JP2009260880A - パケット転送制御装置およびパケット転送制御方法 - Google Patents
パケット転送制御装置およびパケット転送制御方法 Download PDFInfo
- Publication number
- JP2009260880A JP2009260880A JP2008110209A JP2008110209A JP2009260880A JP 2009260880 A JP2009260880 A JP 2009260880A JP 2008110209 A JP2008110209 A JP 2008110209A JP 2008110209 A JP2008110209 A JP 2008110209A JP 2009260880 A JP2009260880 A JP 2009260880A
- Authority
- JP
- Japan
- Prior art keywords
- information
- depth
- packet
- extracted
- pattern
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】情報の抽出に伴うレイテンシを抑制することを課題とする。
【解決手段】パケット転送制御装置は、パターンと深度とを対応づけて記憶する深度記憶部を備える。パケット転送制御装置は、パターンの設定を受け付けた場合に、受け付けたパターンを用いて深度記憶部を検索し、パターンに対応づけて記憶されている深度を取得することで、入力されたパケットから抽出すべき情報の深度を導出する。また、パケットの入力を受け付けると、パケットの先頭から順に情報を抽出する。この際、パケット転送制御装置は、抽出した情報が導出した深度を超えた場所に位置づけられる情報であるか否かを判定する。未だ深度を超えた場所に位置づけられる情報でないと判定すると、パケット転送制御装置は、情報の抽出を継続し、深度を超えた場所に位置づけられる情報であると判定すると、情報の抽出を終了する。
【選択図】 図1
【解決手段】パケット転送制御装置は、パターンと深度とを対応づけて記憶する深度記憶部を備える。パケット転送制御装置は、パターンの設定を受け付けた場合に、受け付けたパターンを用いて深度記憶部を検索し、パターンに対応づけて記憶されている深度を取得することで、入力されたパケットから抽出すべき情報の深度を導出する。また、パケットの入力を受け付けると、パケットの先頭から順に情報を抽出する。この際、パケット転送制御装置は、抽出した情報が導出した深度を超えた場所に位置づけられる情報であるか否かを判定する。未だ深度を超えた場所に位置づけられる情報でないと判定すると、パケット転送制御装置は、情報の抽出を継続し、深度を超えた場所に位置づけられる情報であると判定すると、情報の抽出を終了する。
【選択図】 図1
Description
本発明は、パケット転送制御装置およびパケット転送制御方法に関する。
ネットワーク機器や、ネットワークに接続するコンピュータなどの装置は、一般的に、ネットワーク経由で行われる不正アクセスを防止することなどを目的として、アクセス制御リスト(ACL:Access Control List)を設定する(例えば、特許文献1など)。また、ネットワーク機器やコンピュータなどの装置は、通信内容に応じてパケットの転送先を変更することなどを目的として、アクセス制御リストを設定する。
例えば、図7に示すように、ネットワーク機器であるスイッチ(Switch)は、LAN(Local Area Network)に接続する受信ポート側にアクセス制御リストを設定する。この時、スイッチは、パターンに従って記述されたルールをアクセス制御リストに設定している。ここで、パターンとは、パケットに含まれる情報の内どの情報を比較対象として照合を行うかを示す種類のことであり、パケットの転送を制御する際にパケットから抽出すべき情報の種類のことである。そして、スイッチは、スイッチに入力されたパケットに含まれる情報とルールとを比較することで、不正アクセスを防止したり、転送先のサーバ(Server)を変更する。この時、スイッチは、例えば、図7に示すように、パケットの先頭から順に、OSI(Open Systems Interconnection)でいうところのレイヤ2、レイヤ3、レイヤ4などの情報を抽出する。なお、図7は、アクセス制御リストを説明するための図である。
図8を用いて、アクセス制御リストを設定した従来のスイッチの構成を簡単に説明する。図8は、従来技術を説明するための図である。従来のスイッチは、図8に示すように、受信ポートからパケットの入力を受け付けると、パケット解析部が、パケットから、パケットに含まれる情報を抽出する。続いて、パターン照合部が、抽出された情報と、予め具体的な比較値を設定されたパターンとを照合し、抽出された情報がパターンに一致するか否かの比較結果を出力する。そして、ルール検索部が、比較結果を用いてルールを検索し、アクション検索部が、検索したルールを用いてアクションを検索する。その後、スイッチ部が、検索したアクションに基づいてパケットの転送を制御する。
ところで、上記した従来の技術では、情報の抽出に伴うレイテンシが増加してしまうという課題があった。
すなわち、上記したように、アクセス制御リストを設定した装置は、アクセス制御にあたり、パターン照合に用いられる情報をパケットから抽出しなければならない。この時、従来の装置は、パターン照合に必要な情報の深度(パケットの先頭からの深さで示す情報の位置)とは無関係に一律の深度で情報を抽出していた。このため、パターン照合に必要な深度が浅い場合であっても、従来の装置は、一律の深度まで情報を抽出し、抽出が終了しない限り、スイッチ部によるパケットの転送を行うことができなかった。結果として、従来の装置では、不要な情報を抽出している時間分、レイテンシが増加してしまうという課題があった。
そこで、本発明は、上記した従来の技術の課題を解決するためになされたものであり、情報の抽出に伴うレイテンシを抑制することが可能なパケット転送制御装置およびパケット転送制御方法を提供することを目的とする。
上述した課題を解決し、目的を達成するため、パケットの転送を制御する際に当該パケットから抽出すべき情報の種類を示すパターンと、当該パターンでパケットの転送を制御する際に当該抽出すべき情報の位置を当該パケットの先頭からの深さで示す深度とを対応づけて記憶する深度記憶手段と、前記パターンの設定を受け付けた場合に、当該パターンを用いて前記深度記憶手段を検索し、当該パターンに対応づけて記憶されている深度を取得することで、入力されたパケットから抽出すべき情報の深度を導出する深度導出手段と、パケットの入力を受け付けると、当該パケットの先頭から順に情報を抽出する抽出手段と、前記抽出手段によって抽出された情報が前記深度導出手段によって導出された深度を超えた場所に位置づけられる情報であるか否かを判定し、未だ前記深度を超えた場所に位置づけられる情報でないと判定すると、前記抽出手段による情報の抽出を継続させ、前記深度を超えた場所に位置づけられる情報であると判定すると、前記抽出手段による情報の抽出を終了させる判定手段とを備える。
