JP2007272628A - 情報検知処理方法及び装置 - Google Patents

情報検知処理方法及び装置 Download PDF

Info

Publication number
JP2007272628A
JP2007272628A JP2006098330A JP2006098330A JP2007272628A JP 2007272628 A JP2007272628 A JP 2007272628A JP 2006098330 A JP2006098330 A JP 2006098330A JP 2006098330 A JP2006098330 A JP 2006098330A JP 2007272628 A JP2007272628 A JP 2007272628A
Authority
JP
Japan
Prior art keywords
processing
software processing
data
condition
flow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006098330A
Other languages
English (en)
Other versions
JP4872412B2 (ja
Inventor
Yoji Ueno
洋史 上野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2006098330A priority Critical patent/JP4872412B2/ja
Priority to US11/729,829 priority patent/US20070233892A1/en
Publication of JP2007272628A publication Critical patent/JP2007272628A/ja
Application granted granted Critical
Publication of JP4872412B2 publication Critical patent/JP4872412B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/12Arrangements for remote connection or disconnection of substations or of equipment thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】アプリケーションレイヤのデータ検査の処理の一部をハードウェア処理にオフロードし、ソフトウェア処理の負荷を軽減できる情報検知処理装置を提供する。
【解決手段】フロー情報検索部21は、入力データのフローが、ソフトウェア処理対象であるか否かを判断する。ソフトウェア処理対象であれば、ソフトウェア処理部11で入力データの検査を行う。ソフトウェア処理対象でない場合には、条件判定部22にて、ソフトウェア処理へ切り替える条件が成立しているか否かを判定する。成立している場合には、ソフトウェア処理部11で入力データの検査を行い、成立していない場合には、ハードウェア処理部23で検査を行う。
【選択図】図2

