needs to be temporarily stored, and transmits the back pressure signal to the application data reception unit (51). ) Will be sent to. As a result, the application data receiving unit (51) receives the back pressure signal from the application executing unit (57), and the application data receiving unit (51) temporarily stores the SMTP message in the data buffer (54). Will be stored. Then, the application data receiving unit (51) transmits SMTP message identification information for identifying the SMTP message temporarily stored in the data buffer (54) to the application executing unit (57). When the application execution unit (57) determines that the amount of the SMTP message does not exceed the transfer processing capacity, the application execution unit (57) determines that the transfer process is possible, and the application execution unit (57) transmits the back pressure signal. And the SMTP message temporarily stored in the data buffer (54) is read based on the SMTP message identification information received from the application data receiving unit (51). Thus, the application execution unit (57) acquires the SMTP message temporarily stored in the data buffer (54).

なお、アプリケーションデータ受信部(51)は、バックプレッシャー信号の受信が解除された際に、データバッファ(54)に一時的に格納したSMTPメッセージを読み出し、該読み出したSMTPメッセージをアプリケーション実行部(57)に送信することも可能である。   When the reception of the back pressure signal is canceled, the application data receiving unit (51) reads the SMTP message temporarily stored in the data buffer (54), and reads the read SMTP message into the application execution unit (57 ) Can also be sent.

また、アプリケーションデータ受信部(51)は、アプリケーション実行部(57)からバックプレッシャー信号を受信し、SMTPメッセージを一時的にデータバッファ(54)に格納する際に、そのデータバッファ(54)が一杯で、SMTPメッセージをデータバッファ(54)に格納できず、L4データ受信部(41)から送信されるSMTPメッセージの受信を停止したい場合には、アプリケーションデータ受信部(51)は、L4データ受信部(41)に対し、バックプレッシャー信号を送信することになる。これにより、L4データ受信部(41)は、アプリケーションデータ受信部(51)に対するSMTPメッセージの送信を停止することになり、L4データ受信部(41)は、SMTPメッセージをデータバッファ(44)に一時的に格納することになる。   The application data receiving unit (51) receives the back pressure signal from the application execution unit (57), and when the SMTP message is temporarily stored in the data buffer (54), the data buffer (54) is full. When the SMTP message cannot be stored in the data buffer (54) and it is desired to stop receiving the SMTP message transmitted from the L4 data receiving unit (41), the application data receiving unit (51) A back pressure signal is transmitted to (41). As a result, the L4 data receiving unit (41) stops transmitting the SMTP message to the application data receiving unit (51), and the L4 data receiving unit (41) temporarily stores the SMTP message in the data buffer (44). Will be stored.

(アプリケーションデータ送信部(52)の機能)
アプリケーションデータ送信部(52)は、アプリケーション実行部(57)から受信したSMTPメッセージをL4終端部(40)内のL4データ送信部(42)に送信する。なお、アプリケーションデータ送信部(52)はL4データ送信部(42)からのバックプレッシャー信号を受信すると、L4データ送信部(42)へのSMTPメッセージの送信を停止し、SMTPメッセージを一時的にデータバッファ(54)に格納することになる。そして、アプリケーションデータ送信部(52)は、バックプレッシャー信号の受信が解除された際に、データバッファ(54)に一時的に格納したSMTPメッセージを読み出し、該読み出したSMTPメッセージをL4データ送信部(42)に送信することになる。 (Function of application data transmission unit (52))
The application data transmission unit (52) transmits the SMTP message received from the application execution unit (57) to the L4 data transmission unit (42) in the L4 termination unit (40). When the application data transmission unit (52) receives the back pressure signal from the L4 data transmission unit (42), it stops transmitting the SMTP message to the L4 data transmission unit (42) and temporarily stores the SMTP message as data. It is stored in the buffer (54). When the reception of the back pressure signal is canceled, the application data transmission unit (52) reads the SMTP message temporarily stored in the data buffer (54), and reads the read SMTP message into the L4 data transmission unit ( 42).

(アプリケーション実行部(57)の機能)
アプリケーション実行部(57)は、アプリケーションデータ受信部(51)から受信したSMTPメッセージ、または、データバッファ(54)から読み出したSMTPメッセージの解釈処理、そのSMTPメッセージの転送判断処理、新規SMTPメッセージの生成処理を行うことになる。通常、アプリケーション実行部(57)は、SMTPメッセージを次のネットワークに中継することになる(SMTP中継)。この場合、アプリケーション実行部(57)は、SMTPメッセージをアプリケーションデータ送信部(52)に転送することになる。 (Function of application execution unit (57))
The application execution unit (57) interprets the SMTP message received from the application data reception unit (51) or the SMTP message read from the data buffer (54), determines whether to transfer the SMTP message, and generates a new SMTP message. Processing will be performed. Normally, the application execution unit (57) relays the SMTP message to the next network (SMTP relay). In this case, the application execution unit (57) transfers the SMTP message to the application data transmission unit (52).

なお、アプリケーション実行部(57)は、SMTPメッセージの転送処理の際に、アプリケーションデータ送信部(52)から、他のデータ処理中につきデータの送信中断の指示がされていて、SMTPメッセージの一時的な保存が必要な場合には、アプリケーション実行部(57)は、SMTPメッセージをデータバッファ(54)に一時的に格納することになる。そして、アプリケーション実行部(57)は、アプリケーションデータ送信部(52)から、データの送信中断の指示が解除された場合には、アプリケーション実行部(57)は、データバッファ(54)に一時的に格納したSMTPメッセージの読み出し処理を行い、該読み出したSMTPメッセージをアプリケーションデータ送信部(52)を介してL4データ送信部(42)に送信することになる。   The application execution unit (57) is instructed by the application data transmission unit (52) to suspend data transmission during other data processing during the SMTP message transfer process, and temporarily transmits the SMTP message. If it is necessary to save the data, the application execution unit (57) temporarily stores the SMTP message in the data buffer (54). When the application data transmission unit (52) cancels the data transmission interruption instruction, the application execution unit (57) temporarily stores the data in the data buffer (54). The stored SMTP message is read out, and the read SMTP message is transmitted to the L4 data transmission unit (42) via the application data transmission unit (52).

なお、アプリケーション実行部(57)は、アプリケーションデータ送信部(52)から、データの送信中断の指示がされていて、SMTPメッセージの一時的な保存が必要な場合には、アプリケーション実行部(57)は、SMTPメッセージをデータバッファ(54)に一時的に格納し、該格納したSMTPメッセージを識別するためのSMTPメッセージ識別情報をアプリケーションデータ送信部(52)に送信し、アプリケーションデータ送信部(52)は、データの受信が可能となったと判断した場合に、アプリケーション実行部(57)から受信したSMTPメッセージ識別情報を基に、データバッファ(54)に格納されたSMTPメッセージの読み出し処理を行い、SMTPメッセージ識別情報に該当するSMTPメッセージを取得し、該取得したSMTPメッセージをL4データ送信部(42)に送信することも可能である。   The application execution unit (57) is instructed to interrupt data transmission from the application data transmission unit (52), and the application execution unit (57) is required to temporarily store the SMTP message. Temporarily stores the SMTP message in the data buffer (54), transmits the SMTP message identification information for identifying the stored SMTP message to the application data transmission unit (52), and transmits the application data transmission unit (52). When it is determined that the data can be received, the SMTP message stored in the data buffer (54) is read out based on the SMTP message identification information received from the application execution unit (57). SMTP message corresponding to message identification information Acquires, it is also possible to send SMTP messages obtained to the L4 data transmitter (42).