情報の抽出に伴うレイテンシを抑制することが可能になる。
以下に添付図面を参照して、本発明に係るパケット転送制御装置およびパケット転送制御方法の実施例を詳細に説明する。なお、以下では、まず、実施例1に係るパケット転送制御装置の概要を説明し、続いて、実施例1に係るパケット転送制御装置の構成、処理の手順および効果を説明する。その後、他の実施例を説明する。
[実施例1に係るパケット転送制御装置の概要]
まず、図1を用いて、実施例1に係るパケット転送制御装置の概要を説明する。図1は、実施例1に係るパケット転送制御装置の概要を説明するための図である。
まず、図1を用いて、実施例1に係るパケット転送制御装置の概要を説明する。図1は、実施例1に係るパケット転送制御装置の概要を説明するための図である。
実施例1に係るパケット転送制御装置は、従来の装置と同様、パケット解析部、パターン照合部、ルール検索部、アクション検索部およびスイッチ部を備える。もっとも、実施例1に係るパケット転送制御装置は、入力されたパケットから抽出すべき情報の深度を導出する点と、パケット解析部による情報の抽出が、導出した深度に基づいて制御される点とが、従来の装置と異なる。
具体的に説明すると、実施例1に係るパケット転送制御装置は、図1に示すように、深度記憶部を備える。深度記憶部は、パターンと深度とを対応づけて記憶する。ここで、パターンとは、パケットの転送を制御する際にパケットから抽出すべき情報の種類を示すものであり、例えば、『MAC SA』(送信元のMACアドレス)や、『Src IP』(送信元のIPアドレス)といったものである。また、深度とは、パケットの転送を制御する際に抽出すべき情報の位置をパケットの先頭からの深さで示すものである。例えば、『00』(2進数)(L2)や『01』(L3)といったものである。すなわち、『MAC SA』と『00』(L2)との対応づけは、パケットから抽出すべき情報が、送信元のMACアドレスであるため、抽出すべき情報の深度は、レイヤ2の深さであることを意味する。
また、実施例1に係るパケット転送制御装置は、図1に示すように、入力されたパケットから抽出すべき情報の深度を導出する。具体的には、パケット転送制御装置は、パターンの設定を受け付けた場合に、受け付けたパターンを用いて深度記憶部を検索し、パターンに対応づけて記憶されている深度を取得することで、深度を導出する。例えば、パケット転送制御装置は、『Src IP』(送信元のIPアドレス)のパターンの設定を受け付けた場合に、『Src IP』を用いて深度記憶部を検索し、深度『01』を取得することで、深度『01』を導出する。
こうして、実施例1に係るパケット転送制御装置は、導出した深度に基づいて、パケットの転送を制御する。具体的には、パケット転送制御装置のパケット解析部は、情報を抽出すると、抽出した情報が、導出した深度を超えた場所に位置づけられる情報であるか否かを判定する。そして、パケット解析部は、未だ深度を超えた場所に位置づけられる情報でないと判定すると、情報の抽出を継続し、導出した深度を超えた場所に位置づけられる情報であると判定すると、情報の抽出を終了する。
例えば、パケット解析部は、レイヤ2の情報を抽出すると、抽出した情報が、深度『01』を超えた場所に位置づけられる情報であるか否かを判定する。パケット解析部は、未だ深度『01』を超えた場所に位置づけられる情報でないと判定し、抽出したレイヤ2の情報をパターン照合部に送信するとともに、レイヤ3の情報の抽出に移行する。続いて、パケット解析部は、レイヤ3の情報を抽出すると、抽出した情報が、深度『01』を超えた場所に位置づけられる情報であるか否かを判定する。パケット解析部は、未だ深度『01』を超えた場所に位置づけられる情報でないと判定し、抽出したレイヤ3の情報をパターン照合部に送信するとともに、レイヤ4の情報の抽出に移行する。続いて、パケット解析部は、レイヤ4の情報を抽出すると、抽出した情報が、深度『01』を超えた場所に位置づけられる情報であるか否かを判定する。パケット解析部は、深度『01』を超えた場所に位置づけられる情報であると判定し、情報の抽出を終了する。
このようなことから、実施例1に係るパケット転送制御装置は、パターン照合に必要な情報の深度とは無関係に一律の深度で情報を抽出する従来の手法とは異なり、情報の抽出に伴うレイテンシを抑制することが可能になる。
[実施例1に係るパケット転送制御装置の構成]
次に、図2および図3を用いて、実施例1に係るパケット転送制御装置の構成を説明する。図2は、実施例1に係るパケット転送制御装置の構成を示すブロック図であり、図3は、深度導出部を説明するための図である。
次に、図2および図3を用いて、実施例1に係るパケット転送制御装置の構成を説明する。図2は、実施例1に係るパケット転送制御装置の構成を示すブロック図であり、図3は、深度導出部を説明するための図である。
パケット転送制御装置10は、図2に示すように、特に、受信ポート11と、送信ポート12と、アクセス制御リスト部100と、スイッチ部200とを備える。
受信ポート11は、パケットを受信する。送信ポート12は、パケットを送信する。スイッチ部200は、アクセス制御リスト部100からアクションを伝達されると、伝達されたアクションに従ってパケットの転送を制御し、送信ポート12に送出したり、廃棄する。また、スイッチ部200は、不正パケット検出部170から不正パケットを検出した旨を通知されると、不正パケットを廃棄する。
アクセス制御リスト部100は、図2に示すように、特に、パケット解析部110と、パターン照合部120と、ルール検索部130と、アクション検索部140とを備える。
パケット解析部110は、パケットを解析し、パケットからパケットに含まれる情報を抽出する。具体的には、パケット解析部110は、受信ポート11からパケットの入力を受け付けると、パケットからパケットに含まれる情報を抽出し、パターン照合部120に伝達する。
ところで、パケット解析部110は、抽出終了判定部111を備える。抽出終了判定部111は、パケット解析部110によってパケットから情報が抽出されると、抽出された情報が、後述する深度導出部160によって導出された深度を超えた場所に位置づけられる情報であるか否かを判定する。そして、抽出終了判定部111は、未だ深度を超えた場所に位置づけられる情報でないと判定すると、パケット解析部110による情報の抽出を継続させる。また、抽出終了判定部111は、深度を超えた場所に位置づけられる情報であると判定すると、パケット解析部110による情報の抽出を終了させる。