Description

本発明は、情報検知処理方法及び装置に関し、更に詳しくは、ネットワークトラヒックをデータ処理してアプリケーションデータの情報検知を行う情報検知処理方法及び装置に関する。
ネットワークトラヒックをデータ処理して、アプリケーションデータの情報検知を行う技術がある。情報検知とは不正アクセスや迷惑トラヒック、ウィルスなどを含むトラヒックをデータから特定する検知処理を指す。ネットワークパケットの検知処理において、ソフトウェア処理からハードウェア処理に情報検知処理をオフロードし、ソフトウェア処理の負担を軽減する技術がある(例えば特許文献1参照)。特許文献1では、ソフトウェア処理によるファイアウォール処理の前処理を行うプレフィルタリングモジュールを用いる。プレフィルタリングモジュールは、制御情報を含むパケットを、ファイアウォール処理に転送する。ファイアウォールは、該当セッションの通過可否を判定し、その結果を、プレフィルタリングモジュールに通知する。通過可と判定された場合には、パケット転送をプレフィルタリングモジュールで行い、ファイアウォール処理の負担を軽減する。プレフィルタリングモジュールにオフロードされた処理は、タイムアウト、又は、セッションが終了するという制御情報を受信するまで継続される。
特表2003−525557号公報
特許文献1に記載の技術は、主に、TCP/IPなどのセッションのパケットフィルタリング処理には効果的である。しかし、特許文献1に記載の処理と同様な処理を、アプリケーションレイヤの検査を行う侵入検知装置や、ウィルス検知装置などに適用することは困難である。これは、侵入検知処理では、アプリケーションプロトコルの検知処理やアプリケーションが転送するデータ形式に応じたさまざまな処理が必要であり、特許文献1のファイアウォール処理に相当するソフトウェア処理で、以降の全てのパケットの転送状態を決定できないからである。すなわち、1つのアプリケーションセッション中には、ソフトウェアでの詳細検査が必要な箇所が、複数の箇所に散在しており、先頭箇所だけの検査では不十分で、プレフィルタリングモジュールへのオフロードが機能しないという問題があった。
アプリケーションレイヤのデータ検査にあたっては、単純なパタンマッチのみならず、プロトコルデータの構造解析やデータの復号、圧縮データの伸張などを行ってから、不正データか否かの検査を行う必要もある。このような処理内容は、1つのセッションで一意に決まるものではなく、アプリケーションデータの構造に基づいて、対象となる処理を選択する必要がある。このような背景から、一般に、アプリケーションレイヤのデータ検査では、ソフトウェア処理によって検査が行われているが、ソフトウェア処理では、CPU負荷が増大して、処理性能の向上が困難であるという問題があった。
本発明は、上記従来技術の問題点を解消し、アプリケーションレイヤのデータ検査の処理の一部をハードウェア処理にオフロードし、ソフトウェア処理の負荷を軽減できる情報検知処理方法及び装置を提供することを目的とする。
上記目的を達成するために、本発明の情報検知処理方法は、アプリケーションレイヤの通信トラヒックデータに基づいて、ハードウェア処理又はソフトウェア処理により、フロー単位で情報検知を行う情報検知処理装置における情報検知処理方法であって、入力データに対応するフローが、ソフトウェア処理対象であるか否かを判断し、前記入力データに対応するフローが、ソフトウェア処理対象であると判断すると、ソフトウェア処理により情報検知を行い、ソフトウェア処理対象でないと判断すると、フローデータの内容に基づいて、フローごとに設定されるソフトウェア処理対象に切り替える条件が成立しているか否かを判定し、前記条件が成立していると判定すると、入力データに対応するフローをソフトウェア処理対象に設定してソフトウェア処理により情報検知を行い、前記ソフトウェア処理での情報検知が終了すると、前記フローに対してソフトウェア処理対象の設定を解除することを特徴とする。
本発明の情報検知処理方法では、ソフトウェア処理対象に設定されていないフローについて、ソフトウェア処理に切り替える条件が成立したか否かを判定し、条件が成立したと判定すると、情報検知を、ソフトウェア処理により行う。本発明では、ソフトウェアでの詳細検査が必要な箇所でソフトウェア処理に切り替わるように、ソフトウェア処理への切り替え条件を設定することで、1つのアプリケーションセッション中の所望の箇所をソフトウェアで処理し、その他の箇所をハードウェアで処理できる。また、ソフトウェア処理による詳細な検査において、これ以降のデータに対してはソフトウェア処理で処理する必要がないと判断した場合には、ソフトウェア処理対象の設定を解除して、以降のデータをハードウェア処理によって検査する。このようにすることで、アプリケーションレイヤのデータ検査の処理の一部を効率的にハードウェア処理にオフロードすることができ、ソフトウェア処理の負荷を軽減することができる。
本発明の情報検知処理方法では、前記条件が成立していないと判定すると、ハードウェア処理により情報検知を行う構成を採用できる。ソフトウェア処理対象に設定されていない箇所のうちで、ソフトウェア処理対象への切り替え条件が成立していない箇所をハードウェア処理で検査することで、必要な箇所のみをソフトウェアで詳細に検査でき、ソフトウェア処理の負荷を軽減できる。
本発明の情報検知処理方法は、前記条件が成立しているか否かの判定では、前記入力データのフローのプロトコル種別に対応して設定された所定のキーワードを前記入力データから抽出すると、前記条件が成立していると判定する構成を採用できる。
本発明の情報検知処理方法は、前記ソフトウェア処理では、情報検知を終了すると、入力データのフローの処理内容に基づいて、前記ソフトウェア処理対象に切り替える条件を個別に設定する構成を採用できる。ソフトウェア処理では、データ検査の結果、特定の部分をハードウェア処理によって検査させた後に、ソフトウェア処理に復帰したい場合がある。この場合には、ソフトウェア処理側から、ソフトウェア処理へ切り替える条件を設定することにより、ソフトウェア処理が意図した箇所で、ソフトウェア処理に復帰させることができる。
本発明の情報検知処理方法では、前記条件が成立しているか否かの判定では、ソフトウェア処理によって指定されたデータサイズを処理すると、前記ソフトウェア処理へ切り替える条件が成立していると判定する構成を採用できる。例えば、HTTPプロトコルのHTTPリクエストに対するレスポンス方向のデータにおけるファイルのデータ本体部分について、ソフトウェア処理による詳細な検査が不要であった場合には、ソフトウェア処理側から、そのファイル本体分のサイズのデータをハードウェア処理で処理したことを、ソフトウェア処理へ切り替える条件として設定する。このようにすることで、ソフトウェア処理による検査が不要な部分を読み飛ばして、必要な箇所のみを、ソフトウェア処理で検査できる。