また、アプリケーション実行部(57)は、SMTPメッセージの解釈処理を行った結果、SMTPトランザクションの状態と、SMTPメッセージの送信元メールアドレス、および、宛先メールアドレスの情報を抽出することになる。そして、アプリケーション実行部(57)は、SMTPメッセージから抽出したSMTPトランザクションの状態を基に、SMTP中継処理を行っているSMTPトランザクションを管理することになる。また、アプリケーション実行部(57)は、SMTPメッセージから抽出したSMTPトランザクションの状態と、SMTPメッセージの送信元メールアドレス、および、宛先メールアドレス、の情報をアプリケーションデータ計測部(53)に送信することになる。   As a result of interpreting the SMTP message, the application execution unit (57) extracts the state of the SMTP transaction, the sender mail address of the SMTP message, and the destination mail address information. Then, the application execution unit (57) manages the SMTP transaction that is performing the SMTP relay process based on the state of the SMTP transaction extracted from the SMTP message. Further, the application execution unit (57) transmits information on the state of the SMTP transaction extracted from the SMTP message, the source mail address of the SMTP message, and the destination mail address to the application data measurement unit (53). Become.

また、アプリケーション実行部(57)は、SMTPメッセージの送信元メールアドレス、および、宛先メールアドレスを基に、アプリケーション通過許可リスト(55)に格納されている規制対象外とするメールアドレス、または、アプリケーション規制対象リスト(56)に格納されている規制対象とするメールアドレスとの照合処理を行い、その照合処理の結果を基に、無条件通過、条件通過、規制処理を決定することになる。   In addition, the application execution unit (57) is a mail address that is not subject to restriction stored in the application passage permission list (55) based on the sender mail address and the destination mail address of the SMTP message, or the application Collation processing is performed with the email addresses to be regulated stored in the regulation target list (56), and unconditional passage, conditional passage, and regulation processing are determined based on the result of the collation processing.

アプリケーション実行部(57)は、SMTPメッセージの送信元メールアドレス、または、宛先メールアドレスが、アプリケーション通過許可リスト(55)に格納されているメールアドレスに合致する場合、アプリケーション実行部(57)は、該SMTPトランザクションの処理として無条件にSMTP中継処理を実施することになる。   When the sender email address or the destination email address of the SMTP message matches the email address stored in the application passage permission list (55), the application execution unit (57) The SMTP relay process is unconditionally performed as the SMTP transaction process.

また、アプリケーション実行部(57)は、SMTPメッセージの送信元メールアドレス、または、宛先メールアドレスが、アプリケーション通過許可リスト(55)に格納されているメールアドレスに合致せず、アプリケーション規制対象リスト(56)に格納されているメールアドレスに合致しない場合、アプリケーション実行部(57)は該SMTPトランザクションの処理としてSMTP中継処理を実施することになる。   Further, the application execution unit (57) does not match the mail address stored in the application passage permission list (55) because the sender mail address or the destination mail address of the SMTP message does not match the application restriction target list (56). ), The application execution unit (57) performs the SMTP relay process as the SMTP transaction process.

また、アプリケーション実行部(57)は、SMTPメッセージの送信元メールアドレス、または、宛先メールアドレスが、アプリケーション通過許可リスト(55)に格納されているメールアドレスに合致せず、アプリケーション規制対象リスト(56)に格納されているメールアドレスに合致する場合、アプリケーション実行部(57)は、アプリケーション規制対象リスト(56)内の規制内容フィールド(図9の規制動作)を参照し、該SMTPトランザクションの処理として複数の規制処理(廃棄、遅延、中継)から1つを選択して処理を実施することになる。   Further, the application execution unit (57) does not match the mail address stored in the application passage permission list (55) because the sender mail address or the destination mail address of the SMTP message does not match the application restriction target list (56). ), The application execution unit (57) refers to the restriction content field (restriction operation in FIG. 9) in the application restriction object list (56), and processes the SMTP transaction. One of a plurality of restriction processes (discard, delay, relay) is selected and the process is executed.

(アプリケーションデータ計測部(53)の機能)
アプリケーションデータ計測部(53)は、アプリケーション実行部(57)から送信された情報(SMTPトランザクションの状態と、SMTPメッセージの送信元メールアドレス、および、宛先メールアドレス、の情報)に基づいて、該当するSMTPトランザクションのメール数をIPアドレス別に計測することになる。また、アプリケーションデータ計測部(53)は、該当するSMTPトランザクションにおけるMAILコマンド数、RCPTコマンド数、SMTPエラー応答数を計測する。そして、アプリケーションデータ計測部(53)は、上記の何れかの計測数が各計測数個別の規定値以上になったと判断した場合に、その規定値以上になったSMTPトランザクション、STMPトランザクションの計測情報、を判定部(60)に送信することになる。 (Function of application data measuring unit (53))
The application data measuring unit (53) is applicable based on the information transmitted from the application execution unit (57) (information on the state of the SMTP transaction, the sender mail address of the SMTP message, and the destination mail address). The number of SMTP transaction mails is measured for each IP address. The application data measurement unit (53) measures the number of MAIL commands, the number of RCPT commands, and the number of SMTP error responses in the corresponding SMTP transaction. Then, when the application data measurement unit (53) determines that any of the above measurement numbers is equal to or greater than the prescribed value for each measurement number, the measurement information of the SMTP transaction and the STMP transaction that are greater than the prescribed value. Are transmitted to the determination unit (60).

(データバッファ(54)の機能)
データバッファ(54)は、アプリケーションデータ受信部(51)と、アプリケーションデータ送信部(52)と、アプリケーション実行部(57)と、が使用するデータの一時的な格納場所に使用される。 (Function of data buffer (54))
The data buffer (54) is used as a temporary storage location for data used by the application data reception unit (51), the application data transmission unit (52), and the application execution unit (57).

(アプリケーション通過許可リスト(55)、アプリケーション規制対象リスト(56)の機能)
アプリケーション通過許可リスト(55)には、図8に示すように、L3/L4通過許可リスト(35)の項目に加えて規制対象外とするメールアドレスの項目が追加されており、アプリケーション実行部(57)やアプリケーションデータ受信部(51)から参照されることになる。 (Functions of application pass permission list (55) and application restriction target list (56))
In the application passage permission list (55), as shown in FIG. 8, in addition to the items of the L3 / L4 passage permission list (35), an item of an e-mail address that is not subject to restriction is added. 57) and the application data receiving unit (51).

また、アプリケーション規制対象リスト(56)には、図9に示すように、L3/L4規制対象リスト(36)の項目に加えて、規制起動判定用のTCPコネクション上限数と、規制対象とするメールアドレスと、規制起動判定用のメール上限数と、の少なくとも1つの項目が追加されており、アプリケーション実行部(57)やアプリケーションデータ受信部(51)から参照されることになる。なお、図9は、L3/L4規制対象リスト(36)の項目に加えて、規制起動判定用のTCPコネクション上限数と、規制対象とするメールアドレスと、規制起動判定用のメール上限数と、の3つの項目が追加された構成を示している。   In addition, in the application restriction target list (56), as shown in FIG. 9, in addition to the items of the L3 / L4 restriction target list (36), the TCP connection upper limit number for restriction activation determination and the mail to be restricted. At least one item of the address and the upper limit number of e-mails for restriction activation determination is added, and is referred to from the application execution unit (57) and the application data reception unit (51). In addition to the items of the L3 / L4 restriction target list (36), FIG. 9 shows the TCP connection upper limit number for restriction activation determination, the mail address to be restricted, the upper limit number of e-mails for restriction activation determination, This shows a configuration in which three items are added.