また、実施例1におけるパケット解析部110は、後述する不正パケット検出部170から、不正パケットを検出した旨の通知を受けると、情報の抽出を終了する。
パターン照合部120は、ルールを検索するための照合結果を出力する。また、パターン照合部120は、図2に示すように、パターン記憶部121を備える。
パターン記憶部121は、ポートに関する情報と、パターンとを対応づけて記憶する。例えば、パターン記憶部121は、図3に示すように、『p1』と『pat1』とを対応づけて記憶する。ここで、『p1』は、パケットから抽出すべき情報の種類が『pat1』であるポート番号を集約した情報である。例えば、『p1』は、『ポート1』、『ポート2』および『ポート3』の3つのポート番号を示す。
なお、図示していないが、パターン照合部120は、パケットから抽出した情報と照合する具体的な比較値も記憶している。すなわち、パターン照合部120は、パケット解析部110から情報を伝達されると、予め記憶している具体的な比較値と照合することでパターン照合を行い、照合結果を出力して、ルール検索部130に伝達する。
ルール検索部130は、照合結果を用いてルールを検索する。具体的には、ルール検索部130は、図示していないが、ルール記憶部を備え、パターン照合部120による照合結果が出力されると、入力されたパケットが、ルール記憶部が記憶する複数のルールの内いずれのルールに該当するパケットであるかを検索する。この結果、ルール検索部130は、照合結果が等しいルール、もしくは、『Don’t Care』で記述されたルールを検索することになる。そして、ルール検索部130は、検索したルールを識別するルール番号を出力する。
アクション検索部140は、ルール番号を用いてアクションを検索する。具体的には、アクション検索部140は、図示していないが、アクション記憶部を備える。アクション記憶部は、例えば、ルール番号と、「パケットを転送せずに廃棄する」というアクションとの対応づけを、複数記憶する。
また、アクション検索部140は、ルール検索部130によってルール番号が出力されると、出力されたルール番号を用いてアクション記憶部を検索し、ルール番号に対応づけて記憶されているアクションを取得する。そして、アクション検索部140は、取得したアクションを、スイッチ部200に伝達する。
深度記憶部150は、パターンと深度とを対応づけて記憶する。ここで、パターンとは、パケットの転送を制御する際にパケットから抽出すべき情報の種類を示すものであり、例えば、『MAC SA』(送信元のMACアドレス)や、『Src IP』(送信元のIPアドレス)といったものである。また、深度とは、パケットの転送を制御する際に抽出すべき情報の位置をパケットの先頭からの深さで示すものである。例えば、『00』(L2)や『01』(L3)といったものである。すなわち、『MAC SA』と『00』(L2)との対応づけは、パケットから抽出すべき情報が、送信元のMACアドレスであるため、抽出すべき情報の深度は、レイヤ2の深さであることを意味する。
深度導出部160は、入力されたパケットから抽出すべき情報の深度を導出する。具体的には、深度導出部160は、パターン記憶部121に記憶されているパターンを用いて深度記憶部150を検索し、パターンに対応づけて記憶されている深度を取得することで、入力されたパケットから抽出すべき情報の深度を導出する。そして、深度導出部160は、導出した深度を、抽出終了判定部111に伝達する。
深度導出部160による深度導出について図3を用いて説明する。図3に示すように、深度導出部160は、パターン『pat1』を用いて深度記憶部150を検索し、パターン『pat1』に対応づけて記憶されている深度を取得する。ここで、ポート『p1』は、パケットから抽出すべき情報の種類が『pat1』である受信ポートのポート番号を集約した情報である。このため、深度導出部160は、『p1』に対応するポート番号に対して、取得した深度を分配する。なお、図3の例示では、「ポート1」から「ポート4」の全てのポートに分配しているように表現しているが、これに限られるものではない。あくまで『p1』に対応するポート番号に対して分配する。
続いて、深度導出部160は、ポート番号ごとに、分配された深度の最大値を求めることで、ポートごとの深度を導出する。例えば、図3に示すように、ポート4について、深度D1、D2、D3、D4が分配されると、深度導出部160は、D1、D2、D3、D4の最大値をOR(論理和)演算で求める。そして、深度導出部160は、最大値を、ポート4の深度として導出する。
不正パケット検出部170は、図2に示すように、不正パケット条件記憶部171を備え、不正パケットを検出する。
不正パケット条件記憶部171は、パケットが不正なパケットであることを示す条件を記憶する。例えば、不正パケット条件記憶部171は、送信元アドレスと送信先アドレスとが一致するパケットが不正なパケットであるとの条件を記憶する。不正パケット検出部170は、パケット解析部110によって抽出された情報を用いて不正パケット条件記憶部171を検索する。そして、不正パケット検出部170は、抽出した情報が満足する条件が検索されると、不正パケットが検出された旨を、パケット解析部110およびスイッチ部200に通知する。
[実施例1に係るパケット転送制御装置による処理の手順]
続いて、図4〜図6を用いて、実施例1に係るパケット転送制御装置による処理の手順を説明する。図4は、深度導出処理の手順を示すフローチャートである。図5は、パケット解析処理の手順を示すフローチャートである。図6は、不正パケット検出処理の手順を示すフローチャートである。
続いて、図4〜図6を用いて、実施例1に係るパケット転送制御装置による処理の手順を説明する。図4は、深度導出処理の手順を示すフローチャートである。図5は、パケット解析処理の手順を示すフローチャートである。図6は、不正パケット検出処理の手順を示すフローチャートである。
[深度導出処理(図4)]
まず、深度導出部160は、パターン記憶部121に記憶されている先頭のパターンを、E(エントリ)に格納する(ステップS101)。
まず、深度導出部160は、パターン記憶部121に記憶されている先頭のパターンを、E(エントリ)に格納する(ステップS101)。
次に、深度導出部160は、Eに格納されているパターンを用いて深度記憶部150を検索し、深度を取得する(ステップS102)。