本発明の情報検知処理方法では、前記条件が成立しているか否かの判定では、ソフトウェア処理によって指定された、入力データのフローに依存する特定の文字列を抽出すると、前記ソフトウェア処理へ切り替え条件が成立していると判定する構成を採用できる。この場合には、特定の文字列の抽出を契機として、ソフトウェア処理に復帰できる。なお、ソフトウェア処理へ切り替える条件については、上記したものを、単独で、或いは、組み合わせて設定できる。組み合わせて設定した場合には、組み合わされた複数の条件のうちの何れかに該当したときに、条件が成立したと判定すればよい。
本発明の情報検知処理装置は、アプリケーションレイヤの通信トラヒックデータに基づいて、フロー単位で情報検知を行う情報検知処理装置であって、入力データを入力するデータ入力部と、ハードウェア処理により、前記入力データの情報検知を行うハードウェア処理部と、ソフトウェア処理により、前記入力データの情報検知を行うソフトウェア処理部と、フローごとに、ソフトウェア処理対象であるか、又は、ハードウェア処理対象であるかを示す情報を記憶するフロー管理情報を参照して、前記入力データのフローが、ソフトウェア処理対象であるか否かを取得するフロー情報検索部と、前記フロー情報検索部が、ソフトウェア処理対象である旨の情報を取得すると、前記ソフトウェア処理部で前記情報検知を行わせ、ソフトウェア処理対象でない旨の情報を取得すると、フローデータの内容に基づいて、ソフトウェア処理に切り替える条件が成立しているか否かを判定し、条件が成立していると判定すると、前記ソフトウェア処理部で前記情報検知を行わせ、成立していないと判定すると、前記ハードウェア処理部で前記情報検知を行わせる条件判定部とを備え、前記ソフトウェア処理部は、情報検知を終了すると、前記フロー管理情報の前記入力データに対応するフローをハードウェア処理対象に変更することを特徴とする。
本発明の情報検知処理装置では、入力データのフローがソフトウェア処理対象であれば、ソフトウェア処理部によって、情報検知を行う。ソフトウェア処理対象でない場合には、フローデータの内容に基づいて、ソフトウェア処理へ切り替える条件が成立しているか否かを判定し、成立している場合には、ソフトウェア処理部で情報検知を行い、成立していない場合には、ハードウェア処理部で情報検知を行う。本発明では、ソフトウェアでの詳細検査が必要な箇所でソフトウェア処理部による情報検知に切り替わるように、ソフトウェア処理への切り替え条件を設定することで、1つのアプリケーションセッション中の所望の箇所をソフトウェア処理部で処理し、その他の箇所をハードウェア処理部で処理することができる。また、ソフトウェア処理部による詳細な検査において、これ以降のデータに対してはソフトウェア処理部で処理する必要がないと判断した場合には、ソフトウェア処理対象の設定を解除して、以降のデータをハードウェア処理部によって検査する。これにより、アプリケーションレイヤのデータ検査の処理の一部を効率的にハードウェア処理部にオフロードすることができ、ソフトウェア処理部の負荷を軽減することができる。
本発明の情報検知処理装置では、前記フロー管理情報が、フローごとに、前記ソフトウェア処理に切り替える条件が成立しているか否かを判定するための条件情報を有しており、前記条件判定部は、該条件情報を参照して、ソフトウェア処理に切り替える条件が成立しているか否かを判定する構成を採用できる。
本発明の情報検知処理装置は、ネットワークを介してデータを受信し、該受信したデータにレイヤ4受信処理を行って前記データ入力部にデータを入力するレイヤ4受信処理部を更に備える構成を採用できる。また、前記ハードウェア処理部又は前記ソフトウェア処理部による情報検知処理後のデータに対してレイヤ4送信処理を行い、データを送信するレイヤ4送信処理部を更に備える構成を採用できる。
本発明の情報検知処理装置では、前記条件判定部は、前記入力データのフローのプロトコル種別に対応して設定された所定のキーワードを前記入力データから抽出すると、ソフトウェア処理へ切り替える条件が成立していると判定する構成を採用できる。
本発明の情報検知処理装置では、前記ソフトウェア処理部は、情報検知を終了すると、入力データのフローの処理内容に基づいて、前記ソフトウェア処理に切り替える条件を個別に設定する構成を採用できる。ソフトウェア処理部は、データ検査の結果、特定の部分をハードウェア処理部によって検査させた後に、ソフトウェア処理部による検査に復帰したい場合がある。この場合には、ソフトウェア処理部側から、ソフトウェア処理へ切り替える条件を設定することにより、ソフトウェア処理部が意図した箇所で、ソフトウェア処理部による検査に復帰させることができる。
本発明の情報検知処理装置では、前記条件判定部は、前記ソフトウェア処理部によって指定されたデータサイズを処理すると、前記ソフトウェア処理へ切り替える条件が成立していると判定する構成を採用できる。また、前記条件判定部は、前記ソフトウェア処理部によって指定された、入力データのフローに依存する特定の文字列を抽出すると、前記ソフトウェア処理へ切り替える条件が成立していると判定する構成を採用できる。
本発明の情報検知処理方法及び装置では、ソフトウェア処理対象に設定されていないフローについて、ソフトウェア処理に切り替える条件が成立したか否かを判定し、条件が成立したと判定すると、情報検知を、ソフトウェア処理により行う。本発明では、ソフトウェアでの詳細検査が必要な箇所でソフトウェア処理に切り替わるように、ソフトウェア処理への切り替え条件を設定することで、1つのアプリケーションセッション中の所望の箇所をソフトウェアで処理し、その他の箇所をハードウェアで処理でき、アプリケーションレイヤのデータ検査の処理の一部を効率的にハードウェア処理にオフロードすることで、ソフトウェア処理の負荷を軽減することができる。
以下、図面を参照し、本発明の実施の形態を詳細に説明する。図1は、本発明の第1実施形態の情報検知処理装置の構成を示している。情報検知処理装置100は、CPU10、データ処理部20、ネットワークインタフェース31、32、レイヤ4受信処理部33、及び、レイヤ4送信処理部34を備える。情報検知処理装置100は、対となったネットワークインタフェース31、32に接続された2つの端末201、202間の通信内容を、アプリケーションレイヤレベルで検査する装置である。
端末201、202は、ネットワークインタフェース31、32を介して、IPパケットベースのデータ通信で、データの送受信を行う。ネットワークインタフェース31及び32は、それぞれレイヤ3までのパケット送受信処理を行う。レイヤ4受信処理部33は、ネットワークインタフェース31、32が受信したパケットのレイヤ4の終端処理を行う。レイヤ4受信処理部33は、例えば、レイヤ4として広く使われているTCP(Transmission Control Protocol、RFC793)の終端処理を行い、順序制御された状態のパケットデータをデータ処理部20に受け渡す。また、UDP(User Datagram Protocol、RFC768)の場合では、チェックサム検査等の終端処理を行なった後のパケットデータを、データ処理部20に受け渡す。