なお、図10は、L3/L4規制対象リスト(36)の項目に加えて、規制起動判定用のTCPコネクション上限数の項目が追加された構成を示している。また、図11は、別の例で、L3/L4規制対象リスト(36)の項目に加えて、規制対象とするメールアドレスと、規制起動判定用のメール上限数と、の項目が追加された構成を示している。   FIG. 10 shows a configuration in which an item of the upper limit number of TCP connections for restriction activation determination is added to the items of the L3 / L4 restriction target list (36). In addition, FIG. 11 shows another example, in addition to the items in the L3 / L4 restriction target list (36), items of the restriction target mail address and the restriction mail activation upper limit number are added. The configuration is shown.

(判定部(60)の構成)
判定部(60)は、トラフィック制御部(30)と、L4終端部(40)と、アプリケーション処理部(50)と、接続して構成されている。 (Configuration of determination unit (60))
The determination unit (60) is configured by connecting a traffic control unit (30), an L4 termination unit (40), and an application processing unit (50).

判定部(60)は、L3データ計測部(33)と、L4データ計測部(43)と、アプリケーションデータ計測部(53)と、から送信される各レイヤの計測情報を収集し、該収集した計測情報を基に、規制対象とすべき事象(IPアドレス単位、TCPコネクション単位、SMTPトランザクション単位、メールアドレス単位毎)の判定を実施することになる。そして、判定部(60)は、その実施した判定結果をトラフィック制御部(30)と、L4終端部(40)と、アプリケーション処理部(50)と、に送信し、各部位での規制処理指示を行うことになる。   The determination unit (60) collects measurement information of each layer transmitted from the L3 data measurement unit (33), the L4 data measurement unit (43), and the application data measurement unit (53), and collects the collected information. Based on the measurement information, an event to be regulated (IP address unit, TCP connection unit, SMTP transaction unit, mail address unit) is determined. Then, the determination unit (60) transmits the performed determination result to the traffic control unit (30), the L4 termination unit (40), and the application processing unit (50), and the restriction processing instruction at each part. Will do.

なお、判定部(60)は、通過許可リスト(65)と、規制対象リスト(66)と、規制対象管理リスト(67)と、判定論理部(61)と、から構成される。   The determination unit (60) includes a passage permission list (65), a restriction object list (66), a restriction object management list (67), and a determination logic part (61).

(通過許可リスト(65)の機能)
通過許可リスト(65)は、トラフィック制御部(30)内のL3/L4通過許可リスト(35)およびアプリケーション処理部(50)内のアプリケーション通過許可リスト(55)のマスターリストであり、両リストが組み合わさったものである。なお、通過許可リスト(65)は、本実施形態におけるアプリケーション帯域制御装置(1)を使用する使用者により設定されることになり、通過許可リスト(65)は、L3/L4通過許可リスト(35)とアプリケーション通過許可リスト(55)とに分割され、トラフィック制御部(30)とアプリケーション処理部(50)とに登録されることになる。 (Function of the passage permission list (65))
The passage permission list (65) is a master list of the L3 / L4 passage permission list (35) in the traffic control unit (30) and the application passage permission list (55) in the application processing unit (50). It is a combination. The pass permission list (65) is set by the user who uses the application bandwidth control apparatus (1) in the present embodiment, and the pass permission list (65) is the L3 / L4 pass permission list (35). ) And the application passage permission list (55) and are registered in the traffic control unit (30) and the application processing unit (50).

(規制対象リスト(66)の機能)
規制対象リスト(66)は、トラフィック制御部(30)内のL3/L4規制対象リスト(36)およびアプリケーション処理部(50)内のアプリケーション規制対象リスト(56)のマスターリストであり、両リストが組み合わさったものである。規制対象管理リスト(66)は、アプリケーション帯域制御装置(1)にて、規制対象となっているIPアドレス、TCPコネクション、SMTPトランザクションを管理している動的なリストである。 (Function of restriction list (66))
The restriction target list (66) is a master list of the L3 / L4 restriction target list (36) in the traffic control unit (30) and the application restriction target list (56) in the application processing unit (50). It is a combination. The restriction target management list (66) is a dynamic list in which the application band control device (1) manages IP addresses, TCP connections, and SMTP transactions that are subject to restriction.

(規制対象管理リスト(67)の機能)
規制対象管理リスト(67)は、L3データ計測部(33)から通知されるIPアドレス情報と、L4データ計測部(43)から通知されるTCPコネクション情報と、アプリケーションデータ計測部(53)から通知されるSMTPトランザクション情報と、を受信し、該受信したIPアドレス情報と、TCPコネクション情報と、SMTPトランザクション情報と、を管理することになる。 (Function of restriction target management list (67))
The regulation target management list (67) is notified from the IP address information notified from the L3 data measuring unit (33), the TCP connection information notified from the L4 data measuring unit (43), and notified from the application data measuring unit (53). The received SMTP transaction information is received, and the received IP address information, TCP connection information, and SMTP transaction information are managed.

(判定論理部(61)の機能)
判定論理部(61)は、L3データ計測部(33)から通知されるIPヘッダ情報、TCPヘッダ情報と、L4データ計測部(43)から通知される新規開始TCPコネクション、終了TCPコネクション、TCPコネクション情報と、アプリケーションデータ計測部(53)から通知されるSMTPトランザクション情報、STMPトランザクションの計測情報と、規制対象リスト(66)内の項目と、を照合することになる。これは、当該SMTPトランザクションがSMTP規制対象トラフィックであるか否かを判断するためである。 (Function of judgment logic unit (61))
The determination logic unit (61) includes IP header information and TCP header information notified from the L3 data measurement unit (33), and a new start TCP connection, end TCP connection, and TCP connection notified from the L4 data measurement unit (43). The information, the SMTP transaction information notified from the application data measurement unit (53), the measurement information of the STMP transaction, and the items in the restriction target list (66) are collated. This is to determine whether or not the SMTP transaction is SMTP regulation target traffic.

判定論理部(61)は、当該SMTPトランザクションがSMTP規制対象トラフィックであると判断した場合は、該当するSMTPトランザクション情報、TCPコネクション情報、IPアドレス情報を、規制対象管理リスト(67)に追加することになる。同時に、判定論理部(61)は、当該SMTPトランザクションがSMTP規制対象トラフィックであると判断した規制対象リスト(66)内の規制動作フィールドに記載されている規制動作を、トラフィック制御部(30)、L4終端部(40)、アプリケーション処理部(50)に対して送信し、各部位での規制処理指示を行い、規制対象の単位(IPアドレス単位、TCPコネクション単位、SMTPトランザクション単位、メールアドレス単位)毎の規制動作を実行させることになる。   When the determination logic unit (61) determines that the SMTP transaction is SMTP restriction target traffic, it adds the corresponding SMTP transaction information, TCP connection information, and IP address information to the restriction target management list (67). become. At the same time, the determination logic unit (61) performs the restriction operation described in the restriction operation field in the restriction object list (66) determined that the SMTP transaction is the SMTP restriction object traffic, and the traffic control part (30), Sent to the L4 termination unit (40) and the application processing unit (50) to instruct regulation processing at each part, and to be regulated units (IP address unit, TCP connection unit, SMTP transaction unit, mail address unit) Each regulation operation is executed.