続いて、深度導出部160は、全てのパターンについて深度を取得したか否かを判定し(ステップS103)、取得していない場合には(ステップS103否定)、次のパターンをEに格納し(ステップS104)、深度記憶部150を検索する処理に戻る。
一方、取得した場合には(ステップS103肯定)、深度導出部160は、ポートごとに深度の最大値を導出し(ステップS105)、処理を終了する。
[パケット解析処理(図5)]
まず、パケット解析部110は、パケット末尾であるか否かを判定し(ステップS201)、末尾である場合には(ステップS201肯定)、処理を終了する。
まず、パケット解析部110は、パケット末尾であるか否かを判定し(ステップS201)、末尾である場合には(ステップS201肯定)、処理を終了する。
一方、末尾でない場合には(ステップS201否定)、パケット解析部110は、次に、不正パケットであるか否かを判定する(ステップS202)。すなわち、パケット解析部110は、不正パケットを検出した旨が不正パケット検出部170から通知されているか否かを判定する。不正パケットであると判定した場合(ステップS202肯定)、パケット解析部110は、処理を終了する。
一方、不正パケットであると判定しない場合(ステップS202否定)、パケット解析部110は、深度を満足したか否かを判定する(ステップS203)。具体的には、パケット解析部110は、抽出した情報が、深度導出部160によって導出された深度を超えた場所に位置づけられる情報であるか否かを判定する。
パケット解析部110は、抽出した情報が、導出された深度を超えた場所に位置づけられる情報であると判定すると(ステップS203肯定)、処理を終了する。
一方、パケット解析部110は、抽出した情報が、未だ深度を超えた場所に位置づけられる情報でないと判定すると(ステップS203否定)、パケットの次のフィールドを切り出して情報を抽出し、パターン照合部120に出力する(ステップS204)。そして、パケット末尾であるか否かを判定する処理に戻る。
[不正パケット検出処理(図6)]
まず、不正パケット検出部170は、パケット末尾であるか否かを判定し(ステップS301)、末尾である場合には(ステップS301肯定)、処理を終了する。
まず、不正パケット検出部170は、パケット末尾であるか否かを判定し(ステップS301)、末尾である場合には(ステップS301肯定)、処理を終了する。
末尾でない場合には(ステップS301否定)、不正パケット検出部170は、パケット解析部110によって抽出された情報が、不正パケットの条件に一致するか否かを判定する(ステップS302)。具体的には、不正パケット検出部170は、パケット解析部110によって抽出された情報を用いて不正パケット条件記憶部171を検索し、抽出された情報が満足する条件が検索されるか否かを判定する。
不正パケットの条件に一致しなかった場合(ステップS302否定)、不正パケット検出部170は、パケット末尾であるか否かを判定する処理に戻る。不正パケットの条件に一致した場合には(ステップS302肯定)、不正パケット検出部170は、不正パケットを検出した旨をパケット解析部110およびスイッチ部200に通知し(ステップS303)、処理を終了する。
[実施例1の効果]
上記してきたように、実施例1によれば、パケット転送制御装置は、パターンと深度とを対応づけて記憶する深度記憶部を備える。そして、パケット転送制御装置は、パターンの設定を受け付けた場合に、受け付けたパターンを用いて深度記憶部を検索し、パターンに対応づけて記憶されている深度を取得することで、入力されたパケットから抽出すべき情報の深度を導出する。また、パケット転送制御装置は、パケットの入力を受け付けると、パケットの先頭から順に情報を抽出する。この際、パケット転送制御装置は、抽出した情報が導出した深度を超えた場所に位置づけられる情報であるか否かを判定する。未だ深度を超えた場所に位置づけられる情報でないと判定すると、パケット転送制御装置は、情報の抽出を継続し、深度を超えた場所に位置づけられる情報であると判定すると、情報の抽出を終了する。
上記してきたように、実施例1によれば、パケット転送制御装置は、パターンと深度とを対応づけて記憶する深度記憶部を備える。そして、パケット転送制御装置は、パターンの設定を受け付けた場合に、受け付けたパターンを用いて深度記憶部を検索し、パターンに対応づけて記憶されている深度を取得することで、入力されたパケットから抽出すべき情報の深度を導出する。また、パケット転送制御装置は、パケットの入力を受け付けると、パケットの先頭から順に情報を抽出する。この際、パケット転送制御装置は、抽出した情報が導出した深度を超えた場所に位置づけられる情報であるか否かを判定する。未だ深度を超えた場所に位置づけられる情報でないと判定すると、パケット転送制御装置は、情報の抽出を継続し、深度を超えた場所に位置づけられる情報であると判定すると、情報の抽出を終了する。
このようなことから、実施例1によれば、情報の抽出に伴うレイテンシを抑制することが可能になる。すなわち、パターンの設定に応じて、必要なだけパケット解析を行うことから、パケット解析深度が浅い場合は、パケット解析処理によるレイテンシを削減することが可能になる。例えば、Ethernet(登録商標)パケットの宛先MAC(Media Access Control)アドレスだけでパターン照合を行うことができる場合、パターン解析部は、最初の6オクテットだけを解析すればよい。しかしながら、パターン解析部が一律にTCP(Transmission Control Protocol)ヘッダの宛先ポートまで解析すると、最短でも38オクテットの解析が必要となる。IP(Internet Protocol)v6で拡張ヘッダが付加された場合には、さらに解析を深く行わなくてはならない。
また、実施例1によれば、パケット解析深度をハードウェアで自動的に算出することができることから、ソフトウェアの負担を軽減することが可能になる。
また、実施例1によれば、パケット転送制御装置は、パケットが不正なパケットであることを示す条件を記憶する不正パケット条件記憶部を備える。そして、パケット転送制御装置は、情報が抽出されると、抽出された情報を用いて不正パケット条件記憶部を検索し、抽出された情報が満足する条件が検索されると、情報の抽出を終了させる。このようなことから、不正パケットが廃棄されるという環境においてアクセス制御処理は不要であるが、実施例1によれば、このような場合にパケットの解析を終了することができ、パケット解析処理によるレイテンシを削減することが可能になる。