図2は、CPU10及びデータ処理部20の詳細な構成を示している。CPU10は、ソフトウェア処理部11を有する。データ処理部20は、フロー情報検索部21、条件判定部22、ハードウェア処理部23、及び、選択部24を有する。端末201、202間の通信内容の検査は、ソフトウェア処理部11又はハードウェア処理部23で行われる。ハードウェア処理部23は、入力データに対して、パタンチェックや文字列検索などによりデータ検査処理を行う。ソフトウェア処理部11は、入力データに対して、プロトコルの不正判定やデータのデコード、圧縮の伸張などの前処理を行った上で、パタンチェックや文字列検索などによるデータ検査処理を行う。選択部24は、ソフトウェア処理部11又はハードウェア処理部23で検査されたデータを、レイヤ4送信処理部34に出力する。
フロー情報検索部21は、アプリケーションを特定する単位であるフロー情報を元に検索処理を行い、該当フローが、ソフトウェア処理部11によるソフトウェア処理の対象であるか否かを示す情報を取得する。フロー情報は、IPアドレス(送信元、宛先)、レイヤ4のプロトコル、及び、ポート番号で規定される。具体的には、送信元IPアドレス、宛先IPアドレス、TCPポート番号(発信元、宛先)で規定される。これらが逆になったものについても、同一のフローとなる。例えば、発信元(IP1,ポート番号1)→宛先(IP2,ポート番号2)のパケットと、発信元(IP2,ポート番号2)→宛先(IP1,ポート番号1)のパケットとは、同一のフローに属していて互いに反対の方向のフローである。すなわち、あるアプリケーションにおいて、クライアントとサーバ間で通信する双方向のデータの組をフローと定義する。フローを特定する情報としては、いくつか考えられ、例えば、ヘッダ情報そのものとすることができる。或いは、レイヤ4受信処理部33でフローを特定し、そのフローに装置内の識別子を付与してその識別子でフローを特定してもよい。以下では、フローの特定には、フロー識別子を用いるものとする。
条件判定部22は、フロー情報検索部21によって、ソフトウェア処理対象である旨の情報が取得されたフローについては、入力データをソフトウェア処理部11に受け渡し、入力データをソフトウェア処理部11で検査させる。条件判定部22は、フロー情報検索部21によって、ソフトウェア処理対象でない、つまり、ハードウェア処理部23によるハードウェア処理対象である旨の情報が取得されたフローについては、ソフトウェア処理部11での検査に切り替える条件が成立しているか否かを判断し、成立していると判断したときには、入力データをソフトウェア処理部11に受け渡す。また、条件が成立していないと判断したときには、入力データをハードウェア処理部23に受け渡す。
図3(a)は、フロー情報検索部21及び条件判定部22の詳細な構成を示している。フロー情報検索部21は、フロー状態検索部41とフロー管理テーブル42とを有する。フロー管理テーブル42の具体例を、同図(b)に示す。フロー管理テーブル42は、フローの識別子単位で、ソフトウェア処理対象であるか否かを示す情報と、ハードウェア処理部23で検査を行う際のハードウェア処理部23に対する指示情報と、条件判定部22でハードウェア処理とソフトウェア処理とを切り替える際の条件を示す指示情報とを有する。このフロー管理テーブル42には、個々のフローに依存した情報が格納される。フロー状態検索部41は、フロー管理テーブル42から、入力データのフローに該当するエントリを抽出する。
条件判定部22は、条件判定処理部43とプロトコル条件テーブル44とを有する。プロトコル条件テーブル44の具体例を、図3(c)に示す。プロトコル条件テーブル44は、プロトコル種別ごとに、複数の条件が設定されている。例えば、同図(c)では、HTTPのプロトコルに対して、「条件1」として「up:メソッド文字列」が設定され、「条件2」として「down:データ長」が設定されている。これら条件は、プロトコルごとに事前に設定することができるほか、ソフトウェア処理部11からの指示によって、動的に設定することもできる。条件判定処理部43は、ハードウェア処理対象のフローについて、フロー管理テーブル42(同図(b))の条件判定部22への指示情報と、プロトコル条件テーブル44で設定された条件とに基づいて、入力データを、ハードウェア処理部23による検査から、ソフトウェア処理部11による検査に切り替えるか否かを判断する。
図4は、情報検知処理装置100の動作手順を示している。フロー情報検索部21は、レイヤ4受信処理部33から、レイヤ4組み立て後のパケットを受信すると(ステップA1)、フロー管理テーブル42の入力データに対応するフロー情報を検索し(ステップA2)、当該フローがソフトウェア処理対象であるか否かを示す情報を取得する。条件判定部22は、当該フローがソフトウェア処理対象である否かを判断し(ステップA3)、ソフトウェア処理対象であると判断すると、入力データを、ソフトウェア処理部11に受け渡す。ソフトウェア処理部11は、受け取ったデータの検査を実行する(ステップA4)。
ソフトウェア処理部11は、入力データの検査を行い、検査後のデータを、選択部24に出力する。その際、ソフトウェア処理部11は、ソフトウェア処理での検査が完了したか否かを判断し(ステップA5)、検査が完了したと判断すると、フロー情報検索部21に信号を送信して、フロー管理テーブル42の「ソフトウェア処理」(図3(b))を「ソフトウェア処理対象=NO」に設定させ、ソフトウェア処理対象の設定を解除する(ステップA6)。検査が完了していない場合には、ソフトウェア処理対象の解除は行わず、ソフトウェア処理部11による検査を継続する。
ソフトウェア処理部11は、例えば、HTTPやSMTPのプロトコルのトラヒックデータを検査する際には、コマンドやレスポンスデータから、所定の情報パラメータを抽出すると、以後のソフトウェア処理は不要であると判断して、ソフトウェア処理対象の設定を解除する。その際、ソフトウェア処理部11は、後続するデータをハードウェア処理部23で処理する際の指示がある場合には、フロー管理テーブル42(図3(b))の「ハードウェア処理への指示情報」に、その指示の内容を書き込む。例えば、以後のデータについては検査が必要ない場合には、ハードウェア処理部23に対して、何も検査しないという指示情報を書き込む。
また、ソフトウェア処理部11は、ソフトウェア処理対象の設定解除に際して、必要に応じて、フロー管理テーブル42(図3(b))の「条件判定部への指示情報」やプロトコル条件テーブル44(図3(c))の条件を書き換えて、ハードウェア処理部23による検査からソフトウェア処理部11による検査に切り替える条件を設定する。例えば、HTTPプロトコルで、HTTPリクエストに対するレスポンスデータのデータ本文部分をハードウェア処理部23によって処理させた後にソフトウェア処理に切り替えたい場合には、プロトコル条件テーブル44に、「down:データ本文のサイズ」を書き込み、そのサイズのデータの処理後に、ソフトウェア処理に復帰するように設定する。