(アプリケーション帯域制御装置(1)における処理動作)
次に、図12を参照しながら、上記構成からなるアプリケーション帯域制御装置(1)における帯域制御について説明する。なお、図12は、本実施形態におけるアプリケーション帯域制御装置(1)における制御処理を示すフロチャートである。 (Processing operation in the application bandwidth control device (1))
Next, bandwidth control in the application bandwidth control apparatus (1) having the above configuration will be described with reference to FIG. FIG. 12 is a flowchart showing a control process in the application band control device (1) in the present embodiment.

まず、外部の通信機器から入力ポート(21、22)を介してネットワークインタフェース(20)にパケットデータが到着すると、ネットワークインタフェース(20)は、そのパケットデータを受信することになる(ステップS1)。そして、ネットワークインタフェース(20)は、その受信したパケットデータをトラフィック制御部(30)のL3データ受信部(31)に送信し、L3データ受信部(31)は、L3データ受信部(31)の具備するSMTP Trafficフィルタ(図示せず)にて、ネットワークインタフェース(20)から受信したパケットデータに対してフィルタリングを実行し、そのパケットデータがSMTPパケットデータであるか否かを判定することになる(ステップS2)。   First, when packet data arrives at the network interface (20) from the external communication device via the input ports (21, 22), the network interface (20) receives the packet data (step S1). Then, the network interface (20) transmits the received packet data to the L3 data receiving unit (31) of the traffic control unit (30), and the L3 data receiving unit (31) is connected to the L3 data receiving unit (31). Filtering is performed on the packet data received from the network interface (20) by the provided SMTP Traffic filter (not shown), and it is determined whether or not the packet data is SMTP packet data ( Step S2).

次に、L3データ受信部(31)は、ネットワークインタフェース(20)から送信されたパケットデータがSMTPパケットデータであると判定した場合は(ステップS2/SMTP)、L3データ受信部(31)は、L3/L4通過許可リスト(35)の参照処理を行い、SMTPパケットデータが、L3/L4通過許可リスト(35)に格納されている規制対象外とするデータのIPアドレス、または、TCPコネクション情報に一致するか否かを判定することになる(ステップS3)。   Next, when the L3 data receiving unit (31) determines that the packet data transmitted from the network interface (20) is SMTP packet data (step S2 / SMTP), the L3 data receiving unit (31) The L3 / L4 passage permission list (35) is referred to, and the SMTP packet data is stored in the IP address of the data to be excluded from restriction stored in the L3 / L4 passage permission list (35) or the TCP connection information. It is determined whether or not they match (step S3).

なお、上記ステップS2の判定処理において、L3データ受信部(31)がSMTPパケットデータであると判定する判定条件とは、パケットデータがTCPパケットデータで、尚且つ、送信元ポート番号:SP(Source Port)、もしくは、宛先ポート番号:DP(Destination Port)の値が、SMTP(=25)の場合である。それ以外のパケットデータの場合には(ステップS2/NO・SMTP)、L3データ受信部(31)は、パケットデータをデータバッファ(34)を介してそのままL3データ送信部(32)に通過させ(パケットスルー:ステップS5)、ネットワークインタフェース(20)に転送することになる(ステップS11)。   In the determination process of step S2, the determination condition for determining that the L3 data receiving unit (31) is the SMTP packet data is that the packet data is TCP packet data and the source port number: SP (Source Port) or destination port number: DP (Destination Port) is SMTP (= 25). In the case of other packet data (step S2 / NO · SMTP), the L3 data receiving unit (31) passes the packet data as it is through the data buffer (34) to the L3 data transmitting unit (32) ( Packet through: Step S5) and transfer to the network interface (20) (Step S11).

また、ステップS3の判定処理において、当該SMTPパケットデータが、L3/L4通過許可リスト(35)に格納されている規制対象外とするデータのIPアドレス、または、TCPコネクション情報と一致するとL3データ受信部(31)が判定した場合は(ステップS3/Hit)、L3データ受信部(31)は、SMTPパケットデータを通過許可パケットデータと判定し、SMTPパケットデータをデータバッファ(34)を介してそのままL3データ送信部(32)に通過させ(パケットスルー:ステップS5)、ネットワークインタフェース(20)に転送することになる(ステップS11)。   If the SMTP packet data matches the IP address of the data to be excluded from restriction stored in the L3 / L4 passage permission list (35) or the TCP connection information in the determination process of step S3, the L3 data reception is performed. When the unit (31) determines (step S3 / Hit), the L3 data receiving unit (31) determines that the SMTP packet data is the passage-permitted packet data, and directly uses the SMTP packet data via the data buffer (34). The data is passed through the L3 data transmitter (32) (packet through: step S5) and transferred to the network interface (20) (step S11).

また、ステップS3の判定処理において、当該SMTPパケットデータが、L3/L4通過許可リスト(35)に格納されている規制対象外とするIPアドレス、または、TCPコネクション情報と一致しないとL3データ受信部(31)が判定した場合は(ステップS3/NO・Hit)、L3データ受信部(31)は、SMTPパケットデータを規制対象パケットデータと判定し、L3データ受信部(31)は、その規制対象パケットデータと判定したSMTPパケットデータが、送信元ポート番号:SP(Source Port)、または、宛先ポート番号:DP(Destination Port)の何れのポート番号かを判定することになる(ステップS4)。   In addition, if the SMTP packet data does not match the IP address to be excluded from the restriction or the TCP connection information stored in the L3 / L4 passage permission list (35) in the determination process of step S3, the L3 data receiving unit When (31) is determined (step S3 / NO · Hit), the L3 data receiving unit (31) determines that the SMTP packet data is the restriction target packet data, and the L3 data receiving unit (31) is the restriction target. It is determined whether the SMTP packet data determined to be packet data is a port number of a transmission source port number: SP (Source Port) or a destination port number: DP (Destination Port) (step S4).

そして、ステップS4の判定処理において、L3データ受信部(31)は、SMTPパケットデータが、送信元ポート番号:SP(Source Port)であると判定した場合は(ステップS4/SP=SMTP)、L3データ受信部(31)は、SMTPパケットデータが、SMTPのコマンド応答を含むパケットデータであると判定し(SP=SMTP:SMTPのコマンドレスポンス)、規制対象となるパケットデータとしては取り扱わないがSMTPの遷移状態を管理するために、アプリケーション処理部(50)においてSMTPパケットデータのSMTPモニタを行うことになる(ステップS9−1)。   In the determination process of step S4, when the L3 data receiving unit (31) determines that the SMTP packet data is the transmission source port number: SP (Source Port) (step S4 / SP = SMTP), L3 The data receiving unit (31) determines that the SMTP packet data is packet data including an SMTP command response (SP = SMTP: SMTP command response) and does not handle the packet data to be regulated, but the SMTP packet response. In order to manage the transition state, the application processor (50) performs SMTP monitoring of SMTP packet data (step S9-1).