また、実施例1によれば、パケット転送制御装置は、深度を受信ポートごとに導出し、抽出された情報の受信ポートに基づいて、深度を超えた場所に位置づけられる情報であるか否かを判定する。このようなことから、実施例1によれば、ポート単位でパケットを解析する深度を最適化することが可能になる。すなわち、深いパケット解析を必要とするポートが存在しても、その必要のないポートでは、パケット解析処理によるレイテンシが増加しない。
[他の実施例]
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。
実施例1においては、パケット転送制御装置は、不正パケット検出部から不正パケットの検出が通知されると、パケット解析を終了するよう制御していたが、必ずしも必須なものではない。すなわち、パケット転送制御装置は、不正パケット検出部が不正パケットを検出したか否かに関わらず、とりあえず、パターンに応じて導出された深度までパケットを解析してもよい。
また、実施例1においては、パケット転送制御装置は、深度を受信ポートごとに導出していた。しかしながら、必ずしもこれに限られるものではなく、パケット転送制御装置は、装置全体としての深度を導出してもよい。
[システム構成等]
上記の実施例1においては、パケット転送制御装置が、アクセス制御リストを受信ポート側に設定する手法を説明したが、本発明はこれに限られるものではなく、送信ポート側に設定する手法にも、同様に適用することができる。
上記の実施例1においては、パケット転送制御装置が、アクセス制御リストを受信ポート側に設定する手法を説明したが、本発明はこれに限られるものではなく、送信ポート側に設定する手法にも、同様に適用することができる。
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
例えば、実施例1においては、図5に示したステップS204において抽出した情報が、次に処理が行われるステップS203において判定する際の対象となる。すなわち、抽出処理が先行し、抽出された情報を判定する処理は、その後に行われている。しかしながら、本発明はこれに限られるものではなく、抽出処理の前に判定処理を行い、判定結果に従って、抽出処理を行わないといった処理の手順でもよい。言い換えると、パケットから情報を抽出する処理が、予め算出された深度に基づいて制御される手法であれば、具体的な処理の手順はいずれでもよい。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
なお、本実施例で説明したパケット転送制御方法は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
10 パケット転送制御装置
11 受信ポート
12 送信ポート
100 アクセス制御リスト部
110 パケット解析部
111 抽出終了判定部
120 パターン照合部
121 パターン記憶部
130 ルール検索部
140 アクション検索部
150 深度記憶部
160 深度導出部
170 不正パケット検出部
171 不正パケット条件記憶部
11 受信ポート
12 送信ポート
100 アクセス制御リスト部
110 パケット解析部
111 抽出終了判定部
120 パターン照合部
121 パターン記憶部
130 ルール検索部
140 アクション検索部
150 深度記憶部
160 深度導出部
170 不正パケット検出部
171 不正パケット条件記憶部
Claims (4)
- パケットの転送を制御する際に当該パケットから抽出すべき情報の種類を示すパターンと、当該パターンでパケットの転送を制御する際に当該抽出すべき情報の位置を当該パケットの先頭からの深さで示す深度とを対応づけて記憶する深度記憶手段と、
前記パターンの設定を受け付けた場合に、当該パターンを用いて前記深度記憶手段を検索し、当該パターンに対応づけて記憶されている深度を取得することで、入力されたパケットから抽出すべき情報の深度を導出する深度導出手段と、
パケットの入力を受け付けると、当該パケットの先頭から順に情報を抽出する抽出手段と、
前記抽出手段によって抽出された情報が前記深度導出手段によって導出された深度を超えた場所に位置づけられる情報であるか否かを判定し、未だ前記深度を超えた場所に位置づけられる情報でないと判定すると、前記抽出手段による情報の抽出を継続させ、前記深度を超えた場所に位置づけられる情報であると判定すると、前記抽出手段による情報の抽出を終了させる判定手段と、
を備えたことを特徴とするパケット転送制御装置。 - パケットが不正なパケットであることを示す条件を記憶する不正パケット条件記憶手段と、
前記抽出手段によって情報が抽出されると、当該抽出された情報を用いて前記不正パケット条件記憶手段を検索し、当該抽出された情報が満足する条件が検索されると、前記抽出手段による情報の抽出を終了させる不正パケット終了手段と、
をさらに備えたことを特徴とする請求項1に記載のパケット転送制御装置。 - 前記深度導出手段は、前記深度を受信ポートごとに導出し、
前記判定手段は、前記抽出手段によって抽出された情報の受信ポートに基づいて、前記深度導出手段によって導出された深度を超えた場所に位置づけられる情報であるか否かを判定することを特徴とする請求項1または2に記載のパケット転送制御装置。 - パケットの転送を制御する際に当該パケットから抽出すべき情報の種類を示すパターンの設定を受け付けた場合に、パターンと当該パターンでパケットの転送を制御する際に当該抽出すべき情報の位置を当該パケットの先頭からの深さで示す深度とを対応づけて記憶する深度記憶部を、設定を受け付けたパターンを用いて検索し、当該パターンに対応づけて記憶されている深度を取得することで、入力されたパケットから抽出すべき情報の深度を導出する深度導出工程と、
パケットの入力を受け付けると、当該パケットの先頭から順に情報を抽出する抽出工程と、
前記抽出工程によって抽出された情報が前記深度導出工程によって導出された深度を超えた場所に位置づけられる情報であるか否かを判定し、未だ前記深度を超えた場所に位置づけられる情報でないと判定すると、前記抽出工程による情報の抽出を継続させ、前記深度を超えた場所に位置づけられる情報であると判定すると、前記抽出工程による情報の抽出を終了させる判定工程と、
を含んだことを特徴とするパケット転送制御方法。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008110209A JP4962394B2 (ja) | 2008-04-21 | 2008-04-21 | パケット転送制御装置およびパケット転送制御方法 |
| US12/339,472 US7760763B2 (en) | 2008-04-21 | 2008-12-19 | Packet transfer controlling apparatus and packet transfer controlling method |