条件判定部22は、ステップA3で、ソフトウェア処理対象でないと判断すると、当該フローについて、ソフトウェア処理対象に切り替える条件が成立しているか否かを判定する(ステップA7)。この判定処理では、プロトコルとフローデータの方向とに対して、フロー管理テーブル42及びプロトコル条件テーブル44(図3(b)及び(c))で指定された条件と一致するか否かの判定を行う。具体的には、プロトコルのコマンドやメソッド、レスポンスを示す特定の文字列を、該当するプロトコルに応じて検索する。より詳細には、GETやPOSTなどのHTTPのメソッドを指定する文字列やレスポンスの文字列、SMTPにおけるトランザクション区切りのコマンド文字列などを検索する。図3(c)に示すプロトコル条件テーブル44では、条件にフローの方向(up,down)と比較文字列とが指定されており、これにより、コマンド、レスポンスのそれぞれに対する判定条件が指定される。
条件判定部22は、ステップA7で、条件が成立していないと判断すると、入力データをハードウェア処理部23に受け渡す。ハードウェア処理部23は、フロー管理テーブル42の「ハードウェア処理への指示情報」を参照して、指定された指示に基づいて、受け取ったデータの検査を行う(ステップA9)。ステップA9のハードウェア処理部23によるデータの検査は、典型的にはハードウェアによる文字列検索やシグネチャとのパタンマッチ処理である。ハードウェア処理部23は、例えば、メールに含まれるキーワード文字列検索による迷惑メール検知や、不正侵入、不正攻撃の検知をハードウェア処理にて実施する。ハードウェア処理部23は、「ハードウェア処理への指示情報」で、「何もしない」が指定されていた場合には、何もせずにデータを選択部24へ通過させる。
条件判定部22は、ステップA7で条件が成立していると判断すると、フロー管理テーブル42をソフトウェア処理対象に設定する(ステップA8)。その後、ステップA4に進み、ソフトウェア処理部11により入力データの検査を行う。選択部24は、ステップA6でソフトウェア処理部11で検査された後のデータ、又は、ステップA9でハードウェア処理部23で検査された後のデータを、レイヤ4送信処理部34に出力する(ステップA10)。レイヤ4送信処理部34は、選択部24から入力されたデータを、端末201又は202に送信する。
図5は、入力データを例示している。データ処理部20には、レイヤ4受信処理部33から、同図に示すパケット#1〜#12が順次に入力されるとする。TCPの場合に、これら入力データを組み立てて得られる、対応するアプリケーションフローのペイロードを1−1、2−1、1−2と示す。ペイロード1−1と1−2とは、同一方向のフローであり、例えばクライアントからサーバへのデータペイロードである。また、ペイロード2−1は、サーバからクライアントへのデータペイロードである。
データ処理部20に、パケット#1が入力されると、このフローに対する初期状態としてフロー管理テーブル42に「ソフトウェア処理状態」が記憶されていると、パケット#1は、ソフトウェア処理部11に受け渡され、ソフトウェア処理により、情報検知処理が行われる。次いで、パケット#2がソフトウェア処理部11に入力され、ソフトウェア処理において、これ以上のソフトウェア処理が不要であると判断されると、ソフトウェア処理部11は、フロー情報検索部21に所定の信号を送信し、フロー管理テーブル42における当該フローを、「ソフトウェア処理=NO」に設定させる。
パケット#3は、パケット#2の処理後にフロー管理テーブル42が「ソフトウェア処理=NO」に設定されているため、条件判定部22による条件判定処理の後、ハードウェア処理部23に受け渡されて、ハードウェア処理される。以降、パケット#3に後続するパケット#4〜#10も同様に、条件判定処理の後にハードウェア処理部23に受け渡され、ハードウェア処理でデータ検査が行われる。条件判定部22は、パケット#11に、フロー管理テーブル42の条件判定部への指示情報(図3(b))で指定された対象文字列と一致する文字列があることを抽出すると、フロー管理テーブル42を「ソフトウェア処理=YES」に設定した後に、パケット#11をソフトウェア処理部11に受け渡し、ソフトウェア処理による検査に切り替える。パケット#11に後続するパケット#12についても、ソフトウェア処理によって、検査が行われる。
本実施形態では、フロー管理テーブル42を参照して、入力データのフローがソフトウェア処理対象であるか否かを調べ、ソフトウェア処理対象であるときには、ソフトウェア処理部11によって入力データの検査を行う。ソフトウェア処理対象でないときには、ソフトウェア処理に切り替える条件が成立してるか否かを調べ、成立しているときには、ソフトウェア処理に切り替えてソフトウェア処理部11によって入力データの検査を行い、成立していないときには、ハードウェア処理部23によって入力データの検査を行う。このようにすることで、ひとつのアプリケーションセッション中でソフトウェア処理部11での検査とハードウェア処理部23での検査とを動的に切り替えることができ、詳細な検査が必要な箇所のみをソフトウェア処理で検査し、それ以外の箇所をハードウェア処理部23へオフロードすることで、ソフトウェア処理の負荷の増大を防止できる。
以下、実施例を用いて説明する。図6は、第1実施例で処理されるデータを示している。第1実施例では、ネットワークトラヒックは、HTTP(Hypertext Transmission Protocol、RFC2616)トラヒックである。同図におけるデータ1−1、1−2は、クライアントからのコマンドデータであり、データ2−1、2−2はサーバからのレスポンスデータである。HHTPのコマンドとレスポンスデータとを用いたプロトコルの不正チェックを行う場合には、プロトコルのコマンドとレスポンスをチェックすればよい。一方で、データ2−1とデータ2−2の区切りを探すためには、データ2−1、2−2の内容をチェックして本文情報を取得し、その長さ分のデータを読み飛ばすと共に、空行(連続する改行文字)を認識する必要がある。本実施例では、この処理をソフトウェア処理で実現することをスキップする。
具体的には、データ1−1をソフトウェア処理部11で検査した後、引き続き、データ2−1をソフトウェア処理部11で検査する。データ2−1の検査で、レスポンス文字列のチェックを完了すると、データ2−1の残りの部分はソフトウェアで処理する必要がないと判断して、フロー管理テーブル42を「ソフトウェア処理=NO」に設定する。その際、ソフトウェア処理部11は、データ2−1のデータ本文をハードウェア処理部23で検査させた後に、ソフトウェア処理部11での検査に復帰するように、データ2−1のデータ本文のデータサイズ2500byteを取得して、プロトコル条件テーブル44に、「down:2500byte」を設定する。データ本文のデータサイズは、“Content-Length」の行から取得できる。