また、ステップS4の判定処理において、L3データ受信部(31)は、SMTPパケットデータが、宛先ポート番号:DP(Destination Port)であると判定した場合は(ステップS4/DP=SMTP)、L3データ受信部(31)は、SMTPパケットデータが、SMTPのコマンド、及び、メールデータを構成するパケットデータであると判定する(DP=SMTP:SMTPのコマンド、及び、メールデータ)。そして、L3データ受信部(31)は、当該SMTPパケットデータを、規制対象パケットデータとして取り扱う為に、L3/L4規制対象リスト(36)の参照処理を行い、当該SMTPパケットデータが、L3/L4規制対象リスト(36)に格納されている規制対象となるデータのIPアドレス、または、TCPコネクション情報に一致するか否かを判定することになる(ステップS6)。   In the determination process of step S4, when the L3 data receiving unit (31) determines that the SMTP packet data is the destination port number: DP (Destination Port) (step S4 / DP = SMTP), the L3 data The receiving unit (31) determines that the SMTP packet data is the SMTP command and the packet data constituting the mail data (DP = SMTP: SMTP command and mail data). Then, the L3 data receiving unit (31) performs a reference process of the L3 / L4 restriction target list (36) to handle the SMTP packet data as restriction target packet data, and the SMTP packet data is converted to L3 / L4. It is determined whether the IP address of the data to be regulated stored in the regulation target list (36) or the TCP connection information matches (step S6).

次に、L3データ受信部(31)は、当該SMTPパケットデータが、L3/L4規制対象リスト(36)に格納されている規制対象となるデータのIPアドレス、または、TCPコネクション情報に一致しないと判定した場合は(ステップS6/NO・Hit)、アプリケーション処理部(50)において当該SMTPパケットデータのSMTPモニタを行うことになる(ステップS9−1)。   Next, the L3 data receiving unit (31) determines that the SMTP packet data does not match the IP address or TCP connection information of the data to be regulated stored in the L3 / L4 regulation target list (36). If it is determined (step S6 / NO / Hit), the application processor (50) performs SMTP monitoring of the SMTP packet data (step S9-1).

また、L3データ受信部(31)は、当該SMTPパケットデータが、L3/L4規制対象リスト(36)に格納されている規制対象となるデータのIPアドレス、または、TCPコネクション情報に一致すると判定した場合は(ステップS6/Hit)、当該SMTPパケットデータに対して規制処理であるコネクション数の制限処理(ステップS7)や、ポリシング(ステップS8)を行い、その後、アプリケーション処理部(50)においてSMTPパケットデータのSMTPモニタを行うことになる(ステップS9−2)。   In addition, the L3 data receiving unit (31) determines that the SMTP packet data matches the IP address of the data to be regulated stored in the L3 / L4 regulation target list (36) or the TCP connection information. In this case (step S6 / Hit), the SMTP packet data is subjected to restriction processing (step S7) or policing (step S8), which is restriction processing, and then the SMTP packet is sent to the application processing unit (50). Data SMTP monitoring is performed (step S9-2).

なお、ステップS7のコネクション数の制限処理は、図5に示すL4終端部(40)にて実施することになる。また、ステップS8のポリシングは、図5に示すL3データ受信部(31)にて実施することになる。   Note that the process of limiting the number of connections in step S7 is performed by the L4 termination unit (40) shown in FIG. The policing in step S8 is performed by the L3 data receiving unit (31) shown in FIG.

また、ステップS9−1、ステップS9−2で行うSMTPモニタでは、IPアドレス単位、TCPコネクション単位のSMTPトラフィックの統計情報収集を実施することになる。なお、ステップS9−1、ステップS9−2のSMTPモニタのIPアドレス単位、TCPコネクション単位のSMTPトラフィックの統計情報収集は、図5に示すアプリケーションデータ計測部(53)で実施することになる。なお、ステップS9−2においてSMTPモニタを実施したSMTPパケットデータは、図5に示すL3データ送信部(32)で規制処理である遅延付加・シェーピングを実施することになる(ステップS10)。   Further, in the SMTP monitor performed in steps S9-1 and S9-2, statistical information collection of SMTP traffic in units of IP addresses and TCP connections is performed. The statistical information collection of SMTP traffic in units of IP addresses and TCP connections in steps S9-1 and S9-2 is performed by the application data measuring unit (53) shown in FIG. Note that the SMTP packet data subjected to the SMTP monitor in step S9-2 is subjected to delay addition / shaping which is a restriction process in the L3 data transmission unit (32) shown in FIG. 5 (step S10).

なお、ステップS9−1においてSMTPモニタを実施したパケットデータ、または、ステップS10において遅延付加・シェーピングを実施したパケットデータは、ネットワークインタフェース(20)に送信されることになる(ステップS11)。   The packet data subjected to SMTP monitoring in step S9-1 or the packet data subjected to delay addition / shaping in step S10 is transmitted to the network interface (20) (step S11).

また、ステップS9−1、ステップS9−2においてSMTPモニタを実施して収集した統計情報は、図5に示す判定部(60)に集められ、判定部(60)においてSMTP規制対象トラフィックであるか否かの判定処理を行い、規制対象トラフィックであると判定した場合には、ステップS6における規制対象リストの参照処理と、ステップS7におけるコネクション数の制限処理と、ステップS8におけるポリシングと、ステップS10における遅延付加・シェーピングと、を行うことになる(ステップS12)。   Further, the statistical information collected by performing the SMTP monitor in step S9-1 and step S9-2 is collected in the determination unit (60) shown in FIG. 5, and is the traffic subject to SMTP regulation in the determination unit (60)? If it is determined that the traffic is restricted traffic, the restricted list reference process in step S6, the connection number limiting process in step S7, the policing in step S8, and the step S10 Delay addition and shaping are performed (step S12).

なお、本実施形態におけるアプリケーション帯域制御装置(1)を構成するトラフィック制御部(30)と、L4終端部(40)と、アプリケーション処理部(50)と、判定部(60)と、は、専用のハードウェアおよびファームウェアにて構成することも可能であり、また、汎用CPUとソフトウェアとで構成しても本実施形態における処理動作を実現することは可能である。   The traffic control unit (30), the L4 termination unit (40), the application processing unit (50), and the determination unit (60) constituting the application bandwidth control device (1) in the present embodiment are dedicated. The hardware and firmware can be used, and the processing operation in the present embodiment can be realized even if the hardware and firmware are used.

このように、本実施形態におけるアプリケーション帯域制御装置(1)は、アプリケーション処理部(50)において、アプリケーションレイヤのデータ内容を検査して、規制対象となるデータを検知する一方で、規制対象となるデータに対する規制制御は、L3レイヤとなるトラフィック制御部(30)、もしくは、L4レイヤとなるL4終端部(40)においてトラフィックとコネクションとの規制制御を行うことになる。これにより、本実施形態におけるアプリケーション帯域制御装置(1)は、アプリケーションレイヤとなるアプリケーション処理部(50)においてトランザクションの規制制御を行う場合に比べて処理能力を大きく改善することが可能となる。例えば、本実施形態におけるアプリケーション帯域制御装置(1)は、様々なSMTPトラフィックの中から不特定多数のユーザに対して無差別に配信されるメールを規制することが可能となる。   As described above, the application bandwidth control device (1) according to the present embodiment is subject to restriction while the application processing unit (50) inspects the data content of the application layer and detects the restriction target data. In the restriction control for data, the traffic control unit (30) serving as the L3 layer or the L4 termination unit (40) serving as the L4 layer performs the regulation control of the traffic and the connection. As a result, the application bandwidth control device (1) in the present embodiment can greatly improve the processing capability as compared with the case where the application processing unit (50) serving as the application layer performs transaction regulation control. For example, the application bandwidth control device (1) in the present embodiment can regulate mail that is distributed indiscriminately to an unspecified number of users from various SMTP traffic.

次に、第2の実施形態について説明する。
第2の実施形態におけるアプリケーション帯域制御装置(1)は、上記の第1の実施形態におけるアプリケーション帯域制御装置(1)における処理動作に加えて、SMTPメッセージの送信元メールアドレス(Mail From)、および、宛先メールアドレス(RCPT−To)を検索し、該検索したSMTPメッセージの送信元メールアドレス(Mail From)、および、宛先メールアドレス(RCPT−To)を基にメールアドレス毎のメール数を計測し、該計測したメールアドレス毎のメール数を基にメールアドレス単位でメール配信を規制することを特徴とするものである。 Next, a second embodiment will be described.
The application bandwidth control device (1) in the second embodiment, in addition to the processing operation in the application bandwidth control device (1) in the first embodiment, a sender email address (Mail From) of the SMTP message, and The destination email address (RCPT-To) is searched, and the number of emails for each email address is measured based on the sender email address (Mail From) of the searched SMTP message and the destination email address (RCPT-To). The mail delivery is regulated in units of mail addresses based on the number of mails for each measured mail address.

なお、この第2の実施形態におけるアプリケーション帯域制御装置(1)は、図5に示すアプリケーション帯域制御装置(1)の具備するアプリケーション実行部(57)において、SMTPメッセージの送信元メールアドレス(Mail From)、および、宛先メールアドレス(RCPT−To)を検索し、該検索したSMTPメッセージの送信元メールアドレス(Mail From)、および、宛先メールアドレス(RCPT−To)をアプリケーションデータ計測部(53)に送信する。そして、アプリケーションデータ計測部(53)は、送信元メールアドレス(Mail From)、および、宛先メールアドレス(RCPT−To)を基に、メールアドレス毎のメール数を計測し、その計測したメールアドレス毎のメール数を判定部(60)に送信する。そして、判定部(60)は、アプリケーションデータ計測部(53)から受信したメールアドレス毎のメール数を基に、規制対象管理リスト(67)の更新と、規制対象リスト(66)の検索、通過許可リスト(65)の検索を実施し、メールアドレス単位でメール配信を規制することになる。これにより、特定のユーザが送信するメールをよりきめ細かく特定し、送信メールの制限を行うことが可能となる。   Note that the application bandwidth control device (1) in the second embodiment is configured such that the application execution unit (57) of the application bandwidth control device (1) shown in FIG. ) And the destination mail address (RCPT-To), and the application mail measuring unit (53) sends the sender mail address (Mail From) and the destination mail address (RCPT-To) of the searched SMTP message. Send. Then, the application data measurement unit (53) measures the number of emails for each email address based on the sender email address (Mail From) and the destination email address (RCPT-To), and for each email address thus measured. Are sent to the determination unit (60). Then, the determination unit (60) updates the restriction object management list (67) and searches and passes the restriction object list (66) based on the number of mails for each mail address received from the application data measurement part (53). The permission list (65) is searched, and mail delivery is restricted on a mail address basis. As a result, it is possible to more specifically specify the mail transmitted by a specific user and limit the transmitted mail.

次に、第3の実施形態について説明する。
第3の実施形態におけるアプリケーション帯域制御装置(1)は、図5に示すアプリケーションデータ計測部(53)において、アプリケーション実行部(57)から送信された情報(SMTPトランザクションの状態と、SMTPメッセージの送信元メールアドレス、および、宛先メールアドレスの情報)に基づいて、該当するSMTPメッセージの宛先メールアドレス数をIPアドレス別に計測し、そのIPアドレス別に計測したSMTPメッセージの宛先メールアドレス数を判定部(60)に送信する。そして、判定部(60)は、アプリケーションデータ計測部(53)から受信したIPアドレス毎のSMTPメッセージの宛先メールアドレス数を基に、規制対象管理リスト(67)の更新と、規制対象リスト(66)の検索、通過許可リスト(65)の検索を実施し、IPアドレス単位でメール配信を規制し、1トランザクションにおける宛先メールアドレス数の制限処理を行うことを特徴とするものである。これにより、特定のユーザが送信するメールをよりきめ細かく特定し、送信メールの制限を行うことが可能となる。 Next, a third embodiment will be described.
The application bandwidth control apparatus (1) according to the third embodiment is configured such that the application data measurement unit (53) shown in FIG. 5 transmits information (SMTP transaction status and SMTP message transmission) transmitted from the application execution unit (57). Based on the original mail address and the destination mail address), the number of destination mail addresses of the corresponding SMTP message is measured for each IP address, and the number of destination mail addresses of the SMTP message measured for each IP address is determined (60 ). Then, the determination unit (60) updates the restriction object management list (67) and restricts the restriction object list (66 based on the number of destination mail addresses of the SMTP message for each IP address received from the application data measurement part (53). ) And the passage permission list (65), the mail distribution is restricted in units of IP addresses, and the number of destination mail addresses in one transaction is limited. As a result, it is possible to more specifically specify the mail transmitted by a specific user and limit the transmitted mail.

次に、第4の実施形態について説明する。
第4の実施形態におけるアプリケーション帯域制御装置(1)は、IPアドレス毎のパケット数とTCPコネクション毎のパケット数とを計測するための計測機能を図5に示すL3データ計測部(33)に付加し、よりきめ細かいトラフィック量の監視を行うことを特徴とするものである。 Next, a fourth embodiment will be described.
The application bandwidth control apparatus (1) in the fourth embodiment adds a measurement function for measuring the number of packets for each IP address and the number of packets for each TCP connection to the L3 data measurement unit (33) shown in FIG. However, it is characterized by monitoring the traffic volume more finely.

次に、第5の実施形態について説明する。
第5の実施形態におけるアプリケーション帯域制御装置(1)は、図12に示すステップS10の遅延付加・シェーピング処理において、図5に示すL3データ受信部(31)がIPパケットレベルの処理を行うかわりに、図5に示すL4データ受信部(41)と、L4データ送信部(42)と、においてTCPのACK応答遅延付加・TCPウィンドウサイズの変更処理を行うこととする。これにより、特定のユーザが送信するメールのトラフィック量に応じて、特定のTCPコネクションに対する制限をかけることが可能となる。 Next, a fifth embodiment will be described.
The application bandwidth control apparatus (1) in the fifth embodiment is configured so that the L3 data receiving unit (31) shown in FIG. 5 performs IP packet level processing in the delay addition / shaping process in step S10 shown in FIG. The L4 data receiving unit (41) and the L4 data transmitting unit (42) shown in FIG. 5 perform TCP ACK response delay addition and TCP window size change processing. This makes it possible to limit a specific TCP connection according to the traffic volume of mail transmitted by a specific user.

次に、第6の実施形態について説明する。
第6の実施形態におけるアプリケーション帯域制御装置(1)は、図12に示すステップS10の遅延付加・シェーピング処理において、図5に示すL3データ受信部(31)がIPパケットレベルの処理を行うかわりに、図5に示すアプリケーション実行部(57)においてSMTPコマンド応答の遅延付加を行うこととする。これにより、特定のユーザが送信するメールのトラフィック量に応じて、特定のSMTPトランザクションに対する制限をかけることが可能となる。 Next, a sixth embodiment will be described.
In the application bandwidth control apparatus (1) in the sixth embodiment, the L3 data receiving unit (31) shown in FIG. 5 performs IP packet level processing in the delay addition / shaping process in step S10 shown in FIG. In the application execution unit (57) shown in FIG. 5, a delay is added to the SMTP command response. This makes it possible to limit a specific SMTP transaction according to the amount of mail traffic transmitted by a specific user.

次に、第7の実施形態について説明する。
第7の実施形態におけるアプリケーション帯域制御装置は、図12のステップS7におけるコネクション数の制限処理を行うかわりに、SMTPトランザクションの規制処理を、アプリケーション実行部(57)が実施することとする。これにより、特定の情報処理装置から送信されるメールのトラフィック量に応じて、制限をかけることが可能となる。 Next, a seventh embodiment will be described.
In the application bandwidth control apparatus according to the seventh embodiment, instead of performing the connection number limiting process in step S7 of FIG. 12, the application execution unit (57) performs the SMTP transaction restriction process. As a result, it is possible to limit the amount of mail traffic transmitted from a specific information processing apparatus.

次に、第8の実施形態について説明する。
第8の実施形態におけるアプリケーション帯域制御装置(1)は、図5に示す判定部(60)からの指示によりアプリケーション実行部(57)において特定のSMTPトランザクションに対する規制処理を実施し、また、アプリケーションデータ受信部(51)において特定の送信元アドレスのSMTPトランザクションに対する受信規制処理を実施し、また、アプリケーションデータ送信部(52)において特定の宛先アドレスのSMTPトランザクションに対する送信規制処理を実施することとする。これにより、特定の情報処理装置から送信されるメールのトラフィック量に対して制限をかけることが可能となる。 Next, an eighth embodiment will be described.
The application bandwidth control device (1) according to the eighth embodiment performs a restriction process for a specific SMTP transaction in the application execution unit (57) in response to an instruction from the determination unit (60) shown in FIG. The reception restricting process for the SMTP transaction with the specific source address is performed in the receiving unit (51), and the transmission restricting process for the SMTP transaction with the specific destination address is performed in the application data transmitting unit (52). This makes it possible to limit the traffic volume of mail transmitted from a specific information processing apparatus.

なお、上述する実施形態は本発明の好適な実施の形態の一例であり、本発明の実施形態は、これに限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変更を施した形態での実施が可能である。例えば、上記の実施形態におけるアプリケーション帯域制御装置における処理動作は、コンピュータプログラムにより実行することも可能であり、また、上記のプログラムは、光記録媒体、磁気記録媒体、光磁気記録媒体、または半導体等の記録媒体に記録し、その記録媒体からプログラムを情報処理装置に読み込ませることで、上述した処理動作を情報処理装置において実行させることも可能である。また、所定のネットワークを介して接続されている外部機器からプログラムを情報処理装置に読み込ませることで、上述した処理動作を情報処理装置において実行させることも可能である。また、上記の実施形態におけるアプリケーション帯域制御装置は、L3レイヤとしてIP、L4レイヤとしてTCP、アプリケーションレイヤとしてSMTPの場合ついて説明したが、L3レイヤ、L4レイヤ、アプリケーションレイヤの各プロトコルは他のプロトコルを用いた場合でも適用可能である。   The above-described embodiment is an example of a preferred embodiment of the present invention. The embodiment of the present invention is not limited to this, and various modifications are made without departing from the scope of the present invention. It is possible to implement in the form. For example, the processing operation in the application band control device in the above embodiment can also be executed by a computer program. The above program can be an optical recording medium, a magnetic recording medium, a magneto-optical recording medium, a semiconductor, or the like. It is also possible to cause the information processing apparatus to execute the processing operations described above by recording the information in the recording medium and causing the information processing apparatus to read the program from the recording medium. It is also possible to cause the information processing apparatus to execute the processing operations described above by causing the information processing apparatus to read a program from an external device connected via a predetermined network. The application band control device in the above embodiment has been described with respect to the case where the L3 layer is IP, the L4 layer is TCP, and the application layer is SMTP. However, the L3 layer, L4 layer, and application layer protocols are different protocols. Even if it is used, it is applicable.

本発明にかかる帯域制御装置、帯域制御方法及び帯域制御プログラムは、ネットワークを介して接続した情報処理装置の間に設けられるブリッジ、ルータ、ゲートウェイ等のネットワーク機器に適用可能である。   The bandwidth control device, bandwidth control method, and bandwidth control program according to the present invention are applicable to network devices such as bridges, routers, and gateways provided between information processing devices connected via a network.

従来のメール配信システムの一例を示す図である。It is a figure which shows an example of the conventional mail delivery system. 従来のメール配信システムの他の一例を示す図である。It is a figure which shows another example of the conventional mail delivery system. 本実施形態におけるアプリケーション帯域制御装置を用いたメール配信システムの一例を示す図である。It is a figure which shows an example of the mail delivery system using the application band control apparatus in this embodiment. 本実施形態におけるアプリケーション帯域制御装置を用いたメール配信システムの他の一例を示す図である。It is a figure which shows another example of the mail delivery system using the application zone | band control apparatus in this embodiment. 本実施形態におけるアプリケーション帯域制御装置の構成を示すブロック図である。It is a block diagram which shows the structure of the application band control apparatus in this embodiment. L3/L4通過許可リスト(35)のデータベースの構成例を示す図である。It is a figure which shows the structural example of the database of a L3 / L4 passage permission list | wrist (35). L3/L4規制対象リスト(36)のデータベースの構成例を示す図である。It is a figure which shows the structural example of the database of a L3 / L4 control object list | wrist (36). アプリケーション通過許可リスト(55)のデータベースの構成例を示す図である。It is a figure which shows the structural example of the database of an application passage permission list (55). アプリケーション規制対象リスト(56)及び規制対象リスト(66)のデータベースの構成例を示す第1の図であり、規制起動判定用のTCPコネクション上限数と、規制対象とするメールアドレスと、規制起動判定用のメール上限数と、の3つの情報が格納された構成を示している。された構成を示している。It is the 1st figure showing the example of composition of the database of application regulation object list (56) and regulation object list (66), and the upper limit number of TCP connections for regulation starting judgment, the mail address used as regulation object, and regulation starting judgment 3 shows a configuration in which three pieces of information, i.e., the upper limit number of emails, are stored. Is shown. アプリケーション規制対象リスト(56)及び規制対象リスト(66)のデータベースの構成例を示す第2の図であり、規制起動判定用のTCPコネクション上限数が格納された構成を示している。It is a 2nd figure which shows the example of a structure of the database of an application control object list | wrist (56) and a control object list | wrist (66), and has shown the structure by which the TCP connection upper limit number for a regulation starting determination was stored. アプリケーション規制対象リスト(56)及び規制対象リスト(66)のデータベースの構成例を示す第3の図であり、規制対象とするメールアドレスと、規制起動判定用のメール上限数と、が格納された構成を示している。It is the 3rd figure showing the example of composition of the database of application regulation object list (56) and regulation object list (66), and the mail address used as regulation object and the mail upper limit number for regulation starting judgment are stored. The configuration is shown. 本実施形態におけるアプリケーション帯域制御装置の処理動作を示すフロチャートである。It is a flowchart which shows the processing operation of the application band control apparatus in this embodiment.