| EP20080173013 EP2112802B1 (en) | 2008-04-21 | 2008-12-29 | Packet transfer controlling apparatus and packet transfer controlling method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008110209A JP4962394B2 (ja) | 2008-04-21 | 2008-04-21 | パケット転送制御装置およびパケット転送制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009260880A true JP2009260880A (ja) | 2009-11-05 |
| JP4962394B2 JP4962394B2 (ja) | 2012-06-27 |
Family
ID=40886207
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008110209A Active JP4962394B2 (ja) | 2008-04-21 | 2008-04-21 | パケット転送制御装置およびパケット転送制御方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US7760763B2 (ja) |
| EP (1) | EP2112802B1 (ja) |
| JP (1) | JP4962394B2 (ja) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016005286A (ja) * | 2014-06-19 | 2016-01-12 | エックスプライアント, インコーポレイテッド | パケットのコンテンツからハッシュ入力を形成する方法およびその装置 |
| KR101589616B1 (ko) * | 2015-01-30 | 2016-01-29 | 한국과학기술원 | 네트워크 터널을 구성하는 제1터널 장비 및 제2터널 장비,및 이에 의한 검증 패킷 전달 방법 |
| JP2016037564A (ja) * | 2014-08-08 | 2016-03-22 | 日東電工株式会社 | 粘着シート |
| US10397113B2 (en) | 2014-06-19 | 2019-08-27 | Cavium, Llc | Method of identifying internal destinations of network packets and an apparatus thereof |
| US10560399B2 (en) | 2014-06-19 | 2020-02-11 | Cavium, Llc | Method of dynamically renumbering ports and an apparatus thereof |
| US10616380B2 (en) | 2014-06-19 | 2020-04-07 | Cavium, Llc | Method of handling large protocol layers for configurable extraction of layer information and an apparatus thereof |
| US10785169B2 (en) | 2013-12-30 | 2020-09-22 | Marvell Asia Pte, Ltd. | Protocol independent programmable switch (PIPS) for software defined data center networks |
| US11050859B2 (en) | 2014-06-19 | 2021-06-29 | Marvell Asia Pte, Ltd. | Method of using bit vectors to allow expansion and collapse of header layers within packets for enabling flexible modifications and an apparatus thereof |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016013177A1 (ja) * | 2014-07-23 | 2016-01-28 | 日本電気株式会社 | 網検証装置、網検証方法、および、記憶媒体 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002016638A (ja) * | 2000-06-29 | 2002-01-18 | Mitsubishi Electric Corp | ルーチング情報検索装置およびルーチング情報検索制御データを記録したコンピュータ読み取り可能な記録媒体 |
| JP2002324029A (ja) * | 2001-04-24 | 2002-11-08 | Matsushita Electric Ind Co Ltd | 電子メール送信装置、電子メール送信方法、電子メール送信プログラム、および電子メール送信プログラム記録媒体 |
| JP2003198607A (ja) * | 2001-12-25 | 2003-07-11 | Hitachi Ltd | パケット転送装置及びポリシーテーブルの検索方法 |
| JP2006053824A (ja) * | 2004-08-13 | 2006-02-23 | Nec Corp | アクセス制御システム、アクセス制御方法、及び、プログラム |
| JP2008085886A (ja) * | 2006-09-28 | 2008-04-10 | Oki Electric Ind Co Ltd | パケット処理装置、パケット処理方法及びパケット処理プログラム |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6182228B1 (en) * | 1998-08-17 | 2001-01-30 | International Business Machines Corporation | System and method for very fast IP packet filtering |
| US7069372B1 (en) * | 2001-07-30 | 2006-06-27 | Cisco Technology, Inc. | Processor having systolic array pipeline for processing data packets |