条件判定部22は、レスポンス方向のデータに関して、ソフトウェア処理部11によって設定された条件「down:2500byte」が成立するか否かを判断しつつ、コマンド方向のデータに関して、「条件判定部への指示情報」で指定されたGETやPOSTなどのコマンドメソッド文字列が検出されたか否かを判断する。レスポンス方向に指定されたデータ長(2500byte)のデータが通過し、或いは、コマンド方向のデータにコマンドメソッド文字列のデータが検出されことで、データ1−2は、「ソフトウェア処理対象=YES」となり、ソフトウェア処理部11で検査される。データ2−2についても、データ2−1と同様に、レスポンス文字列の検査後に「ソフトウェア処理対象=NO」に設定し、ファイル開始からファイル終わりまでの20000byteのデータが通過したことをソフトウェア処理に切り替える条件に設定して、データ2−2の検査終了後に、ソフトウェア処理へ復帰するようにする。このようにすることにより、詳細な検査が必要な箇所をソフトウェア処理部11で処理させ、それ以外の箇所を、ハードウェア処理部23で検査させることができる。
図7は、第2実施例で処理されるデータを示している。第2実施例では、ネットワークトラヒックは、SMTP(Simple Mail Transfer Protocol、RFC2821)トラヒックである。同図におけるデータ3−1〜3−7はクライアントからのコマンドデータであり、データ4−1〜4−7はサーバからのレスポンスデータである。SMTPでは、一つのSMTPセッションで複数の電子メールを送信することができる。このときに、個々のメールトランザクションを開始するコマンドとして、「HELO」、「EHLO」、「RSET」がある。図7に示すデータでは、データ3−1で、トランザクション開始を検出してソフトウェア処理部11による検査を開始し、以降、データ4−1〜4−4、データ3−2〜3−4を、ソフトウェア処理部11で検査する。
ソフトウェア処理部11は、メール本文に対応するデータ3−5の開始時点で、フロー管理テーブル42を更新し、ソフトウェア処理対象の設定を解除する。これにより、データ3−5は、ハードウェア処理部23に転送されて、ハードウェア処理により検査される。プロトコル条件テーブル44には、ソフトウェア処理へ切り替える条件として、メール本文の終了を示す文字列である空行文字(CR+LF+“.”+CR+LF、ただしCR=0x0D、LF=0x0A)が設定されている。条件判定部22は、データ3−5の最終部分で空行文字を検出すると、フロー管理テーブル42を更新して、ソフトウェア処理対象に設定する。これにより、次のメールトランザクションのプロトコル不正チェックを、ソフトウェア処理にて行うことができる。
なお、ソフトウェア処理部11がソフトウェア処理対象を解除するタイミングは、データ3−5には限定されない。例えば、迷惑メール判定などの場合には、データ3−2で、MAIL FROMコマンドで示される送信元アドレスが、あらかじめ登録された信頼できる送信元と一致するか否かを判定して、一致する場合には、その時点で、ソフトウェア処理対象を解除してもよい。この場合には、データ4−2以降のデータは、ハードウェア処理部23で検査されることになり、ソフトウェアの処理負担を軽減することができる。
図8は、第3実施例で処理されるデータを示している。第3実施例では、データは、SMTPで転送される電子メール本文がMIME(multipurpose internet mail extensions、RFC2045〜2049)で規定されるフォーマットに従って複数種別のデータを含んでいる。各パートは、デリミタ(区切り文字)と呼ばれる文字列で区切られており、テキストデータや画像ファイル、実行ファイルなど、種々のデータ種別を持っている。同図では、文字列“-multipart”がデリミタに相当する。条件判定部22は、プロトコル条件テーブル44(図3(c))に登録された条件により、このデリミタを検出すると、ソフトウェア処理に切り替える条件が成立したと判断するように設定される。
図8では、データ先頭ではソフトウェア処理によりデータの検査を行い、第1パートの途中で、ソフトウェア処理からハードウェア処理に処理が切り替わる。その後、第1パートと第2パートとの区切りのデリミタを検出することで、検査をソフトウェア処理に切り替える。第2パートでは、ソフトウェア処理からハードウェア処理への切り替えは行われずに、ソフトウェア処理状態のまま、第3パートの検査を継続して行う。
第3パートの途中でソフトウェア処理からハードウェア処理への切り替えが行われ、第3パートの残りの部分は、ハードウェア処理部23によって検査される。第3パートの終了部分でデリミタが検出されると、検査をソフトウェア処理に切り替える。このように、区切りの文字列をソフトウェア処理への切り替えの条件として設定することで、各パートの先頭ではソフトウェアで詳細な検査を行い、パート中の詳細な検査が不要な箇所ではハードウェア処理による検査に切り替えることができる。従って、ソフトウェア処理の負荷を下げることができる。
図9は、本発明の第2実施形態のアプリケーションデータ検査処理装置の構成を示している。第1実施形態との違いは、レイヤ4受信処理部33は、レイヤ4プロトコルのモニタのみを行い、端末間の通信データを終端しない点である。ソフトウェア処理部11及びハードウェア処理部23は、入力データの検査に応じた制御信号を、選択部24を介して、送信処理部35に入力する。本実施形態では、ソフトウェア処理部11及びハードウェア処理部23では、レイヤ4の受信処理によって組み立てられたデータに対して検査を行い、端末装置間のデータについては、レイヤ4受信処理を行わない。この場合でも、図3に示した動作手順と同様な動作手順で入力データの検査を行うことができ、第1実施形態と同様な効果を得ることができる。
なお、ソフトウェア処理部11でソフトウェア処理を完了してハードウェア処理部23に移行する条件、及び、ハードウェア処理部23による検査からソフトウェア処理部11による検査に切り替える条件は、処置の対象となるプロトコルやデータ種別に依存する。上記実施形態や実施例で示した条件は一例であり、上記で説明したものに限定されるものではない。
以上、本発明をその好適な実施形態に基づいて説明したが、本発明の情報検知処理方法及び装置は、上記実施形態例にのみ限定されるものではなく、上記実施形態の構成から種々の修正及び変更を施したものも、本発明の範囲に含まれる。
本発明の第1実施形態の情報検知処理装置の構成を示すブロック図。 CPU及びデータ処理部の詳細な構成を示すブロック図。 (a)は、フロー情報検索部及び条件判定部の詳細な構成を示すブロック図、(b)は、フロー管理テーブルの具体例を示す図、(c)は、プロトコル条件テーブルの具体例を示す図。 情報検知処理装置の動作手順を示すフローチャート。 入力データの具体例を示す図。 第1実施例で処理されるデータを示す図。 第2実施例で処理されるデータを示す図。 第3実施例に処理されるデータを示す図。 本発明の第2実施形態のアプリケーションデータ検査処理装置の構成を示すブロック図。
符号の説明
10:CPU
11:ソフトウェア処理部
20:データ処理部
21:フロー情報検索部
22:条件判定部
23:ハードウェア処理部
24:選択部
33:レイヤ4受信処理部
34:レイヤ4送信処理部
35:送信処理部
31、32:ネットワークインタフェース
41:フロー状態検索部
42:フロー管理テーブル
43:条件判定処理部
44:プロトコル条件テーブル