符号の説明Explanation of symbols

1 アプリケーション帯域制御装置
2−1〜N(Nは任意の整数) MTA(Message Transfer Agent:メールサーバ)
3 管理ドメイン
20 ネットワークインタフェース
21、22 入力ポート
23、24 出力ポート
30 トラフィック制御部
31 L3データ受信部
32 L3データ送信部
33 L3データ計測部
34、44、54 データバッファ
35 L3/L4通過許可リスト
36 L3/L4規制対象リスト
40 L4終端部
41 L4データ受信部
42 L4データ送信部
43 L4データ計測部
50 アプリケーション処理部
51 アプリケーションデータ受信部
52 アプリケーションデータ送信部
53 アプリケーションデータ計測部
55 アプリケーション通過許可リスト
56 アプリケーション規制対象リスト
57 アプリケーション実行部
60 判定部
61 判定論理部
65 通過許可リスト
66 規制対象リスト
67 規制対象管理リスト
101 ルータ 1 Application Bandwidth Control Device 2-1 to N (N is an arbitrary integer) MTA (Message Transfer Agent: Mail Server)
3 management domain 20 network interface 21, 22 input port 23, 24 output port 30 traffic control unit 31 L3 data reception unit 32 L3 data transmission unit 33 L3 data measurement unit 34, 44, 54 data buffer 35 L3 / L4 passage permission list 36 L3 / L4 restriction target list 40 L4 termination unit 41 L4 data receiving unit 42 L4 data transmitting unit 43 L4 data measuring unit 50 application processing unit 51 application data receiving unit 52 application data transmitting unit 53 application data measuring unit 55 application pass permission list 56 Application restriction target list 57 Application execution part 60 Judgment part 61 Judgment logic part 65 Pass permission list 66 Restriction target list 67 Restriction target management list 101 Router

Claims (8)

少なくとも1つの情報処理装置に接続される帯域制御装置であって、
L4コネクションのデータ内容を基に規制対象となるデータを検知する検知手段と、
前記規制対象となるデータの通信規制の制御を行う制御手段と、
を有することを特徴とする帯域制御装置。 A bandwidth control device connected to at least one information processing device,
Detection means for detecting data subject to regulation based on the data content of the L4 connection;
Control means for controlling communication restriction of data to be restricted;
A bandwidth control apparatus comprising: ポート番号に、SMTPが含まれていないパケットデータを、前記規制対象となるデータから除外する第1の規制対象除外手段を有することを特徴とする請求項1記載の帯域制御装置。   2. The bandwidth control apparatus according to claim 1, further comprising a first restriction target exclusion unit that excludes packet data that does not include SMTP in the port number from the restriction target data. ポート番号に、SMTPが含まれており、且つ、該SMTPが含まれているパケットデータのIPアドレスが、規制対象外とする特定の送信元IPアドレスまたは宛先IPアドレスであるパケットデータを、前記規制対象となるデータから除外する第2の規制対象除外手段を有することを特徴とする請求項1または2記載の帯域制御装置。   The port number includes SMTP, and packet data whose IP address of the packet data including the SMTP is a specific source IP address or destination IP address to be excluded from the restriction is defined as the restriction. The band control device according to claim 1, further comprising a second restriction target exclusion unit that excludes the target data. 規制対象外とする特定のメールアドレスが含まれるパケットデータを、前記規制対象となるデータから除外する第3の規制対象除外手段を有することを特徴とする請求項1から3の何れか1項に記載の帯域制御装置。   4. The apparatus according to claim 1, further comprising a third restriction object exclusion unit that excludes packet data including a specific mail address that is not restricted from the restriction data. 5. The bandwidth control apparatus described. 少なくとも1つの情報処理装置に接続される帯域制御装置で行う帯域制御方法であって、
L4コネクションのデータ内容を基に規制対象となるデータを検知する検知工程と、
前記規制対象となるデータの通信規制の制御を行う制御工程と、
を、前記帯域制御装置が行うことを特徴とする帯域制御方法。 A bandwidth control method performed by a bandwidth control device connected to at least one information processing device,
A detection step of detecting data subject to regulation based on the data content of the L4 connection;
A control step for controlling communication restriction of data to be restricted;
The bandwidth control method, wherein the bandwidth control device performs the above. ポート番号に、SMTPが含まれていないパケットデータを、前記規制対象となるデータから除外する規制対象除外工程を、前記帯域制御装置が行うことを特徴とする請求項5記載の帯域制御方法。   6. The bandwidth control method according to claim 5, wherein the bandwidth control device performs a restriction target exclusion step of excluding packet data whose port number does not include SMTP from the restriction target data. 少なくとも1つの情報処理装置に接続される帯域制御装置で実行させる帯域制御プログラムであって、
L4コネクションのデータ内容を基に規制対象となるデータを検知する検知処理と、
前記規制対象となるデータの通信規制の制御を行う制御処理と、
を、前記帯域制御装置に実行させることを特徴とする帯域制御プログラム。 A bandwidth control program to be executed by a bandwidth control device connected to at least one information processing device,
A detection process for detecting data subject to regulation based on the data content of the L4 connection;
Control processing for controlling communication restriction of data to be restricted;
Is executed by the bandwidth control apparatus. ポート番号に、SMTPが含まれていないパケットデータを、前記規制対象となるデータから除外する規制対象除外処理を、前記帯域制御装置に実行させることを特徴とする請求項7記載の帯域制御プログラム。   8. The bandwidth control program according to claim 7, wherein the bandwidth control apparatus causes the bandwidth control device to execute a restriction target exclusion process for excluding packet data whose port number does not include SMTP from the restriction target data.
JP2006287894A 2003-11-27 2006-10-23 Device, method and program for band control Pending JP2007068208A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006287894A JP2007068208A (en) 2003-11-27 2006-10-23 Device, method and program for band control

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2003397081 2003-11-27
JP2006287894A JP2007068208A (en) 2003-11-27 2006-10-23 Device, method and program for band control

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2004338083A Division JP2005184792A (en) 2003-11-27 2004-11-22 Band control device, band control method, and program

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2009193341A Division JP2009284529A (en) 2003-11-27 2009-08-24 Device, method and program for band control

Publications (1)

Publication Number Publication Date
JP2007068208A true JP2007068208A (en) 2007-03-15

Family

ID=37929767

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006287894A Pending JP2007068208A (en) 2003-11-27 2006-10-23 Device, method and program for band control

Country Status (1)

Country Link
JP (1) JP2007068208A (en)

Similar Documents

Publication Publication Date Title
JP2005184792A (en) Band control device, band control method, and program
US7926108B2 (en) SMTP network security processing in a transparent relay in a computer network
US7647411B1 (en) System and method for controlling distribution of network communications
US10135844B2 (en) Method, apparatus, and device for detecting e-mail attack
US6941348B2 (en) Systems and methods for managing the transmission of electronic messages through active message date updating
US7603472B2 (en) Zero-minute virus and spam detection
EP2289221B1 (en) Network intrusion protection
US7796515B2 (en) Propagation of viruses through an information technology network
US7958557B2 (en) Determining a source of malicious computer element in a computer network
US20110296519A1 (en) Reputation based connection control
CN105991637A (en) Network attack protection method and network attack protection device
US8301712B1 (en) System and method for protecting mail servers from mail flood attacks
US8195754B2 (en) Unsolicited message communication characteristics
CN107135185A (en) A kind of attack processing method, equipment and system
US7437758B2 (en) Propagation of viruses through an information technology network
WO2013189725A1 (en) Method and system for spam detection and mitigation
Schatzmann et al. Inferring spammers in the network core
JP2009284529A (en) Device, method and program for band control
JP2007068208A (en) Device, method and program for band control
US8880614B1 (en) Method and apparatus for dynamically protecting a mail server
CN109660452B (en) Junk mail source detection method and device
JP2005210455A (en) Electronic mail relaying device
JP2006148778A (en) Packet transfer control unit
Marsono Packet‐level open‐digest fingerprinting for spam detection on middleboxes
KR101399037B1 (en) Method and device for processing spam mail using ip address of sender

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081218

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090106

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090309

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090623

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100309