| JP3829794B2 (ja) | 2002-11-22 | 2006-10-04 | ソニー株式会社 | 情報処理装置、サーバクライアントシステム、および方法、並びにコンピュータ・プログラム |
| US8631483B2 (en) * | 2005-06-14 | 2014-01-14 | Texas Instruments Incorporated | Packet processors and packet filter processes, circuits, devices, and systems |
| US7624436B2 (en) * | 2005-06-30 | 2009-11-24 | Intel Corporation | Multi-pattern packet content inspection mechanisms employing tagged values |
| US7806936B2 (en) | 2006-10-19 | 2010-10-05 | Depuy Products, Inc. | Bowed femoral sleeve |
| US8448234B2 (en) * | 2007-02-15 | 2013-05-21 | Marvell Israel (M.I.S.L) Ltd. | Method and apparatus for deep packet inspection for network intrusion detection |
| US7843967B2 (en) * | 2007-11-30 | 2010-11-30 | Telefonaktiebolaget L M Ericsson (Publ) | Multiple protocol cross layer customized QoS propagation and mapping |
| US9100268B2 (en) * | 2008-02-27 | 2015-08-04 | Alcatel Lucent | Application-aware MPLS tunnel selection |
| US8339954B2 (en) * | 2008-05-16 | 2012-12-25 | Cisco Technology, Inc. | Providing trigger based traffic management |
| US8320372B2 (en) * | 2008-06-23 | 2012-11-27 | Alcatel Lucent | Processing of packet fragments |
-
2008
- 2008-04-21 JP JP2008110209A patent/JP4962394B2/ja active Active
- 2008-12-19 US US12/339,472 patent/US7760763B2/en active Active
- 2008-12-29 EP EP20080173013 patent/EP2112802B1/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002016638A (ja) * | 2000-06-29 | 2002-01-18 | Mitsubishi Electric Corp | ルーチング情報検索装置およびルーチング情報検索制御データを記録したコンピュータ読み取り可能な記録媒体 |
| JP2002324029A (ja) * | 2001-04-24 | 2002-11-08 | Matsushita Electric Ind Co Ltd | 電子メール送信装置、電子メール送信方法、電子メール送信プログラム、および電子メール送信プログラム記録媒体 |
| JP2003198607A (ja) * | 2001-12-25 | 2003-07-11 | Hitachi Ltd | パケット転送装置及びポリシーテーブルの検索方法 |
| JP2006053824A (ja) * | 2004-08-13 | 2006-02-23 | Nec Corp | アクセス制御システム、アクセス制御方法、及び、プログラム |
| JP2008085886A (ja) * | 2006-09-28 | 2008-04-10 | Oki Electric Ind Co Ltd | パケット処理装置、パケット処理方法及びパケット処理プログラム |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10785169B2 (en) | 2013-12-30 | 2020-09-22 | Marvell Asia Pte, Ltd. | Protocol independent programmable switch (PIPS) for software defined data center networks |
| US11824796B2 (en) | 2013-12-30 | 2023-11-21 | Marvell Asia Pte, Ltd. | Protocol independent programmable switch (PIPS) for software defined data center networks |
| JP2016005286A (ja) * | 2014-06-19 | 2016-01-12 | エックスプライアント, インコーポレイテッド | パケットのコンテンツからハッシュ入力を形成する方法およびその装置 |
| US10397113B2 (en) | 2014-06-19 | 2019-08-27 | Cavium, Llc | Method of identifying internal destinations of network packets and an apparatus thereof |
| US10560399B2 (en) | 2014-06-19 | 2020-02-11 | Cavium, Llc | Method of dynamically renumbering ports and an apparatus thereof |
| US10616380B2 (en) | 2014-06-19 | 2020-04-07 | Cavium, Llc | Method of handling large protocol layers for configurable extraction of layer information and an apparatus thereof |
| US11050859B2 (en) | 2014-06-19 | 2021-06-29 | Marvell Asia Pte, Ltd. | Method of using bit vectors to allow expansion and collapse of header layers within packets for enabling flexible modifications and an apparatus thereof |
| US11799989B2 (en) | 2014-06-19 | 2023-10-24 | Marvell Asia Pte, Ltd. | Method of using bit vectors to allow expansion and collapse of header layers within packets for enabling flexible modifications and an apparatus thereof |
| JP2016037564A (ja) * | 2014-08-08 | 2016-03-22 | 日東電工株式会社 | 粘着シート |
| US10479058B2 (en) | 2014-08-08 | 2019-11-19 | Nitto Denko Corporation | Pressure-sensitive adhesive sheet |
| KR101589616B1 (ko) * | 2015-01-30 | 2016-01-29 | 한국과학기술원 | 네트워크 터널을 구성하는 제1터널 장비 및 제2터널 장비,및 이에 의한 검증 패킷 전달 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| US7760763B2 (en) | 2010-07-20 |
| EP2112802A2 (en) | 2009-10-28 |
| US20090262735A1 (en) | 2009-10-22 |
| EP2112802B1 (en) | 2015-04-08 |
| EP2112802A3 (en) | 2013-11-06 |
| JP4962394B2 (ja) | 2012-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4962394B2 (ja) | パケット転送制御装置およびパケット転送制御方法 | |
| EP2434689B1 (en) | Method and apparatus for detecting message | |
| JP4905395B2 (ja) | 通信監視装置、通信監視プログラム、および通信監視方法 | |
| US8611220B2 (en) | Network system, controller, and network control method | |
| EP2482497B1 (en) | Data forwarding method, data processing method, system and device thereof | |
| CN104994016B (zh) | 用于分组分类的方法和装置 | |
| JP6159018B2 (ja) | 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム | |
| US20130294449A1 (en) | Efficient application recognition in network traffic | |
| JP2007096741A (ja) | ポートホッピング検出システム、帯域制御システム、ポートホッピング検出方法、及びプログラム | |
| CN102780681A (zh) | Url过滤系统及过滤url的方法 | |
| KR102585874B1 (ko) | Sdn네트워크에서 라우팅 제어 장치 및 방법 | |
| Chatterjee et al. | Evidence fusion for malicious bot detection in iot | |
| US20150256459A1 (en) | Packet processing method and apparatus | |
| JP2007228217A (ja) | トラフィック判定装置、トラフィック判定方法、及びそのプログラム | |
| JP6272258B2 (ja) | 最適化装置、最適化方法および最適化プログラム | |
| KR101715107B1 (ko) | 리트로액티브 네트워크 검사 시스템 및 그 제공방법 | |
| JP5035410B2 (ja) | アドレス検索方法およびパケット処理装置 | |
| CN111030976A (zh) | 一种基于密钥的分布式访问控制方法、装置及存储设备 | |
| CN115190056A (zh) | 一种可编排的流量协议识别与解析方法、装置及设备 | |
| WO2014007247A1 (ja) | ネットワーク装置、パケット処理方法及びプログラム、並びにネットワークシステム | |
| JP4887081B2 (ja) | 通信監視装置、通信監視方法およびプログラム | |
| JP6821311B2 (ja) | 中継装置、通信システム、中継方法及び中継プログラム | |
| CN110138777B (zh) | 一种基于区域增长算法的sdn流规则探测方法 | |
| CN111193722B (zh) | 基于Linux内核加速转发的方法、装置、设备及介质 | |
| JP7380868B2 (ja) | プロトコル識別装置、プロトコル識別方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110118 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120209 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120228 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120312 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4962394 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150406 Year of fee payment: 3 |