Claims (14)

  1. アプリケーションレイヤの通信トラヒックデータに基づいて、ハードウェア処理又はソフトウェア処理により、フロー単位で情報検知を行う情報検知処理装置における情報検知処理方法であって、
    入力データに対応するフローが、ソフトウェア処理対象であるか否かを判断し、
    前記入力データに対応するフローが、ソフトウェア処理対象であると判断すると、ソフトウェア処理により情報検知を行い、ソフトウェア処理対象でないと判断すると、フローデータの内容に基づいて、フローごとに設定されるソフトウェア処理対象に切り替える条件が成立しているか否かを判定し、前記条件が成立していると判定すると、入力データに対応するフローをソフトウェア処理対象に設定してソフトウェア処理により情報検知を行い、
    前記ソフトウェア処理での情報検知が終了すると、前記フローに対してソフトウェア処理対象の設定を解除することを特徴とする情報検知処理方法。
  2. 前記条件が成立していないと判定すると、ハードウェア処理により情報検知を行う、請求項1に記載の情報検知処理方法。
  3. 前記条件が成立しているか否かの判定では、前記入力データのフローのプロトコル種別に対応して設定された所定のキーワードを前記入力データから抽出すると、前記条件が成立していると判定する、請求項1に記載の情報検知処理方法。
  4. 前記ソフトウェア処理では、情報検知を終了すると、入力データのフローの処理内容に基づいて、前記ソフトウェア処理対象に切り替える条件を個別に設定する、請求項1に記載の情報検知処理方法。
  5. 前記条件が成立しているか否かの判定では、ソフトウェア処理によって指定されたデータサイズを処理すると、前記ソフトウェア処理へ切り替える条件が成立していると判定する、請求項4に記載の情報検知処理方法。
  6. 前記条件が成立しているか否かの判定では、ソフトウェア処理によって指定された、入力データのフローに依存する特定の文字列を抽出すると、前記ソフトウェア処理へ切り替え条件が成立していると判定する、請求項4に記載の情報検知処理方法。
  7. アプリケーションレイヤの通信トラヒックデータに基づいて、フロー単位で情報検知を行う情報検知処理装置であって、
    入力データを入力するデータ入力部と、
    ハードウェア処理により、前記入力データの情報検知を行うハードウェア処理部と、
    ソフトウェア処理により、前記入力データの情報検知を行うソフトウェア処理部と、
    フローごとに、ソフトウェア処理対象であるか、又は、ハードウェア処理対象であるかを示す情報を記憶するフロー管理情報を参照して、前記入力データのフローが、ソフトウェア処理対象であるか否かを取得するフロー情報検索部と、
    前記フロー情報検索部が、ソフトウェア処理対象である旨の情報を取得すると、前記ソフトウェア処理部で前記情報検知を行わせ、ソフトウェア処理対象でない旨の情報を取得すると、フローデータの内容に基づいて、ソフトウェア処理に切り替える条件が成立しているか否かを判定し、条件が成立していると判定すると、前記ソフトウェア処理部で前記情報検知を行わせ、成立していないと判定すると、前記ハードウェア処理部で前記情報検知を行わせる条件判定部とを備え、
    前記ソフトウェア処理部は、情報検知を終了すると、前記フロー管理情報の前記入力データに対応するフローをハードウェア処理対象に変更することを特徴とする情報検知処理装置。
  8. 前記フロー管理情報が、フローごとに、前記ソフトウェア処理に切り替える条件が成立しているか否かを判定するための条件情報を有しており、前記条件判定部は、該条件情報を参照して、ソフトウェア処理に切り替える条件が成立しているか否かを判定する、請求項7に記載の情報検知処理装置。
  9. ネットワークを介してデータを受信し、該受信したデータにレイヤ4受信処理を行って前記データ入力部にデータを入力するレイヤ4受信処理部を更に備える、請求項7に記載の情報検知処理装置。
  10. 前記ハードウェア処理部又は前記ソフトウェア処理部による情報検知処理後のデータに対してレイヤ4送信処理を行い、データを送信するレイヤ4送信処理部を更に備える、請求項7に記載の情報検知処理装置。
  11. 前記条件判定部は、前記入力データのフローのプロトコル種別に対応して設定された所定のキーワードを前記入力データから抽出すると、ソフトウェア処理へ切り替える条件が成立していると判定する、請求項7に記載の情報検知処理装置。
  12. 前記ソフトウェア処理部は、情報検知を終了すると、入力データのフローの処理内容に基づいて、前記ソフトウェア処理に切り替える条件を個別に設定する、請求項7に記載の情報検知処理装置。
  13. 前記条件判定部は、前記ソフトウェア処理部によって指定されたデータサイズを処理すると、前記ソフトウェア処理へ切り替える条件が成立していると判定する、請求項12に記載の情報検知処理装置。
  14. 前記条件判定部は、前記ソフトウェア処理部によって指定された、入力データのフローに依存する特定の文字列を抽出すると、前記ソフトウェア処理へ切り替える条件が成立していると判定する、請求項12に記載の情報検知処理装置。
JP2006098330A 2006-03-31 2006-03-31 情報検知処理方法及び装置 Expired - Fee Related JP4872412B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006098330A JP4872412B2 (ja) 2006-03-31 2006-03-31 情報検知処理方法及び装置
US11/729,829 US20070233892A1 (en) 2006-03-31 2007-03-30 System and method for performing information detection

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006098330A JP4872412B2 (ja) 2006-03-31 2006-03-31 情報検知処理方法及び装置

Publications (2)

Publication Number Publication Date
JP2007272628A true JP2007272628A (ja) 2007-10-18
JP4872412B2 JP4872412B2 (ja) 2012-02-08

Family

ID=38560767

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006098330A Expired - Fee Related JP4872412B2 (ja) 2006-03-31 2006-03-31 情報検知処理方法及び装置

Country Status (2)

Country Link
US (1) US20070233892A1 (ja)
JP (1) JP4872412B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9600319B2 (en) 2013-10-04 2017-03-21 Fujitsu Limited Computer-readable medium, apparatus, and method for offloading processing from a virtual switch to a physical switch
JP2019097053A (ja) * 2017-11-24 2019-06-20 日本電信電話株式会社 パケット識別装置および方法
WO2024171441A1 (ja) * 2023-02-17 2024-08-22 日本電信電話株式会社 情報処理装置、情報処理方法、および情報処理プログラム

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002084499A1 (en) 2001-04-11 2002-10-24 Chelsio Communications, Inc. Multi-purpose switching network interface controller
US7660264B1 (en) 2005-12-19 2010-02-09 Chelsio Communications, Inc. Method for traffic schedulign in intelligent network interface circuitry
US7724658B1 (en) 2005-08-31 2010-05-25 Chelsio Communications, Inc. Protocol offload transmit traffic management
US7660306B1 (en) 2006-01-12 2010-02-09 Chelsio Communications, Inc. Virtualizing the operation of intelligent network interface circuitry
US7616563B1 (en) 2005-08-31 2009-11-10 Chelsio Communications, Inc. Method to implement an L4-L7 switch using split connections and an offloading NIC
US8935406B1 (en) 2007-04-16 2015-01-13 Chelsio Communications, Inc. Network adaptor configured for connection establishment offload
US8589587B1 (en) * 2007-05-11 2013-11-19 Chelsio Communications, Inc. Protocol offload in intelligent network adaptor, including application level signalling
US8060644B1 (en) 2007-05-11 2011-11-15 Chelsio Communications, Inc. Intelligent network adaptor with end-to-end flow control
JP5540537B2 (ja) * 2009-03-24 2014-07-02 株式会社オートネットワーク技術研究所 制御装置、制御方法及びコンピュータプログラム
CN105656769B (zh) * 2014-11-11 2018-11-09 阿里巴巴集团控股有限公司 业务数据处理方法、装置及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11328376A (ja) * 1998-05-08 1999-11-30 Canon Inc 情報入出力方法及び装置並びに記憶媒体
JP2002517855A (ja) * 1998-06-12 2002-06-18 マイクロソフト コーポレイション 処理タスクをソフトウエアからハードウエアにオフロードする方法およびコンピュータ・プログラム製品
JP2004030612A (ja) * 2002-04-30 2004-01-29 Microsoft Corp オフロードされたネットワークスタックの状態オブジェクトをアップロードする方法及びそれを同期する方法
JP2005085284A (ja) * 2003-09-10 2005-03-31 Microsoft Corp フェイルオーバーイベントをサポートするネットワーク状態オブジェクトの多重オフロード

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6904519B2 (en) * 1998-06-12 2005-06-07 Microsoft Corporation Method and computer program product for offloading processing tasks from software to hardware
US7415723B2 (en) * 2002-06-11 2008-08-19 Pandya Ashish A Distributed network security system and a hardware processor therefor
US7509493B2 (en) * 2004-11-19 2009-03-24 Microsoft Corporation Method and system for distributing security policies

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11328376A (ja) * 1998-05-08 1999-11-30 Canon Inc 情報入出力方法及び装置並びに記憶媒体
JP2002517855A (ja) * 1998-06-12 2002-06-18 マイクロソフト コーポレイション 処理タスクをソフトウエアからハードウエアにオフロードする方法およびコンピュータ・プログラム製品
JP2004030612A (ja) * 2002-04-30 2004-01-29 Microsoft Corp オフロードされたネットワークスタックの状態オブジェクトをアップロードする方法及びそれを同期する方法
JP2005085284A (ja) * 2003-09-10 2005-03-31 Microsoft Corp フェイルオーバーイベントをサポートするネットワーク状態オブジェクトの多重オフロード

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9600319B2 (en) 2013-10-04 2017-03-21 Fujitsu Limited Computer-readable medium, apparatus, and method for offloading processing from a virtual switch to a physical switch
JP2019097053A (ja) * 2017-11-24 2019-06-20 日本電信電話株式会社 パケット識別装置および方法
WO2024171441A1 (ja) * 2023-02-17 2024-08-22 日本電信電話株式会社 情報処理装置、情報処理方法、および情報処理プログラム

Also Published As

Publication number Publication date
US20070233892A1 (en) 2007-10-04
JP4872412B2 (ja) 2012-02-08

Similar Documents

Publication Publication Date Title
JP4872412B2 (ja) 情報検知処理方法及び装置
US9787700B1 (en) System and method for offloading packet processing and static analysis operations
US9100291B2 (en) Systems and methods for extracting structured application data from a communications link
US7580411B2 (en) Network flow/stream simulation method
JP2008054310A (ja) 伝送制御プロトコル(tcp)セッションのセグメントを解析する装置、システム、及び方法
US8621078B1 (en) Certificate selection for virtual host servers
Jabiyev et al. T-reqs: Http request smuggling with differential fuzzing
EP1122932A2 (en) Protection of computer networks against malicious content
US11159560B1 (en) Identifying network applications using images generated from payload data and time data
US11190607B2 (en) Communication monitoring apparatus, communication monitoring method, and computer-readable non-transitory storage medium
CN102223266B (zh) 一种协议代理检测方法和装置
US9832069B1 (en) Persistence based on server response in an IP multimedia subsystem (IMS)
US20160255176A1 (en) Information processing device, method, and medium
US8214898B2 (en) ICAP processing of partial content to identify security issues
JP7412363B2 (ja) データストリームのプロトコルの識別
EP1728349A2 (en) A method for speeding up the pass time of an executable through a checkpoint
EP3319288A1 (en) Protocol detection by parsing layer-4 packets in a network security system
US7689674B2 (en) Selective exclusion of LSPs on a per-packet basis
JP4027213B2 (ja) 侵入検知装置およびその方法
JP5606059B2 (ja) プロトコルスタックにおいて下位層から上位層まで受信データセグメントを送信する方法、プロトコルスタック、及びプロトコルスタックの端末
EP1782197B1 (en) A method for preventing activation of malicious objects
KR102607050B1 (ko) 압축 패킷의 보안 처리 방법 및 이를 이용하는 보안 지원 장치
US7840660B1 (en) System, method, and computer program product for determining whether a process identified utilizing a first proxy is associated with an additional proxy
CN111949542B (zh) 回归测试或者压力测试的生成数据的提取方法及装置
JP6529033B2 (ja) 情報処理装置、方法およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090212

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20100223

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110215

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110418

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111025

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111107

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141202

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4872412

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees