JP2009284529A - 帯域制御装置、帯域制御方法及び帯域制御プログラム - Google Patents
帯域制御装置、帯域制御方法及び帯域制御プログラム Download PDFInfo
- Publication number
- JP2009284529A JP2009284529A JP2009193341A JP2009193341A JP2009284529A JP 2009284529 A JP2009284529 A JP 2009284529A JP 2009193341 A JP2009193341 A JP 2009193341A JP 2009193341 A JP2009193341 A JP 2009193341A JP 2009284529 A JP2009284529 A JP 2009284529A
- Authority
- JP
- Japan
- Prior art keywords
- data
- smtp
- unit
- application
- bandwidth control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】特定のアプリケーションレイヤレベルのトラフィックに対して自律的に規制をかけ、ネットワークリソースを公平に利用させる帯域制御装置を提供する。
【解決手段】帯域制御装置は、情報処理装置から送信されるデータのアプリケーションレイヤレベルのデータ内容を検査し、規制対象となるデータを検知した場合に、該検知した規制対象となるデータに対して、規定値の遅延を付加させ、検知した規制対象となるデータのL3トラフィックと、L4コネクションと、アプリケーションレイヤレベルのトランザクションと、の少なくとも1つに対して処理時間を増大させる規制制御を行う。
【選択図】図1
【解決手段】帯域制御装置は、情報処理装置から送信されるデータのアプリケーションレイヤレベルのデータ内容を検査し、規制対象となるデータを検知した場合に、該検知した規制対象となるデータに対して、規定値の遅延を付加させ、検知した規制対象となるデータのL3トラフィックと、L4コネクションと、アプリケーションレイヤレベルのトランザクションと、の少なくとも1つに対して処理時間を増大させる規制制御を行う。
【選択図】図1
Description
本発明は、帯域制御装置、その帯域制御装置における帯域制御方法及び帯域制御プログラムに関するものである。
現在、インターネットの利用者は増加の一途をたどっており、コミュニケーションの一手段として、電子メールを利用する利用者の数も増大している。とりわけ、携帯電話の利用者の急増により、コンピュータ同士間によるメールトラフィックの増加に加えて、携帯電話によるメールトラフィックも増加しているのが現状である。
なお、電子メールの有用な機能の1つに同報機能がある。近年、この同報機能を利用し、不特定多数のユーザに向けて広告等のダイレクトメールが送信されるケースが急増している。なお、このような迷惑メールをSPAMメールと称す。
このSPAMメールは、大量のメールトラフィックの要因となり、さらに、SPAMメールにはメールの到達を確認するためのアドレスが必ずしも記載されているとは限らず、大量の未送達メールが発生する場合がある。未送達メールの処理が過大になると、受信サーバにとってはDosアタック(Deny Of Service Attack)(サービス拒否攻撃)の原因となる。このため、SPAMメールの配信処理、及び、未送達メールの返信処理のためにISP(Internet Service Provider)やキャリア、企業等は、メールサーバの増設を行わなければならない。
以下、図1、図2を参照しながら、従来のメール配信システムの概略について説明する。なお、以下の処理動作は、SMTP(Simple Mail Transfer Protocol)をメールの転送プロトコルとして使用した場合を例にとり説明する。
図1に示すメール配信システムは、ISP、キャリア、企業等の管理下に設けられているネットワーク管理ドメイン(3)の境界に、ルータ(101)を配置し、管理ドメイン(3)内に、メールサーバ(以下、MTA(Message Transfer Agent)と称す)(2−1〜2−3)を配備している。また、管理ドメイン(3)外にはMTA(2−4、2−5)が存在する構成となっている。なお、MTA(2−4)は、悪意を持ったユーザが使用するものとし、MTA(2−5)は、通常のユーザが管理するものとする。なお、図1のメール配信システムでは、MTA(2−4、2−5)から管理ドメイン(3)内のMTA(2−2)に対してメール配送が行われている例を示している。
通常のルータ(101)は、ルータ(101)自身に流入されるトラフィックがメールトラフィックであるか否かを識別せずに、IPアドレスを基に管理ドメイン(3)内のMTA(2−1〜2−3)に対してトラフィックを配送する。このため、ルータ(101)は、MTA(2−4)から大量のSMTPトラフィック(102)が流入されると、その流入されたSMTPトラフィック(102)をMTA(2−2)に配送することになる。
また、ルータ(101)は、MTA(2−5)からもSMTPトラフィック(103)が流入されると、その流入されたSMTPトラフィック(103)をMTA(2−2)に配送することになる。このとき、ルータ(101)からMTA(2−2)に配送されるSMTPトラフィック(102)の量が多くなり、MTA(2−2)において、ルータ(101)から配送されるSMTPトラフィック(102)を処理することが出来なくなると、MTA(2−2)は、ルータ(101)を介してMTA(2−5)から配送されるSMTPトラフィック(103)を受け付けられなくなる。
また、ルータ(101)自身もMTA(2−4)から流入されるSMTPトラフィック(102)の転送処理に集中してしまうと、他のユーザであるMTA(2−5)からSMTPトラフィック(103)が流入された際に、その流入されたSMTPトラフィック(103)をMTA(2−2)に配送する処理がSMTPトラフィック(102)により妨げられてしまうことになる。
このように、単にルータ(101)が配備されているだけのメール配信システムでは、大量のSPAMメール配信のトラフィックを制御することができないことになる。
また、近年では、メールトラフィックを識別する装置としてL4レイヤを識別できるファイアウォールがある。しかしながら、ファイアウォールはアプリケーションレイヤレベルの内容までは精査しないため、ファイアウォールでは外部から転送されたメールがSPAMメールか否かを判定することはできないことになる。
なお、図2のメール配信システムは、管理ドメイン(3)内のMTA(2−2)がメール配信サーバとなったケースを示している。ISPやキャリアが、サーバのホスティングサービスを行っているケースでは、そのサービスと契約した外部のユーザが管理ドメイン(3)内のMTA(2−2)を用いてSPAMメールの配信を行うケースも想定される。図2では、MTA(2−2)からMTA(2−4)やMTA(2−5)に向けて大量のSMTPトラフィック(104)が配信され、MTA(2−1)から配信されたSMTPトラフィック(106)と、MTA(2−3)から配信されたSMTPトラフィック(105)と、がルータ(101)で圧迫されている状態が示されている。
なお、本発明より先に出願された技術文献として、正規利用者の通信トラフィックを確保しながら、分散型サービス不能攻撃(DDos攻撃)の攻撃トラフィックの伝送帯域を制限することを可能とするものがあり、例えば、ゲート装置において、DDos攻撃の攻撃容疑パケットを検出すると、上流の通信装置に対して攻撃容疑パケットの伝送帯域制限値を通知し、上流の通信装置は、攻撃容疑パケットの伝送帯域を受信した伝送帯域制限値に制限しながら、更に上流の通信装置に対して伝送帯域制限値の通知を最上流まで繰り返し、各通信装置が攻撃容疑パケットの伝送帯域を制限するものがある(例えば、特許文献1、2参照)。
また、ゲート装置において、DDos攻撃の攻撃容疑パケットを検出すると、上流の通信装置に対して攻撃容疑パケットの容疑シグネチャと正規条件とを送信し、上流の通信装置は、容疑シグネチャで識別されるパケットの伝送帯域を制限しながら、正規条件と容疑シグネチャとを基に生成される正規シグネチャで識別されるパケットの伝送帯域制限を解除しつつ、更に、上流の通信装置に対して容疑シグネチャと正規条件との送信を最上流まで繰り返し、各通信装置が攻撃容疑パケットの帯域制限を実施しながら、攻撃容疑パケットから攻撃パケットを検出して、更に帯域を制限するものがある(例えば、特許文献3参照)。
しかしながら、上記特許文献1〜3は、攻撃容疑パケットを検出した時に、攻撃容疑パケットの伝送帯域を制限しているが、ゲート装置が上流の通信装置に対して攻撃容疑パケットの伝送帯域を制限する情報を送信することで、各通信装置が攻撃容疑パケットの伝送帯域を制限していることから、1つの装置内で攻撃容疑パケットの伝送帯域を制限することは困難であると考えられる。
本発明は、上記事情に鑑みてなされたものであり、特定のアプリケーションレイヤレベルのトラフィックに対して自律的に規制をかけ、ネットワークリソースを公平に利用させることを可能とする帯域制御装置、帯域制御方法及び帯域制御プログラムを提供することを目的とするものである。
かかる目的を達成するために本発明は以下の特徴を有することとする。
本発明にかかる帯域制御装置は、
ネットワークを介して接続される情報処理装置間に配設する帯域制御装置であって、
前記情報処理装置から送信されるデータのアプリケーションレイヤレベルのデータ内容を検査し、規制対象となるデータを検知した場合に、該検知した規制対象となるデータに対して、規定値の遅延を付加させ、前記検知した規制対象となるデータのL3トラフィックと、L4コネクションと、アプリケーションレイヤレベルのトランザクションと、の少なくとも1つに対して処理時間を増大させる規制制御を行うことを特徴とする。
ネットワークを介して接続される情報処理装置間に配設する帯域制御装置であって、
前記情報処理装置から送信されるデータのアプリケーションレイヤレベルのデータ内容を検査し、規制対象となるデータを検知した場合に、該検知した規制対象となるデータに対して、規定値の遅延を付加させ、前記検知した規制対象となるデータのL3トラフィックと、L4コネクションと、アプリケーションレイヤレベルのトランザクションと、の少なくとも1つに対して処理時間を増大させる規制制御を行うことを特徴とする。
本発明にかかる帯域制御装置は、
ネットワークを介して接続される情報処理装置間に配設する帯域制御装置であって、
アプリケーションレイヤレベルのデータの遷移状態を監視し、規制対象となるデータを検知した場合に、該検知した規制対象となるデータに対して、規定値の遅延を付加させ、前記検知した規制対象となるデータのL3トラフィックと、L4コネクションと、アプリケーションレイヤレベルのトランザクションと、の少なくとも1つに対して処理時間を増大させる規制制御を行うことを特徴とする。
ネットワークを介して接続される情報処理装置間に配設する帯域制御装置であって、
アプリケーションレイヤレベルのデータの遷移状態を監視し、規制対象となるデータを検知した場合に、該検知した規制対象となるデータに対して、規定値の遅延を付加させ、前記検知した規制対象となるデータのL3トラフィックと、L4コネクションと、アプリケーションレイヤレベルのトランザクションと、の少なくとも1つに対して処理時間を増大させる規制制御を行うことを特徴とする。
本発明にかかる帯域制御方法は、
ネットワークを介して接続される情報処理装置間に配設する帯域制御装置で行う帯域制御方法であって、
前記情報処理装置から送信されるデータのアプリケーションレイヤレベルのデータ内容を検査し、規制対象となるデータを検知した場合に、該検知した規制対象となるデータに対して、規定値の遅延を付加させ、前記検知した規制対象となるデータのL3トラフィックと、L4コネクションと、アプリケーションレイヤレベルのトランザクションと、の少なくとも1つに対して処理時間を増大させる規制制御を行うことを特徴とする。
ネットワークを介して接続される情報処理装置間に配設する帯域制御装置で行う帯域制御方法であって、
前記情報処理装置から送信されるデータのアプリケーションレイヤレベルのデータ内容を検査し、規制対象となるデータを検知した場合に、該検知した規制対象となるデータに対して、規定値の遅延を付加させ、前記検知した規制対象となるデータのL3トラフィックと、L4コネクションと、アプリケーションレイヤレベルのトランザクションと、の少なくとも1つに対して処理時間を増大させる規制制御を行うことを特徴とする。
本発明にかかる帯域制御方法は、
ネットワークを介して接続される情報処理装置間に配設する帯域制御装置で行う帯域制御方法であって、
アプリケーションレイヤレベルのデータの遷移状態を監視し、規制対象となるデータを検知した場合に、該検知した規制対象となるデータに対して、規定値の遅延を付加させ、前記検知した規制対象となるデータのL3トラフィックと、L4コネクションと、アプリケーションレイヤレベルのトランザクションと、の少なくとも1つに対して処理時間を増大させる規制制御を行うことを特徴とする。
ネットワークを介して接続される情報処理装置間に配設する帯域制御装置で行う帯域制御方法であって、
アプリケーションレイヤレベルのデータの遷移状態を監視し、規制対象となるデータを検知した場合に、該検知した規制対象となるデータに対して、規定値の遅延を付加させ、前記検知した規制対象となるデータのL3トラフィックと、L4コネクションと、アプリケーションレイヤレベルのトランザクションと、の少なくとも1つに対して処理時間を増大させる規制制御を行うことを特徴とする。
本発明にかかる帯域制御プログラムは、
ネットワークを介して接続される情報処理装置間に配設する帯域制御装置に実行させる帯域制御プログラムであって、
前記情報処理装置から送信されるデータのアプリケーションレイヤレベルのデータ内容を検査し、規制対象となるデータを検知した場合に、該検知した規制対象となるデータに対して、規定値の遅延を付加させ、前記検知した規制対象となるデータのL3トラフィックと、L4コネクションと、アプリケーションレイヤレベルのトランザクションと、の少なくとも1つに対して処理時間を増大させる規制制御を、コンピュータに実行させることを特徴とする。
ネットワークを介して接続される情報処理装置間に配設する帯域制御装置に実行させる帯域制御プログラムであって、
前記情報処理装置から送信されるデータのアプリケーションレイヤレベルのデータ内容を検査し、規制対象となるデータを検知した場合に、該検知した規制対象となるデータに対して、規定値の遅延を付加させ、前記検知した規制対象となるデータのL3トラフィックと、L4コネクションと、アプリケーションレイヤレベルのトランザクションと、の少なくとも1つに対して処理時間を増大させる規制制御を、コンピュータに実行させることを特徴とする。
本発明にかかる帯域制御プログラムは、
ネットワークを介して接続される情報処理装置間に配設する帯域制御装置に実行させる帯域制御プログラムであって、
アプリケーションレイヤレベルのデータの遷移状態を監視し、規制対象となるデータを検知した場合に、該検知した規制対象となるデータに対して、規定値の遅延を付加させ、前記検知した規制対象となるデータのL3トラフィックと、L4コネクションと、アプリケーションレイヤレベルのトランザクションと、の少なくとも1つに対して処理時間を増大させる規制制御を、コンピュータに実行させることを特徴とする。
ネットワークを介して接続される情報処理装置間に配設する帯域制御装置に実行させる帯域制御プログラムであって、
アプリケーションレイヤレベルのデータの遷移状態を監視し、規制対象となるデータを検知した場合に、該検知した規制対象となるデータに対して、規定値の遅延を付加させ、前記検知した規制対象となるデータのL3トラフィックと、L4コネクションと、アプリケーションレイヤレベルのトランザクションと、の少なくとも1つに対して処理時間を増大させる規制制御を、コンピュータに実行させることを特徴とする。
本発明によれば、特定のアプリケーションレイヤレベルのトラフィックに対して自律的に規制をかけ、ネットワークリソースを公平に利用させることが可能となる。
まず、本実施形態における帯域制御装置について説明する。
本実施形態における帯域制御装置は、ネットワークを介して接続される情報処理装置間に配備されるネットワーク機器となる帯域制御装置であって、帯域制御装置が情報処理装置から送信されるデータのアプリケーションレイヤのデータ内容を検査し、規制対象となるデータを検知した際に、該検知した規制対象となるデータの一連のL3トラフィック、L4コネクション、アプリケーションレイヤレベルのトランザクションの遮断をしたり、帯域制限をしたり、遅延付加をしたりすることを特徴とするものである。詳細には、帯域制御装置が、規制対象となるデータを検知した際に、該検知した規制対象となるデータのアプリケーションレイヤレベルの新規のL7セッション(トランザクション)トラフィックの通過を禁止することになる。また、帯域制御装置においてアプリケーションレイヤレベルの終端処理を行っている場合には、セッションの確立を拒絶することになる。また、L3トラフィック、または、L4コネクショントラフィックの流量(=帯域)を規定値以下に制限することになる。また、規制対象となるデータのアプリケーションレイヤレベルのデータに対し、規定値の遅延を付加し、規制対象となるデータのアプリケーションレイヤレベルの処理時間を増大させることになる。
本実施形態における帯域制御装置は、ネットワークを介して接続される情報処理装置間に配備されるネットワーク機器となる帯域制御装置であって、帯域制御装置が情報処理装置から送信されるデータのアプリケーションレイヤのデータ内容を検査し、規制対象となるデータを検知した際に、該検知した規制対象となるデータの一連のL3トラフィック、L4コネクション、アプリケーションレイヤレベルのトランザクションの遮断をしたり、帯域制限をしたり、遅延付加をしたりすることを特徴とするものである。詳細には、帯域制御装置が、規制対象となるデータを検知した際に、該検知した規制対象となるデータのアプリケーションレイヤレベルの新規のL7セッション(トランザクション)トラフィックの通過を禁止することになる。また、帯域制御装置においてアプリケーションレイヤレベルの終端処理を行っている場合には、セッションの確立を拒絶することになる。また、L3トラフィック、または、L4コネクショントラフィックの流量(=帯域)を規定値以下に制限することになる。また、規制対象となるデータのアプリケーションレイヤレベルのデータに対し、規定値の遅延を付加し、規制対象となるデータのアプリケーションレイヤレベルの処理時間を増大させることになる。
なお、規制対象となるデータとしては、以下の(1)〜(5)の場合のデータが挙げられる。
(1)特定のL3アドレスのデータトラフィック量が規定値を超過した場合(なお、データトラフィック量が規定値を超過したか否かを判断する際の判断基準としては、単位時間あたりのデータトラフィック量、または、データトラフィック量の総量が挙げられる)。
(2)特定のL3アドレスのL4コネクション数が規定値を超過した場合(判断基準としては、(1)と同様に、単位時間あたり、または、総量)。
(3)アプリケーションレイヤレベルにおいて識別される情報処理装置を監視対象とし、該監視対象とした情報処理装置からのデータトラフィック量が規定値を超過した場合(判断基準としては、(1)と同様に、単位時間あたり、または、総量)。
(4)特定の情報処理装置からのL4コネクション数が規定値を超過した場合(判断基準としては、(1)と同様に、単位時間あたり、または、総量)。
(5)特定の情報処理装置からのアプリケーションレイヤレベルでのトランザクション数が規定値を超過した場合(判断基準としては、(1)と同様に、単位時間あたり、または、総量)。
なお、上記の(1)〜(5)の各場合を組み合わせた場合を基に規制対象となるデータとすることも可能である。
(1)特定のL3アドレスのデータトラフィック量が規定値を超過した場合(なお、データトラフィック量が規定値を超過したか否かを判断する際の判断基準としては、単位時間あたりのデータトラフィック量、または、データトラフィック量の総量が挙げられる)。
(2)特定のL3アドレスのL4コネクション数が規定値を超過した場合(判断基準としては、(1)と同様に、単位時間あたり、または、総量)。
(3)アプリケーションレイヤレベルにおいて識別される情報処理装置を監視対象とし、該監視対象とした情報処理装置からのデータトラフィック量が規定値を超過した場合(判断基準としては、(1)と同様に、単位時間あたり、または、総量)。
(4)特定の情報処理装置からのL4コネクション数が規定値を超過した場合(判断基準としては、(1)と同様に、単位時間あたり、または、総量)。
(5)特定の情報処理装置からのアプリケーションレイヤレベルでのトランザクション数が規定値を超過した場合(判断基準としては、(1)と同様に、単位時間あたり、または、総量)。
なお、上記の(1)〜(5)の各場合を組み合わせた場合を基に規制対象となるデータとすることも可能である。
また、本実施形態における帯域制御装置は、アプリケーションレイヤレベルのデータの遷移状態を監視し、該監視するアプリケーションレイヤレベルのデータの遷移状態を基に、規制対象となるデータを検知した際に、該検知した規制対象となるデータの一連のL3トラフィック、L4コネクション、アプリケーションレイヤレベルのトランザクションの遮断をしたり、帯域制限をしたり、遅延付加をしたりすることを特徴とするものである。
なお、アプリケーションレイヤレベルのデータの遷移状態を監視する際の処理動作は、上述した規制対象となるデータを検知する際の処理動作と同様である。特に、SMTP(Simple Mail Transfer Protocol)による電子メール(以下、メールと称す)配信システムにおいて、配送元のSMTPサーバ、および、配送先のSMTPサーバのIPアドレス単位、メール配信のTCPコネクション単位、メール配信のSMTPトランザクション単位に、配信メールのIPパケット数、TCPコネクション数、送信メール数、SMTPトランザクションの継続時間、SMTPメッセージの送信元メールアドレス(Mail From)数、SMTPメッセージの宛先メールアドレス(Rcpt−To)数、SMTPエラー応答数、同時に確立するTCPコネクション数、同時に確立するSMTPトランザクション数、を計測し、各計測値の何れかが、事前に設定していた規定値を超過した際に、または、その規定値を超過した複数の計測値の組み合わせにより、規制対象となるデータと判断し、以後、その規制対象となるデータに合致するIPパケット、TCPコネクション、SMTPトランザクションに対して規制処理を実施することになる。なお、規制対象となるデータを予め設定することも可能である。
また、規制対象となるデータに対する規制制御は、IPレベルと、TCPレベルと、SMTPレベルと、に分かれて行われることになる。規制対象となるデータに対するIPレベルの規制制御は、IPパケットの廃棄と、IPパケットの遅延付加と、IPパケットの帯域規制(ポリシング、シェーピング)と、である。また、規制対象となるデータに対するTCPレベルの規制制御は、TCPコネクションの切断と、TCPコネクションのコネクション数の規制(新規TCPコネクションの受付拒否)と、TCPのACK応答遅延付加と、である。また、規制対象となるデータに対するSMTPトランザクションレベルの規制制御は、SMTPトランザクションの強制終了と、SMTPトランザクションのトランザクション数の規制(新規SMTPトランザクションの通過拒否)と、SMTPコマンド応答の遅延付加と、である。
また、本実施形態における帯域制御装置は、ポート番号に、SMTPが含まれていないパケットデータを、規制対象となるデータから除外する機能と、ポート番号に、SMTPが含まれており、尚且つ、該パケットデータのIPアドレスが、規制対象外とする特定の送信元IPアドレスまたは宛先IPアドレスであるパケットデータを、規制対象となるデータから除外する機能と、規制対象外とする特定のメールアドレスが含まれるパケットデータを、規制対象となるデータから除外する機能と、の少なくとも1つの機能を搭載することも可能である。
以下、添付図面を参照しながら、本実施形態におけるアプリケーション帯域制御装置について説明する。
本実施形態におけるアプリケーション帯域制御装置は、外部の通信機器から受信するデータのアプリケーションレイヤのデータ内容を検査し、規制対象となるデータを検知した際に、該検知した規制対象となるデータのL3トラフィック、L4コネクション、アプリケーションレイヤレベルのトランザクションに対して規制制御を行い、ネットワークリソースを公平に利用させることを可能とするものである。
具体的には、規制対象となるデータのL3トラフィック、L4コネクション、アプリケーションレイヤレベルのトランザクションの遮断処理をしたり、帯域制限処理をしたり、遅延付加処理をしたりすることで、悪質と考えられるユーザが使用するMTAから送信されるメールトラフィックに対して自律的に規制をかけ、SPAMメールによるトラフィックの増大を軽減することを特徴とするものである。
図3は、本実施形態におけるアプリケーション帯域制御装置(1)を配置したメール配信システムの概略図である。なお、図3に示すメール配信システムは図1に示す従来のメール配信システムに対応するシステム構成である。
図3に示すメール配信システムは、アプリケーション帯域制御装置(1)が、悪意を持ったユーザの使用するMTA(2−4)から配信されるメールトラフィック(6)に対してのみ規制をかけ、MTA(2−4)から配信される一部のトラフィック(4)のみをMTA(2−2)に対して配信する状態を示すものである。なお、アプリケーション帯域制御装置(1)は、MTA(2−5)から配信されるメールトラフィック(5)は正常にMTA(2−2)に配信している。
また、図4は、本実施形態におけるアプリケーション帯域制御装置(1)を配置した別のメール配信システムの概略図である。なお、図4に示すメール配信システムは図2に示す従来のメール配信システムに対応するシステム構成である。
図4に示すメール配信システムは、アプリケーション帯域制御装置(1)が、悪意を持ったユーザの使用するMTA(2−2)から配信されたSPAMメールに対して規制をかけ、管理ドメイン(3)の外部のMTA(2−4、2−5)への配信を停止している状態を示すものである。なお、アプリケーション帯域制御装置(1)は、管理ドメイン(3)内の他のMTA(2−1)、MTA(2−3)から配信されるメールトラフィックは正常に外部のMTA(2−4、2−5)に配信している。
次に、図5〜図11を参照しながら、本実施形態におけるアプリケーション帯域制御装置(1)について説明する。なお、図5は、本実施形態におけるアプリケーション帯域制御装置(1)の構成例を示すブロック図であり、図5には、一実施例として、メールを対象としたアプリケーション帯域制御装置(1)の構成例を示している。また、図6は、図5に示すL3/L4通過許可リスト(35)のデータベースの構成例を示す。また、図7は、図5に示すL3/L4規制対象リスト(36)のデータベースの構成例を示す。また、図8は、図5に示すアプリケーション通過許可リスト(55)のデータベースの構成例を示す。また、図9〜図11は、図5に示すアプリケーション規制対象リスト(56)及び規制対象リスト(66)のデータベースの構成例を示す。なお、本実施例ではL3レイヤとしてIPを、L4レイヤとしてTCPを、アプリケーションレイヤとしてSMTPを用いた場合を例にとり説明する。
(アプリケーション帯域制御装置(1)の構成)
まず、図5を参照しながら、本実施形態におけるアプリケーション帯域制御装置(1)の構成について説明する。
アプリケーション帯域制御装置(1)は、図5に示すように、ネットワークインタフェース(20)と、トラフィック制御部(30)と、L4終端部(40)と、アプリケーション処理部(50)と、判定部(60)と、を有して構成される。
まず、図5を参照しながら、本実施形態におけるアプリケーション帯域制御装置(1)の構成について説明する。
アプリケーション帯域制御装置(1)は、図5に示すように、ネットワークインタフェース(20)と、トラフィック制御部(30)と、L4終端部(40)と、アプリケーション処理部(50)と、判定部(60)と、を有して構成される。
(ネットワークインタフェース(20)の構成)
ネットワークインタフェース(20)は、1つ以上の入出力ポートを有して構成されている。なお、図5に示すネットワークインタフェース(20)は、2つの入出力ポートを具備する構成例を示しており、入力ポート(21)、及び、出力ポート(23)は管理ドメイン(3)内の機器と接続するポートとである。また、入力ポート(22)、及び、出力ポート(24)は管理ドメイン(3)外の機器と接続するポートである。
ネットワークインタフェース(20)は、1つ以上の入出力ポートを有して構成されている。なお、図5に示すネットワークインタフェース(20)は、2つの入出力ポートを具備する構成例を示しており、入力ポート(21)、及び、出力ポート(23)は管理ドメイン(3)内の機器と接続するポートとである。また、入力ポート(22)、及び、出力ポート(24)は管理ドメイン(3)外の機器と接続するポートである。
(ネットワークインタフェース(20)の機能)
ネットワークインタフェース(20)は、物理レイヤ(layer1)、および、データリンクレイヤ(layer2)の終端処理を行う。なお、本実施例では、物理レイヤ、データリンクレイヤの種類については特に限定しないが、以下の説明では、データリンクレイヤとしてEthernet(登録商標)を使用する場合について説明する。また、ネットワークインタフェース(20)とトラフィック制御部(30)との間はMACフレームデータによるデータ転送を行うものとする。
ネットワークインタフェース(20)は、物理レイヤ(layer1)、および、データリンクレイヤ(layer2)の終端処理を行う。なお、本実施例では、物理レイヤ、データリンクレイヤの種類については特に限定しないが、以下の説明では、データリンクレイヤとしてEthernet(登録商標)を使用する場合について説明する。また、ネットワークインタフェース(20)とトラフィック制御部(30)との間はMACフレームデータによるデータ転送を行うものとする。
ネットワークインタフェース(20)は、管理ドメイン内の入力ポート(21)、または、管理ドメイン外の入力ポート(22)を介してネットワークから受信したMACフレームデータをトラフィック制御部(30)のL3データ受信部(31)に送信する。また、ネットワークインタフェース(20)は、トラフィック制御部(30)のL3データ送信部(32)から受信したMACフレームデータを、管理ドメイン内の出力ポート(23)、または、管理ドメイン外の出力ポート(24)を介してネットワークへ送信する。
(トラフィック制御部(30)の構成)
トラフィック制御部(30)は、ネットワークインタフェース(20)と、L4終端部(40)と、判定部(60)と、接続している。
なお、トラフィック制御部(30)は、L3データ受信部(31)と、L3データ送信部(32)と、L3データ計測部(33)と、データバッファ(34)と、L3/L4通過許可リスト(35)と、L3/L4規制対象リスト(36)と、を有して構成される。
トラフィック制御部(30)は、ネットワークインタフェース(20)と、L4終端部(40)と、判定部(60)と、接続している。
なお、トラフィック制御部(30)は、L3データ受信部(31)と、L3データ送信部(32)と、L3データ計測部(33)と、データバッファ(34)と、L3/L4通過許可リスト(35)と、L3/L4規制対象リスト(36)と、を有して構成される。
(L3データ受信部(31)の機能)
L3データ受信部(31)は、ネットワークインタフェース(20)から送信されるMACフレームデータを受信する。そして、L3データ受信部(31)は、ネットワークインタフェース(20)から受信したMACフレームデータを基に、IPヘッダ情報の抽出処理、IPアドレスの抽出処理、上位プロトコル(TCP/UDPほか)の特定処理を行う。なお、L3データ受信部(31)は、上位プロトコルの特定処理により、上位プロトコルが特定できた場合には、その特定できた上位プロトコルのTCPヘッダ情報をMACフレームデータから抽出することになる。なお、L3データ受信部(31)は、ネットワークインタフェース(20)から受信したMACフレームデータを、データバッファ(34)に一旦格納することになる。
L3データ受信部(31)は、ネットワークインタフェース(20)から送信されるMACフレームデータを受信する。そして、L3データ受信部(31)は、ネットワークインタフェース(20)から受信したMACフレームデータを基に、IPヘッダ情報の抽出処理、IPアドレスの抽出処理、上位プロトコル(TCP/UDPほか)の特定処理を行う。なお、L3データ受信部(31)は、上位プロトコルの特定処理により、上位プロトコルが特定できた場合には、その特定できた上位プロトコルのTCPヘッダ情報をMACフレームデータから抽出することになる。なお、L3データ受信部(31)は、ネットワークインタフェース(20)から受信したMACフレームデータを、データバッファ(34)に一旦格納することになる。
また、L3データ受信部(31)は、L3データ受信部(31)において、MACフレームデータから抽出したIPヘッダ情報とTCPヘッダ情報とを基に、L3/L4通過許可リスト(35)に格納されている規制対象外とするデータのIPアドレスとTCPコネクション情報(図6参照)、または、L3/L4規制対象リスト(36)に格納されている規制対象となるデータのIPアドレスとTCPコネクション情報(図7参照)を参照し、データバッファ(34)に一旦格納したMACフレームデータを、L3データ送信部(32)に転送するか、または、L4データ受信部(41)に転送するか、または、トラフィック制御部(30)内で廃棄するか、を決定することになる。なお、IPアドレスは、MACフレームデータから抽出した送信元IPアドレス(図6、図7のIP SA)、宛先IPアドレス(図6、図7のIP DA)を一組とした情報であり、IPアドレスを識別するために使用するものである。また、TCPコネクション情報は、送信元IPアドレス(図6、図7のIP SA)、宛先IPアドレス(図6、図7のIP DA)、プロトコル(図6、図7のProtocol)、送信元ポート番号(図6、図7のSP)、宛先ポート番号(図6、図7のDP)を一組とした情報であり、TCPコネクションを識別するために使用する情報である。
L3データ受信部(31)は、データバッファ(34)に一旦格納したMACフレームデータが、L3/L4通過許可リスト(35)に格納されている規制対象外とするIPアドレス、または、TCPコネクション情報に合致すると判断した場合には、L3データ受信部(31)は、そのMACフレームデータをL3データ送信部(32)に転送することになる。なお、この処理をパケットスルー処理と称することにする。
また、L3データ受信部(31)は、データバッファ(34)に一旦格納したMACフレームデータが、L3/L4通過許可リスト(35)に格納されている規制対象外とするIPアドレス、または、TCPコネクション情報に合致せず、L3/L4規制対象リスト(36)に格納されている規制対象となるIPアドレス、または、TCPコネクション情報に合致しないと判断した場合には、L3データ受信部(31)は、そのMACフレームデータをL4データ受信部(41)に転送することになる。なお、この処理をアプリケーション中継処理と称することにする。
また、L3データ受信部(31)は、データバッファ(34)に一旦格納したMACフレームデータが、L3/L4通過許可リスト(35)に格納されている規制対象外とするIPアドレス、または、TCPコネクション情報に合致せず、L3/L4規制対象リスト(36)に格納されている規制対象となるIPアドレス、または、TCPコネクション情報に合致すると判断した場合には、L3データ受信部(31)は、L3/L4規制対象リスト(36)内の規制動作フィールド(図7の規制動作)を参照し、そのMACフレームデータを、L4データ受信部(41)へ転送するか(アプリケーション中継処理)、または、トラフィック制御部(30)内で廃棄処理するか(MACフレームデータ破棄処理)、を決定することになる。
例えば、L3データ受信部(31)は、図7に示すL3/L4規制対象リスト(36)内の「規制動作」が「中継」であると判断した場合には、MACフレームデータを、L4データ受信部(41)へ転送することになる(アプリケーション中継処理)。また、L3データ受信部(31)は、図7に示すL3/L4規制対象リスト(36)内の「規制動作」が「廃棄」であると判断した場合には、MACフレームデータを、トラフィック制御部(30)内で廃棄処理することになる(MACフレームデータ破棄処理)。
また、L3データ受信部(31)は、L3データ受信部(31)において抽出したIPヘッダ情報とTCPヘッダ情報とをL3データ計測部(33)に送信することになる。また、L3データ受信部(31)は、データバッファ(34)に一旦格納したMACフレームデータを、L4データ受信部(41)に転送する場合には、そのMACフレームデータから抽出したIPヘッダ情報とTCPヘッダ情報とをL4データ受信部(41)に転送することになる。
なお、L3データ受信部(31)は、判定部(60)からの指定により、L3/L4通過許可リスト(35)、L3/L4規制対象リスト(36)に登録されているIPアドレス、または、TCPコネクション情報を基に、MACフレームデータに対して、パケットスルー処理、アプリケーション中継処理、MACフレームデータ破棄処理を実施することになる。
(L3データ送信部(32)の機能)
L3データ送信部(32)は、データバッファ(34)を介してL3データ受信部(31)から受信したMACフレームデータをネットワークインタフェース(20)に送信する。また、L3データ送信部(32)は、L4終端部(40)内のL4データ送信部(42)から送信されるTCPデータを受信し、該受信したTCPデータに対して、該TCPデータの属するIPヘッダ情報を付与し、IPデータを構築する。そして、L3データ送信部(32)は、該構築したIPデータに対しMACヘッダ情報を付与し、MACフレームデータを作成し、その作成したMACフレームデータをネットワークインタフェース(20)に送信することになる。なお、L3データ送信部(32)は、L3データ送信部(32)において構築したIPデータが規制対象のIPデータである場合には、データバッファ(34)にIPデータを一旦格納し、送信規制処理を行った後に、データバッファ(34)に一旦格納したIPデータを取り出し、該取り出したIPデータに対してMACヘッダ情報を付与し、MACフレームデータを作成し、その作成したMACフレームデータをネットワークインタフェース(20)に送信することになる。
L3データ送信部(32)は、データバッファ(34)を介してL3データ受信部(31)から受信したMACフレームデータをネットワークインタフェース(20)に送信する。また、L3データ送信部(32)は、L4終端部(40)内のL4データ送信部(42)から送信されるTCPデータを受信し、該受信したTCPデータに対して、該TCPデータの属するIPヘッダ情報を付与し、IPデータを構築する。そして、L3データ送信部(32)は、該構築したIPデータに対しMACヘッダ情報を付与し、MACフレームデータを作成し、その作成したMACフレームデータをネットワークインタフェース(20)に送信することになる。なお、L3データ送信部(32)は、L3データ送信部(32)において構築したIPデータが規制対象のIPデータである場合には、データバッファ(34)にIPデータを一旦格納し、送信規制処理を行った後に、データバッファ(34)に一旦格納したIPデータを取り出し、該取り出したIPデータに対してMACヘッダ情報を付与し、MACフレームデータを作成し、その作成したMACフレームデータをネットワークインタフェース(20)に送信することになる。
なお、L3データ送信部(32)は、判定部(60)からの指定により、L3/L4規制対象リスト(36)に登録されているIPアドレス、または、TCPコネクション情報に合致するIPデータと判断し、尚かつ、規制動作が「遅延」に該当するIPデータに対し、送信規制処理(遅延付加処理)を実施することになる。
(L3データ計測部(33)の機能)
L3データ計測部(33)は、L3データ受信部(31)から送信されたIPヘッダ情報とTCPヘッダ情報とを受信し、該受信したIPヘッダ情報とTCPヘッダ情報とを基に、同一送信元IPアドレスで、同一宛先ポート番号(本実施例では、SMTP)のTCPコネクション数、または、同一宛先IPアドレスで、同一送信元ポート番号(本実施例ではSMTP)のTCPコネクション数の計測を行うことになる。
L3データ計測部(33)は、L3データ受信部(31)から送信されたIPヘッダ情報とTCPヘッダ情報とを受信し、該受信したIPヘッダ情報とTCPヘッダ情報とを基に、同一送信元IPアドレスで、同一宛先ポート番号(本実施例では、SMTP)のTCPコネクション数、または、同一宛先IPアドレスで、同一送信元ポート番号(本実施例ではSMTP)のTCPコネクション数の計測を行うことになる。
L3データ計測部(33)は、L3データ受信部(31)から受信したIPヘッダ情報とTCPヘッダ情報とを基に計測した、同一送信元IPアドレスで、同一宛先ポート番号のTCPコネクション数、または、同一宛先IPアドレスで、同一送信元ポート番号のTCPコネクション数が、L3データ計測部(33)に予め設定されている規定値以上になったと判定した場合に、その規定値以上になったと判定したIPヘッダ情報とTCPヘッダ情報とを判定部(60)に送信することになる。
(データバッファ(34)の機能)
データバッファ(34)は、L3データ受信部(31)とL3データ送信部(32)とから送信されるデータ(L3データ受信部(31)からはMACフレームデータ、L3データ送信部(32)からはIPデータ)を一時的に保存するために使用するものである。
データバッファ(34)は、L3データ受信部(31)とL3データ送信部(32)とから送信されるデータ(L3データ受信部(31)からはMACフレームデータ、L3データ送信部(32)からはIPデータ)を一時的に保存するために使用するものである。
(L3/L4通過許可リスト(35)、L3/L4規制対象リスト(36)の機能)
L3/L4通過許可リスト(35)は、規制対象外とするデータのIPアドレスと、TCPコネクション情報と、が格納されている。L3/L4通過許可リスト(35)に格納されているデータに関しては、規制動作は全て通過処理(パケットスルー処理)を行うことになるため、L3/L4通過許可リスト(35)には、規制動作を示す規制動作情報の項目が存在しないことになる。また、L3/L4規制対象リスト(36)には、規制対象となるデータのIPアドレスと、TCPコネクション情報と、規制動作情報と、が格納されている。
L3/L4通過許可リスト(35)は、規制対象外とするデータのIPアドレスと、TCPコネクション情報と、が格納されている。L3/L4通過許可リスト(35)に格納されているデータに関しては、規制動作は全て通過処理(パケットスルー処理)を行うことになるため、L3/L4通過許可リスト(35)には、規制動作を示す規制動作情報の項目が存在しないことになる。また、L3/L4規制対象リスト(36)には、規制対象となるデータのIPアドレスと、TCPコネクション情報と、規制動作情報と、が格納されている。
なお、L3/L4通過許可リスト(35)と、L3/L4規制対象リスト(36)と、に格納される情報は、判定部(60)から設定されることになる。また、L3/L4通過許可リスト(35)と、L3/L4規制対象リスト(36)と、に格納されている情報は、L3データ受信部(31)が参照し、L3データ受信部(31)において抽出したIPヘッダ情報とTCPヘッダ情報との照合用に使用されることになる。なお、L3/L4通過許可リスト(35)のデータ構造の構成例を図6に示す。また、L3/L4規制対象リスト(36)のデータ構造の構成例を図7に示す。
図6に示すL3/L4通過許可リスト(35)は、IPの送信元アドレス:IP SAと、IPの宛先アドレス:IP DAと、Protocolと、送信元ポート番号:SP(Source Port)と、宛先ポート番号:DP(Destination Port)と、を有して構成されるデータ構造となっている。
図7に示すL3/L4規制対象リスト(36)は、L3/L4通過許可リスト(35)に、規制動作を示す規制動作情報の項目が新たに追加されたデータ構造となっている。なお、規制動作としては、本実施例では、中継(アプリケーション中継処理)、遅延(遅延付加処理)、廃棄(MACフレームデータ破棄処理)が挙げられる。
(L4終端部(40)の構成)
L4終端部(40)は、トラフィック制御部(30)と、アプリケーション処理部(50)と、判定部(60)と、接続している。
なお、L4終端部(40)は、L4データ受信部(41)と、L4データ送信部(42)と、L4データ計測部(43)と、データバッファ(44)と、を有して構成される。
L4終端部(40)は、トラフィック制御部(30)と、アプリケーション処理部(50)と、判定部(60)と、接続している。
なお、L4終端部(40)は、L4データ受信部(41)と、L4データ送信部(42)と、L4データ計測部(43)と、データバッファ(44)と、を有して構成される。
(L4データ受信部(41)の機能)
L4データ受信部(41)は、トラフィック制御部(30)のL3データ受信部(31)から送信されたMACフレームデータ、及び、IPヘッダ情報とTCPヘッダ情報とを受信する。L4データ受信部(41)は、トラフィック制御部(30)のL3データ受信部(31)から送信されたMACフレームデータを受信するとTCPの終端処理を行うことになる。なお、TCPの終端処理としては、TCPコネクションの状態遷移管理、TCPコネクションのオープン処理(3ウェイ・ハンド・シェーク)、TCPコネクションのクローズ処理(4ウェイ・ハンド・シェーク)、MACフレームデータからのTCPデータの取り出し処理、到着パケットの順序管理、SMTPメッセージの再構築処理等が挙げられる。
L4データ受信部(41)は、トラフィック制御部(30)のL3データ受信部(31)から送信されたMACフレームデータ、及び、IPヘッダ情報とTCPヘッダ情報とを受信する。L4データ受信部(41)は、トラフィック制御部(30)のL3データ受信部(31)から送信されたMACフレームデータを受信するとTCPの終端処理を行うことになる。なお、TCPの終端処理としては、TCPコネクションの状態遷移管理、TCPコネクションのオープン処理(3ウェイ・ハンド・シェーク)、TCPコネクションのクローズ処理(4ウェイ・ハンド・シェーク)、MACフレームデータからのTCPデータの取り出し処理、到着パケットの順序管理、SMTPメッセージの再構築処理等が挙げられる。
また、L4データ受信部(41)は、MACフレームデータを受信した際に、該受信したMACフレームデータに含まれる上位プロトコルデータ(本実施例ではSMTPメッセージ)の抽出処理を行い、該抽出したSMTPメッセージをSMTP中継処理用にアプリケーションデータ受信部(51)に送信する。なお、L4データ受信部(41)は、アプリケーションデータ受信部(51)からバックプレッシャー信号を受信すると、アプリケーションデータ受信部(51)に対するSMTPメッセージの送信を停止し、SMTPメッセージをデータバッファ(44)に一時的に格納することになる。そして、L4データ受信部(41)は、バックプレッシャー信号の受信が解除されることで、データバッファ(44)に一時的に格納したSMTPメッセージを読み出し、該読み出したSMTPメッセージをアプリケーションデータ受信部(51)に送信することになる。
また、L4データ受信部(41)は、TCPの終端処理であるTCPコネクションの状態遷移管理により、個々のTCPコネクションの遷移状態を管理し、該当TCPデータのTCPコネクション情報、及び、そのTCPコネクションの開始通知および終了通知をL4データ計測部(43)に送信する。また、L4データ受信部(41)は、判定部(60)から指定されたMACフレームデータ内のTCPデータに対する受信規制処理を実施することになる。なお、TCPデータに対する受信規制処理としては、新規コネクション受付拒否(SYNパケットデータ受信時のデータ廃棄)、既接続コネクションの切断(以後の受信データの廃棄)が挙げられる。
(L4データ送信部(42)の機能)
L4データ送信部(42)は、アプリケーションデータ送信部(52)からSMTP中継処理用に送信されたSMTPメッセージを受信し、該受信したSMTPメッセージを基にTCPデータの構築処理を行い、その構築処理を行ったTCPデータをL3データ送信部(32)に転送する。その際、L4データ送信部(42)は、L4データ受信部(41)内で管理するTCPコネクションの遷移状態の情報を参照し、TCPデータの送信制御を行うことになる。
L4データ送信部(42)は、アプリケーションデータ送信部(52)からSMTP中継処理用に送信されたSMTPメッセージを受信し、該受信したSMTPメッセージを基にTCPデータの構築処理を行い、その構築処理を行ったTCPデータをL3データ送信部(32)に転送する。その際、L4データ送信部(42)は、L4データ受信部(41)内で管理するTCPコネクションの遷移状態の情報を参照し、TCPデータの送信制御を行うことになる。
なお、L4データ送信部(42)は、アプリケーションデータ送信部(52)から送信されるSMTPメッセージの受信を停止したい場合には、バックプレッシャー信号をアプリケーションデータ送信部(52)に送信する。なお、L4データ送信部(42)は、判定部(60)から指定された、特定のTCPデータに対する送信規制処理を実施することになる。TCPデータに対する送信規制処理としては、新規コネクション受付拒否(SYNパケットデータ受信時のRSTパケットデータ送信)、既接続コネクションの切断(FINパケットデータ送信)、TCPのACK送出遅延等が挙げられる。
(L4データ計測部(43)の機能)
L4データ計測部(43)は、L4データ受信部(41)から送信されたTCPコネクション情報と該当TCPコネクションの開始通知、および、終了通知に基づいて、該当TCPコネクションの継続時間を計測する。
L4データ計測部(43)は、L4データ受信部(41)から送信されたTCPコネクション情報と該当TCPコネクションの開始通知、および、終了通知に基づいて、該当TCPコネクションの継続時間を計測する。
また、L4データ計測部(43)は、L4データ受信部(41)から送信されたTCPコネクション情報と該当TCPコネクションの開始通知、終了通知に基づいて、判定部(60)に、新規開始TCPコネクションと、終了TCPコネクションと、を通知する。
また、L4データ計測部(43)は、L4データ計測部(43)内で管理しているTCPコネクションの継続時間が閾値以上になった場合に、TCPコネクション情報を判定部(60)に送信することになる。なお、TCPコネクションの継続時間の閾値は、L4データ計測部(43)に予め設定しておくことになる。また、TCPコネクション継続時間の閾値は変更することも可能である。
(データバッファ(44)の機能)
データバッファ(44)は、L4データ受信部(41)とL4データ送信部(42)とから送信されるデータ(L4データ受信部(41)からはSMTPメッセージ、L4データ送信部(42)からはTCPデータ)を一時的に保存するために使用するものである。
データバッファ(44)は、L4データ受信部(41)とL4データ送信部(42)とから送信されるデータ(L4データ受信部(41)からはSMTPメッセージ、L4データ送信部(42)からはTCPデータ)を一時的に保存するために使用するものである。
(アプリケーション処理部(50)の構成)
アプリケーション処理部(50)は、L4終端部(40)と、判定部(60)と、接続している。
なお、アプリケーション処理部(50)は、アプリケーションデータ受信部(51)と、アプリケーションデータ送信部(52)と、アプリケーションデータ計測部(53)と、データバッファ(54)と、アプリケーション通過許可リスト(55)と、アプリケーション規制対象リスト(56)と、アプリケーション実行部(57)と、を有して構成される。
アプリケーション処理部(50)は、L4終端部(40)と、判定部(60)と、接続している。
なお、アプリケーション処理部(50)は、アプリケーションデータ受信部(51)と、アプリケーションデータ送信部(52)と、アプリケーションデータ計測部(53)と、データバッファ(54)と、アプリケーション通過許可リスト(55)と、アプリケーション規制対象リスト(56)と、アプリケーション実行部(57)と、を有して構成される。
(アプリケーションデータ受信部(51)の機能)
アプリケーションデータ受信部(51)は、L4データ受信部(41)から送信されるSMTPメッセージを受信する。そして、アプリケーションデータ受信部(51)は、その受信したSMTPメッセージをメッセージ単位にアプリケーション実行部(57)に送信することになる。なお、アプリケーション実行部(57)は、SMTPメッセージの量が、転送処理容量を超えたと判断した場合は、SMTPメッセージの一時的な保存が必要と判断し、バックプレッシャー信号をアプリケーションデータ受信部(51)に送信することになる。これにより、アプリケーションデータ受信部(51)は、アプリケーション実行部(57)からバックプレッシャー信号を受信することになり、アプリケーションデータ受信部(51)は、SMTPメッセージをデータバッファ(54)に一時的に格納することになる。そして、アプリケーションデータ受信部(51)は、データバッファ(54)に一時的に格納したSMTPメッセージを識別するためのSMTPメッセージ識別情報をアプリケーション実行部(57)に送信する。そして、アプリケーション実行部(57)は、SMTPメッセージの量が、転送処理容量を超えていないと判断した場合は、転送処理が可能と判断し、アプリケーション実行部(57)は、バックプレッシャー信号の送信を停止し、アプリケーションデータ受信部(51)から受信したSMTPメッセージ識別情報を基に、一時的にデータバッファ(54)に格納したSMTPメッセージを読み出すことになる。これにより、アプリケーション実行部(57)は、一時的にデータバッファ(54)に格納されたSMTPメッセージを取得することになる。
アプリケーションデータ受信部(51)は、L4データ受信部(41)から送信されるSMTPメッセージを受信する。そして、アプリケーションデータ受信部(51)は、その受信したSMTPメッセージをメッセージ単位にアプリケーション実行部(57)に送信することになる。なお、アプリケーション実行部(57)は、SMTPメッセージの量が、転送処理容量を超えたと判断した場合は、SMTPメッセージの一時的な保存が必要と判断し、バックプレッシャー信号をアプリケーションデータ受信部(51)に送信することになる。これにより、アプリケーションデータ受信部(51)は、アプリケーション実行部(57)からバックプレッシャー信号を受信することになり、アプリケーションデータ受信部(51)は、SMTPメッセージをデータバッファ(54)に一時的に格納することになる。そして、アプリケーションデータ受信部(51)は、データバッファ(54)に一時的に格納したSMTPメッセージを識別するためのSMTPメッセージ識別情報をアプリケーション実行部(57)に送信する。そして、アプリケーション実行部(57)は、SMTPメッセージの量が、転送処理容量を超えていないと判断した場合は、転送処理が可能と判断し、アプリケーション実行部(57)は、バックプレッシャー信号の送信を停止し、アプリケーションデータ受信部(51)から受信したSMTPメッセージ識別情報を基に、一時的にデータバッファ(54)に格納したSMTPメッセージを読み出すことになる。これにより、アプリケーション実行部(57)は、一時的にデータバッファ(54)に格納されたSMTPメッセージを取得することになる。
なお、アプリケーションデータ受信部(51)は、バックプレッシャー信号の受信が解除された際に、データバッファ(54)に一時的に格納したSMTPメッセージを読み出し、該読み出したSMTPメッセージをアプリケーション実行部(57)に送信することも可能である。
また、アプリケーションデータ受信部(51)は、アプリケーション実行部(57)からバックプレッシャー信号を受信し、SMTPメッセージを一時的にデータバッファ(54)に格納する際に、そのデータバッファ(54)が一杯で、SMTPメッセージをデータバッファ(54)に格納できず、L4データ受信部(41)から送信されるSMTPメッセージの受信を停止したい場合には、アプリケーションデータ受信部(51)は、L4データ受信部(41)に対し、バックプレッシャー信号を送信することになる。これにより、L4データ受信部(41)は、アプリケーションデータ受信部(51)に対するSMTPメッセージの送信を停止することになり、L4データ受信部(41)は、SMTPメッセージをデータバッファ(44)に一時的に格納することになる。
(アプリケーションデータ送信部(52)の機能)
アプリケーションデータ送信部(52)は、アプリケーション実行部(57)から受信したSMTPメッセージをL4終端部(40)内のL4データ送信部(42)に送信する。なお、アプリケーションデータ送信部(52)はL4データ送信部(42)からのバックプレッシャー信号を受信すると、L4データ送信部(42)へのSMTPメッセージの送信を停止し、SMTPメッセージを一時的にデータバッファ(54)に格納することになる。そして、アプリケーションデータ送信部(52)は、バックプレッシャー信号の受信が解除された際に、データバッファ(54)に一時的に格納したSMTPメッセージを読み出し、該読み出したSMTPメッセージをL4データ送信部(42)に送信することになる。
アプリケーションデータ送信部(52)は、アプリケーション実行部(57)から受信したSMTPメッセージをL4終端部(40)内のL4データ送信部(42)に送信する。なお、アプリケーションデータ送信部(52)はL4データ送信部(42)からのバックプレッシャー信号を受信すると、L4データ送信部(42)へのSMTPメッセージの送信を停止し、SMTPメッセージを一時的にデータバッファ(54)に格納することになる。そして、アプリケーションデータ送信部(52)は、バックプレッシャー信号の受信が解除された際に、データバッファ(54)に一時的に格納したSMTPメッセージを読み出し、該読み出したSMTPメッセージをL4データ送信部(42)に送信することになる。
(アプリケーション実行部(57)の機能)
アプリケーション実行部(57)は、アプリケーションデータ受信部(51)から受信したSMTPメッセージ、または、データバッファ(54)から読み出したSMTPメッセージの解釈処理、そのSMTPメッセージの転送判断処理、新規SMTPメッセージの生成処理を行うことになる。通常、アプリケーション実行部(57)は、SMTPメッセージを次のネットワークに中継することになる(SMTP中継)。この場合、アプリケーション実行部(57)は、SMTPメッセージをアプリケーションデータ送信部(52)に転送することになる。
アプリケーション実行部(57)は、アプリケーションデータ受信部(51)から受信したSMTPメッセージ、または、データバッファ(54)から読み出したSMTPメッセージの解釈処理、そのSMTPメッセージの転送判断処理、新規SMTPメッセージの生成処理を行うことになる。通常、アプリケーション実行部(57)は、SMTPメッセージを次のネットワークに中継することになる(SMTP中継)。この場合、アプリケーション実行部(57)は、SMTPメッセージをアプリケーションデータ送信部(52)に転送することになる。
なお、アプリケーション実行部(57)は、SMTPメッセージの転送処理の際に、アプリケーションデータ送信部(52)から、他のデータ処理中につきデータの送信中断の指示がされていて、SMTPメッセージの一時的な保存が必要な場合には、アプリケーション実行部(57)は、SMTPメッセージをデータバッファ(54)に一時的に格納することになる。そして、アプリケーション実行部(57)は、アプリケーションデータ送信部(52)から、データの送信中断の指示が解除された場合には、アプリケーション実行部(57)は、データバッファ(54)に一時的に格納したSMTPメッセージの読み出し処理を行い、該読み出したSMTPメッセージをアプリケーションデータ送信部(52)を介してL4データ送信部(42)に送信することになる。
なお、アプリケーション実行部(57)は、アプリケーションデータ送信部(52)から、データの送信中断の指示がされていて、SMTPメッセージの一時的な保存が必要な場合には、アプリケーション実行部(57)は、SMTPメッセージをデータバッファ(54)に一時的に格納し、該格納したSMTPメッセージを識別するためのSMTPメッセージ識別情報をアプリケーションデータ送信部(52)に送信し、アプリケーションデータ送信部(52)は、データの受信が可能となったと判断した場合に、アプリケーション実行部(57)から受信したSMTPメッセージ識別情報を基に、データバッファ(54)に格納されたSMTPメッセージの読み出し処理を行い、SMTPメッセージ識別情報に該当するSMTPメッセージを取得し、該取得したSMTPメッセージをL4データ送信部(42)に送信することも可能である。
また、アプリケーション実行部(57)は、SMTPメッセージの解釈処理を行った結果、SMTPトランザクションの状態と、SMTPメッセージの送信元メールアドレス、および、宛先メールアドレスの情報を抽出することになる。そして、アプリケーション実行部(57)は、SMTPメッセージから抽出したSMTPトランザクションの状態を基に、SMTP中継処理を行っているSMTPトランザクションを管理することになる。また、アプリケーション実行部(57)は、SMTPメッセージから抽出したSMTPトランザクションの状態と、SMTPメッセージの送信元メールアドレス、および、宛先メールアドレス、の情報をアプリケーションデータ計測部(53)に送信することになる。
また、アプリケーション実行部(57)は、SMTPメッセージの送信元メールアドレス、および、宛先メールアドレスを基に、アプリケーション通過許可リスト(55)に格納されている規制対象外とするメールアドレス、または、アプリケーション規制対象リスト(56)に格納されている規制対象とするメールアドレスとの照合処理を行い、その照合処理の結果を基に、無条件通過、条件通過、規制処理を決定することになる。
アプリケーション実行部(57)は、SMTPメッセージの送信元メールアドレス、または、宛先メールアドレスが、アプリケーション通過許可リスト(55)に格納されているメールアドレスに合致する場合、アプリケーション実行部(57)は、該SMTPトランザクションの処理として無条件にSMTP中継処理を実施することになる。
また、アプリケーション実行部(57)は、SMTPメッセージの送信元メールアドレス、または、宛先メールアドレスが、アプリケーション通過許可リスト(55)に格納されているメールアドレスに合致せず、アプリケーション規制対象リスト(56)に格納されているメールアドレスに合致しない場合、アプリケーション実行部(57)は該SMTPトランザクションの処理としてSMTP中継処理を実施することになる。
また、アプリケーション実行部(57)は、SMTPメッセージの送信元メールアドレス、または、宛先メールアドレスが、アプリケーション通過許可リスト(55)に格納されているメールアドレスに合致せず、アプリケーション規制対象リスト(56)に格納されているメールアドレスに合致する場合、アプリケーション実行部(57)は、アプリケーション規制対象リスト(56)内の規制内容フィールド(図9の規制動作)を参照し、該SMTPトランザクションの処理として複数の規制処理(廃棄、遅延、中継)から1つを選択して処理を実施することになる。
(アプリケーションデータ計測部(53)の機能)
アプリケーションデータ計測部(53)は、アプリケーション実行部(57)から送信された情報(SMTPトランザクションの状態と、SMTPメッセージの送信元メールアドレス、および、宛先メールアドレス、の情報)に基づいて、該当するSMTPトランザクションのメール数をIPアドレス別に計測することになる。また、アプリケーションデータ計測部(53)は、該当するSMTPトランザクションにおけるMAILコマンド数、RCPTコマンド数、SMTPエラー応答数を計測する。そして、アプリケーションデータ計測部(53)は、上記の何れかの計測数が各計測数個別の規定値以上になったと判断した場合に、その規定値以上になったSMTPトランザクション、STMPトランザクションの計測情報、を判定部(60)に送信することになる。
アプリケーションデータ計測部(53)は、アプリケーション実行部(57)から送信された情報(SMTPトランザクションの状態と、SMTPメッセージの送信元メールアドレス、および、宛先メールアドレス、の情報)に基づいて、該当するSMTPトランザクションのメール数をIPアドレス別に計測することになる。また、アプリケーションデータ計測部(53)は、該当するSMTPトランザクションにおけるMAILコマンド数、RCPTコマンド数、SMTPエラー応答数を計測する。そして、アプリケーションデータ計測部(53)は、上記の何れかの計測数が各計測数個別の規定値以上になったと判断した場合に、その規定値以上になったSMTPトランザクション、STMPトランザクションの計測情報、を判定部(60)に送信することになる。
(データバッファ(54)の機能)
データバッファ(54)は、アプリケーションデータ受信部(51)と、アプリケーションデータ送信部(52)と、アプリケーション実行部(57)と、が使用するデータの一時的な格納場所に使用される。
データバッファ(54)は、アプリケーションデータ受信部(51)と、アプリケーションデータ送信部(52)と、アプリケーション実行部(57)と、が使用するデータの一時的な格納場所に使用される。
(アプリケーション通過許可リスト(55)、アプリケーション規制対象リスト(56)の機能)
アプリケーション通過許可リスト(55)には、図8に示すように、L3/L4通過許可リスト(35)の項目に加えて規制対象外とするメールアドレスの項目が追加されており、アプリケーション実行部(57)やアプリケーションデータ受信部(51)から参照されることになる。
アプリケーション通過許可リスト(55)には、図8に示すように、L3/L4通過許可リスト(35)の項目に加えて規制対象外とするメールアドレスの項目が追加されており、アプリケーション実行部(57)やアプリケーションデータ受信部(51)から参照されることになる。
また、アプリケーション規制対象リスト(56)には、図9に示すように、L3/L4規制対象リスト(36)の項目に加えて、規制起動判定用のTCPコネクション上限数と、規制対象とするメールアドレスと、規制起動判定用のメール上限数と、の少なくとも1つの項目が追加されており、アプリケーション実行部(57)やアプリケーションデータ受信部(51)から参照されることになる。なお、図9は、L3/L4規制対象リスト(36)の項目に加えて、規制起動判定用のTCPコネクション上限数と、規制対象とするメールアドレスと、規制起動判定用のメール上限数と、の3つの項目が追加された構成を示している。
なお、図10は、L3/L4規制対象リスト(36)の項目に加えて、規制起動判定用のTCPコネクション上限数の項目が追加された構成を示している。また、図11は、別の例で、L3/L4規制対象リスト(36)の項目に加えて、規制対象とするメールアドレスと、規制起動判定用のメール上限数と、の項目が追加された構成を示している。
(判定部(60)の構成)
判定部(60)は、トラフィック制御部(30)と、L4終端部(40)と、アプリケーション処理部(50)と、接続して構成されている。
判定部(60)は、トラフィック制御部(30)と、L4終端部(40)と、アプリケーション処理部(50)と、接続して構成されている。
判定部(60)は、L3データ計測部(33)と、L4データ計測部(43)と、アプリケーションデータ計測部(53)と、から送信される各レイヤの計測情報を収集し、該収集した計測情報を基に、規制対象とすべき事象(IPアドレス単位、TCPコネクション単位、SMTPトランザクション単位、メールアドレス単位毎)の判定を実施することになる。そして、判定部(60)は、その実施した判定結果をトラフィック制御部(30)と、L4終端部(40)と、アプリケーション処理部(50)と、に送信し、各部位での規制処理指示を行うことになる。
なお、判定部(60)は、通過許可リスト(65)と、規制対象リスト(66)と、規制対象管理リスト(67)と、判定論理部(61)と、から構成される。
(通過許可リスト(65)の機能)
通過許可リスト(65)は、トラフィック制御部(30)内のL3/L4通過許可リスト(35)およびアプリケーション処理部(50)内のアプリケーション通過許可リスト(55)のマスターリストであり、両リストが組み合わさったものである。なお、通過許可リスト(65)は、本実施形態におけるアプリケーション帯域制御装置(1)を使用する使用者により設定されることになり、通過許可リスト(65)は、L3/L4通過許可リスト(35)とアプリケーション通過許可リスト(55)とに分割され、トラフィック制御部(30)とアプリケーション処理部(50)とに登録されることになる。
通過許可リスト(65)は、トラフィック制御部(30)内のL3/L4通過許可リスト(35)およびアプリケーション処理部(50)内のアプリケーション通過許可リスト(55)のマスターリストであり、両リストが組み合わさったものである。なお、通過許可リスト(65)は、本実施形態におけるアプリケーション帯域制御装置(1)を使用する使用者により設定されることになり、通過許可リスト(65)は、L3/L4通過許可リスト(35)とアプリケーション通過許可リスト(55)とに分割され、トラフィック制御部(30)とアプリケーション処理部(50)とに登録されることになる。
(規制対象リスト(66)の機能)
規制対象リスト(66)は、トラフィック制御部(30)内のL3/L4規制対象リスト(36)およびアプリケーション処理部(50)内のアプリケーション規制対象リスト(56)のマスターリストであり、両リストが組み合わさったものである。規制対象管理リスト(66)は、アプリケーション帯域制御装置(1)にて、規制対象となっているIPアドレス、TCPコネクション、SMTPトランザクションを管理している動的なリストである。
規制対象リスト(66)は、トラフィック制御部(30)内のL3/L4規制対象リスト(36)およびアプリケーション処理部(50)内のアプリケーション規制対象リスト(56)のマスターリストであり、両リストが組み合わさったものである。規制対象管理リスト(66)は、アプリケーション帯域制御装置(1)にて、規制対象となっているIPアドレス、TCPコネクション、SMTPトランザクションを管理している動的なリストである。
(規制対象管理リスト(67)の機能)
規制対象管理リスト(67)は、L3データ計測部(33)から通知されるIPアドレス情報と、L4データ計測部(43)から通知されるTCPコネクション情報と、アプリケーションデータ計測部(53)から通知されるSMTPトランザクション情報と、を受信し、該受信したIPアドレス情報と、TCPコネクション情報と、SMTPトランザクション情報と、を管理することになる。
規制対象管理リスト(67)は、L3データ計測部(33)から通知されるIPアドレス情報と、L4データ計測部(43)から通知されるTCPコネクション情報と、アプリケーションデータ計測部(53)から通知されるSMTPトランザクション情報と、を受信し、該受信したIPアドレス情報と、TCPコネクション情報と、SMTPトランザクション情報と、を管理することになる。
(判定論理部(61)の機能)
判定論理部(61)は、L3データ計測部(33)から通知されるIPヘッダ情報、TCPヘッダ情報と、L4データ計測部(43)から通知される新規開始TCPコネクション、終了TCPコネクション、TCPコネクション情報と、アプリケーションデータ計測部(53)から通知されるSMTPトランザクション情報、STMPトランザクションの計測情報と、規制対象リスト(66)内の項目と、を照合することになる。これは、当該SMTPトランザクションがSMTP規制対象トラフィックであるか否かを判断するためである。
判定論理部(61)は、L3データ計測部(33)から通知されるIPヘッダ情報、TCPヘッダ情報と、L4データ計測部(43)から通知される新規開始TCPコネクション、終了TCPコネクション、TCPコネクション情報と、アプリケーションデータ計測部(53)から通知されるSMTPトランザクション情報、STMPトランザクションの計測情報と、規制対象リスト(66)内の項目と、を照合することになる。これは、当該SMTPトランザクションがSMTP規制対象トラフィックであるか否かを判断するためである。
判定論理部(61)は、当該SMTPトランザクションがSMTP規制対象トラフィックであると判断した場合は、該当するSMTPトランザクション情報、TCPコネクション情報、IPアドレス情報を、規制対象管理リスト(67)に追加することになる。同時に、判定論理部(61)は、当該SMTPトランザクションがSMTP規制対象トラフィックであると判断した規制対象リスト(66)内の規制動作フィールドに記載されている規制動作を、トラフィック制御部(30)、L4終端部(40)、アプリケーション処理部(50)に対して送信し、各部位での規制処理指示を行い、規制対象の単位(IPアドレス単位、TCPコネクション単位、SMTPトランザクション単位、メールアドレス単位)毎の規制動作を実行させることになる。
(アプリケーション帯域制御装置(1)における処理動作)
次に、図12を参照しながら、上記構成からなるアプリケーション帯域制御装置(1)における帯域制御について説明する。なお、図12は、本実施形態におけるアプリケーション帯域制御装置(1)における制御処理を示すフロチャートである。
次に、図12を参照しながら、上記構成からなるアプリケーション帯域制御装置(1)における帯域制御について説明する。なお、図12は、本実施形態におけるアプリケーション帯域制御装置(1)における制御処理を示すフロチャートである。
まず、外部の通信機器から入力ポート(21、22)を介してネットワークインタフェース(20)にパケットデータが到着すると、ネットワークインタフェース(20)は、そのパケットデータを受信することになる(ステップS1)。そして、ネットワークインタフェース(20)は、その受信したパケットデータをトラフィック制御部(30)のL3データ受信部(31)に送信し、L3データ受信部(31)は、L3データ受信部(31)の具備するSMTP Trafficフィルタ(図示せず)にて、ネットワークインタフェース(20)から受信したパケットデータに対してフィルタリングを実行し、そのパケットデータがSMTPパケットデータであるか否かを判定することになる(ステップS2)。
次に、L3データ受信部(31)は、ネットワークインタフェース(20)から送信されたパケットデータがSMTPパケットデータであると判定した場合は(ステップS2/SMTP)、L3データ受信部(31)は、L3/L4通過許可リスト(35)の参照処理を行い、SMTPパケットデータが、L3/L4通過許可リスト(35)に格納されている規制対象外とするデータのIPアドレス、または、TCPコネクション情報に一致するか否かを判定することになる(ステップS3)。
なお、上記ステップS2の判定処理において、L3データ受信部(31)がSMTPパケットデータであると判定する判定条件とは、パケットデータがTCPパケットデータで、尚且つ、送信元ポート番号:SP(Source Port)、もしくは、宛先ポート番号:DP(Destination Port)の値が、SMTP(=25)の場合である。それ以外のパケットデータの場合には(ステップS2/NO・SMTP)、L3データ受信部(31)は、パケットデータをデータバッファ(34)を介してそのままL3データ送信部(32)に通過させ(パケットスルー:ステップS5)、ネットワークインタフェース(20)に転送することになる(ステップS11)。
また、ステップS3の判定処理において、当該SMTPパケットデータが、L3/L4通過許可リスト(35)に格納されている規制対象外とするデータのIPアドレス、または、TCPコネクション情報と一致するとL3データ受信部(31)が判定した場合は(ステップS3/Hit)、L3データ受信部(31)は、SMTPパケットデータを通過許可パケットデータと判定し、SMTPパケットデータをデータバッファ(34)を介してそのままL3データ送信部(32)に通過させ(パケットスルー:ステップS5)、ネットワークインタフェース(20)に転送することになる(ステップS11)。
また、ステップS3の判定処理において、当該SMTPパケットデータが、L3/L4通過許可リスト(35)に格納されている規制対象外とするIPアドレス、または、TCPコネクション情報と一致しないとL3データ受信部(31)が判定した場合は(ステップS3/NO・Hit)、L3データ受信部(31)は、SMTPパケットデータを規制対象パケットデータと判定し、L3データ受信部(31)は、その規制対象パケットデータと判定したSMTPパケットデータが、送信元ポート番号:SP(Source Port)、または、宛先ポート番号:DP(Destination Port)の何れのポート番号かを判定することになる(ステップS4)。
そして、ステップS4の判定処理において、L3データ受信部(31)は、SMTPパケットデータが、送信元ポート番号:SP(Source Port)であると判定した場合は(ステップS4/SP=SMTP)、L3データ受信部(31)は、SMTPパケットデータが、SMTPのコマンド応答を含むパケットデータであると判定し(SP=SMTP:SMTPのコマンドレスポンス)、規制対象となるパケットデータとしては取り扱わないがSMTPの遷移状態を管理するために、アプリケーション処理部(50)においてSMTPパケットデータのSMTPモニタを行うことになる(ステップS9−1)。
また、ステップS4の判定処理において、L3データ受信部(31)は、SMTPパケットデータが、宛先ポート番号:DP(Destination Port)であると判定した場合は(ステップS4/DP=SMTP)、L3データ受信部(31)は、SMTPパケットデータが、SMTPのコマンド、及び、メールデータを構成するパケットデータであると判定する(DP=SMTP:SMTPのコマンド、及び、メールデータ)。そして、L3データ受信部(31)は、当該SMTPパケットデータを、規制対象パケットデータとして取り扱う為に、L3/L4規制対象リスト(36)の参照処理を行い、当該SMTPパケットデータが、L3/L4規制対象リスト(36)に格納されている規制対象となるデータのIPアドレス、または、TCPコネクション情報に一致するか否かを判定することになる(ステップS6)。
次に、L3データ受信部(31)は、当該SMTPパケットデータが、L3/L4規制対象リスト(36)に格納されている規制対象となるデータのIPアドレス、または、TCPコネクション情報に一致しないと判定した場合は(ステップS6/NO・Hit)、アプリケーション処理部(50)において当該SMTPパケットデータのSMTPモニタを行うことになる(ステップS9−1)。
また、L3データ受信部(31)は、当該SMTPパケットデータが、L3/L4規制対象リスト(36)に格納されている規制対象となるデータのIPアドレス、または、TCPコネクション情報に一致すると判定した場合は(ステップS6/Hit)、当該SMTPパケットデータに対して規制処理であるコネクション数の制限処理(ステップS7)や、ポリシング(ステップS8)を行い、その後、アプリケーション処理部(50)においてSMTPパケットデータのSMTPモニタを行うことになる(ステップS9−2)。
なお、ステップS7のコネクション数の制限処理は、図5に示すL4終端部(40)にて実施することになる。また、ステップS8のポリシングは、図5に示すL3データ受信部(31)にて実施することになる。
また、ステップS9−1、ステップS9−2で行うSMTPモニタでは、IPアドレス単位、TCPコネクション単位のSMTPトラフィックの統計情報収集を実施することになる。なお、ステップS9−1、ステップS9−2のSMTPモニタのIPアドレス単位、TCPコネクション単位のSMTPトラフィックの統計情報収集は、図5に示すアプリケーションデータ計測部(53)で実施することになる。なお、ステップS9−2においてSMTPモニタを実施したSMTPパケットデータは、図5に示すL3データ送信部(32)で規制処理である遅延付加・シェーピングを実施することになる(ステップS10)。
なお、ステップS9−1においてSMTPモニタを実施したパケットデータ、または、ステップS10において遅延付加・シェーピングを実施したパケットデータは、ネットワークインタフェース(20)に送信されることになる(ステップS11)。
また、ステップS9−1、ステップS9−2においてSMTPモニタを実施して収集した統計情報は、図5に示す判定部(60)に集められ、判定部(60)においてSMTP規制対象トラフィックであるか否かの判定処理を行い、規制対象トラフィックであると判定した場合には、ステップS6における規制対象リストの参照処理と、ステップS7におけるコネクション数の制限処理と、ステップS8におけるポリシングと、ステップS10における遅延付加・シェーピングと、を行うことになる(ステップS12)。
なお、本実施形態におけるアプリケーション帯域制御装置(1)を構成するトラフィック制御部(30)と、L4終端部(40)と、アプリケーション処理部(50)と、判定部(60)と、は、専用のハードウェアおよびファームウェアにて構成することも可能であり、また、汎用CPUとソフトウェアとで構成しても本実施形態における処理動作を実現することは可能である。
このように、本実施形態におけるアプリケーション帯域制御装置(1)は、アプリケーション処理部(50)において、アプリケーションレイヤのデータ内容を検査して、規制対象となるデータを検知する一方で、規制対象となるデータに対する規制制御は、L3レイヤとなるトラフィック制御部(30)、もしくは、L4レイヤとなるL4終端部(40)においてトラフィックとコネクションとの規制制御を行うことになる。これにより、本実施形態におけるアプリケーション帯域制御装置(1)は、アプリケーションレイヤとなるアプリケーション処理部(50)においてトランザクションの規制制御を行う場合に比べて処理能力を大きく改善することが可能となる。例えば、本実施形態におけるアプリケーション帯域制御装置(1)は、様々なSMTPトラフィックの中から不特定多数のユーザに対して無差別に配信されるメールを規制することが可能となる。
次に、第2の実施形態について説明する。
第2の実施形態におけるアプリケーション帯域制御装置(1)は、上記の第1の実施形態におけるアプリケーション帯域制御装置(1)における処理動作に加えて、SMTPメッセージの送信元メールアドレス(Mail From)、および、宛先メールアドレス(RCPT−To)を検索し、該検索したSMTPメッセージの送信元メールアドレス(Mail From)、および、宛先メールアドレス(RCPT−To)を基にメールアドレス毎のメール数を計測し、該計測したメールアドレス毎のメール数を基にメールアドレス単位でメール配信を規制することを特徴とするものである。
第2の実施形態におけるアプリケーション帯域制御装置(1)は、上記の第1の実施形態におけるアプリケーション帯域制御装置(1)における処理動作に加えて、SMTPメッセージの送信元メールアドレス(Mail From)、および、宛先メールアドレス(RCPT−To)を検索し、該検索したSMTPメッセージの送信元メールアドレス(Mail From)、および、宛先メールアドレス(RCPT−To)を基にメールアドレス毎のメール数を計測し、該計測したメールアドレス毎のメール数を基にメールアドレス単位でメール配信を規制することを特徴とするものである。
なお、この第2の実施形態におけるアプリケーション帯域制御装置(1)は、図5に示すアプリケーション帯域制御装置(1)の具備するアプリケーション実行部(57)において、SMTPメッセージの送信元メールアドレス(Mail From)、および、宛先メールアドレス(RCPT−To)を検索し、該検索したSMTPメッセージの送信元メールアドレス(Mail From)、および、宛先メールアドレス(RCPT−To)をアプリケーションデータ計測部(53)に送信する。そして、アプリケーションデータ計測部(53)は、送信元メールアドレス(Mail From)、および、宛先メールアドレス(RCPT−To)を基に、メールアドレス毎のメール数を計測し、その計測したメールアドレス毎のメール数を判定部(60)に送信する。そして、判定部(60)は、アプリケーションデータ計測部(53)から受信したメールアドレス毎のメール数を基に、規制対象管理リスト(67)の更新と、規制対象リスト(66)の検索、通過許可リスト(65)の検索を実施し、メールアドレス単位でメール配信を規制することになる。これにより、特定のユーザが送信するメールをよりきめ細かく特定し、送信メールの制限を行うことが可能となる。
次に、第3の実施形態について説明する。
第3の実施形態におけるアプリケーション帯域制御装置(1)は、図5に示すアプリケーションデータ計測部(53)において、アプリケーション実行部(57)から送信された情報(SMTPトランザクションの状態と、SMTPメッセージの送信元メールアドレス、および、宛先メールアドレスの情報)に基づいて、該当するSMTPメッセージの宛先メールアドレス数をIPアドレス別に計測し、そのIPアドレス別に計測したSMTPメッセージの宛先メールアドレス数を判定部(60)に送信する。そして、判定部(60)は、アプリケーションデータ計測部(53)から受信したIPアドレス毎のSMTPメッセージの宛先メールアドレス数を基に、規制対象管理リスト(67)の更新と、規制対象リスト(66)の検索、通過許可リスト(65)の検索を実施し、IPアドレス単位でメール配信を規制し、1トランザクションにおける宛先メールアドレス数の制限処理を行うことを特徴とするものである。これにより、特定のユーザが送信するメールをよりきめ細かく特定し、送信メールの制限を行うことが可能となる。
第3の実施形態におけるアプリケーション帯域制御装置(1)は、図5に示すアプリケーションデータ計測部(53)において、アプリケーション実行部(57)から送信された情報(SMTPトランザクションの状態と、SMTPメッセージの送信元メールアドレス、および、宛先メールアドレスの情報)に基づいて、該当するSMTPメッセージの宛先メールアドレス数をIPアドレス別に計測し、そのIPアドレス別に計測したSMTPメッセージの宛先メールアドレス数を判定部(60)に送信する。そして、判定部(60)は、アプリケーションデータ計測部(53)から受信したIPアドレス毎のSMTPメッセージの宛先メールアドレス数を基に、規制対象管理リスト(67)の更新と、規制対象リスト(66)の検索、通過許可リスト(65)の検索を実施し、IPアドレス単位でメール配信を規制し、1トランザクションにおける宛先メールアドレス数の制限処理を行うことを特徴とするものである。これにより、特定のユーザが送信するメールをよりきめ細かく特定し、送信メールの制限を行うことが可能となる。
次に、第4の実施形態について説明する。
第4の実施形態におけるアプリケーション帯域制御装置(1)は、IPアドレス毎のパケット数とTCPコネクション毎のパケット数とを計測するための計測機能を図5に示すL3データ計測部(33)に付加し、よりきめ細かいトラフィック量の監視を行うことを特徴とするものである。
第4の実施形態におけるアプリケーション帯域制御装置(1)は、IPアドレス毎のパケット数とTCPコネクション毎のパケット数とを計測するための計測機能を図5に示すL3データ計測部(33)に付加し、よりきめ細かいトラフィック量の監視を行うことを特徴とするものである。
次に、第5の実施形態について説明する。
第5の実施形態におけるアプリケーション帯域制御装置(1)は、図12に示すステップS10の遅延付加・シェーピング処理において、図5に示すL3データ受信部(31)がIPパケットレベルの処理を行うかわりに、図5に示すL4データ受信部(41)と、L4データ送信部(42)と、においてTCPのACK応答遅延付加・TCPウィンドウサイズの変更処理を行うこととする。これにより、特定のユーザが送信するメールのトラフィック量に応じて、特定のTCPコネクションに対する制限をかけることが可能となる。
第5の実施形態におけるアプリケーション帯域制御装置(1)は、図12に示すステップS10の遅延付加・シェーピング処理において、図5に示すL3データ受信部(31)がIPパケットレベルの処理を行うかわりに、図5に示すL4データ受信部(41)と、L4データ送信部(42)と、においてTCPのACK応答遅延付加・TCPウィンドウサイズの変更処理を行うこととする。これにより、特定のユーザが送信するメールのトラフィック量に応じて、特定のTCPコネクションに対する制限をかけることが可能となる。
次に、第6の実施形態について説明する。
第6の実施形態におけるアプリケーション帯域制御装置(1)は、図12に示すステップS10の遅延付加・シェーピング処理において、図5に示すL3データ受信部(31)がIPパケットレベルの処理を行うかわりに、図5に示すアプリケーション実行部(57)においてSMTPコマンド応答の遅延付加を行うこととする。これにより、特定のユーザが送信するメールのトラフィック量に応じて、特定のSMTPトランザクションに対する制限をかけることが可能となる。
第6の実施形態におけるアプリケーション帯域制御装置(1)は、図12に示すステップS10の遅延付加・シェーピング処理において、図5に示すL3データ受信部(31)がIPパケットレベルの処理を行うかわりに、図5に示すアプリケーション実行部(57)においてSMTPコマンド応答の遅延付加を行うこととする。これにより、特定のユーザが送信するメールのトラフィック量に応じて、特定のSMTPトランザクションに対する制限をかけることが可能となる。
次に、第7の実施形態について説明する。
第7の実施形態におけるアプリケーション帯域制御装置は、図12のステップS7におけるコネクション数の制限処理を行うかわりに、SMTPトランザクションの規制処理を、アプリケーション実行部(57)が実施することとする。これにより、特定の情報処理装置から送信されるメールのトラフィック量に応じて、制限をかけることが可能となる。
第7の実施形態におけるアプリケーション帯域制御装置は、図12のステップS7におけるコネクション数の制限処理を行うかわりに、SMTPトランザクションの規制処理を、アプリケーション実行部(57)が実施することとする。これにより、特定の情報処理装置から送信されるメールのトラフィック量に応じて、制限をかけることが可能となる。
次に、第8の実施形態について説明する。
第8の実施形態におけるアプリケーション帯域制御装置(1)は、図5に示す判定部(60)からの指示によりアプリケーション実行部(57)において特定のSMTPトランザクションに対する規制処理を実施し、また、アプリケーションデータ受信部(51)において特定の送信元アドレスのSMTPトランザクションに対する受信規制処理を実施し、また、アプリケーションデータ送信部(52)において特定の宛先アドレスのSMTPトランザクションに対する送信規制処理を実施することとする。これにより、特定の情報処理装置から送信されるメールのトラフィック量に対して制限をかけることが可能となる。
第8の実施形態におけるアプリケーション帯域制御装置(1)は、図5に示す判定部(60)からの指示によりアプリケーション実行部(57)において特定のSMTPトランザクションに対する規制処理を実施し、また、アプリケーションデータ受信部(51)において特定の送信元アドレスのSMTPトランザクションに対する受信規制処理を実施し、また、アプリケーションデータ送信部(52)において特定の宛先アドレスのSMTPトランザクションに対する送信規制処理を実施することとする。これにより、特定の情報処理装置から送信されるメールのトラフィック量に対して制限をかけることが可能となる。
なお、上述する実施形態は本発明の好適な実施の形態の一例であり、本発明の実施形態は、これに限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変更を施した形態での実施が可能である。例えば、上記の実施形態におけるアプリケーション帯域制御装置における処理動作は、コンピュータプログラムにより実行することも可能であり、また、上記のプログラムは、光記録媒体、磁気記録媒体、光磁気記録媒体、または半導体等の記録媒体に記録し、その記録媒体からプログラムを情報処理装置に読み込ませることで、上述した処理動作を情報処理装置において実行させることも可能である。また、所定のネットワークを介して接続されている外部機器からプログラムを情報処理装置に読み込ませることで、上述した処理動作を情報処理装置において実行させることも可能である。また、上記の実施形態におけるアプリケーション帯域制御装置は、L3レイヤとしてIP、L4レイヤとしてTCP、アプリケーションレイヤとしてSMTPの場合ついて説明したが、L3レイヤ、L4レイヤ、アプリケーションレイヤの各プロトコルは他のプロトコルを用いた場合でも適用可能である。
本発明にかかる帯域制御装置、帯域制御方法及び帯域制御プログラムは、ネットワークを介して接続した情報処理装置の間に設けられるブリッジ、ルータ、ゲートウェイ等のネットワーク機器に適用可能である。
1 アプリケーション帯域制御装置
2−1〜N(Nは任意の整数) MTA(Message Transfer Agent:メールサーバ)
3 管理ドメイン
20 ネットワークインタフェース
21、22 入力ポート
23、24 出力ポート
30 トラフィック制御部
31 L3データ受信部
32 L3データ送信部
33 L3データ計測部
34、44、54 データバッファ
35 L3/L4通過許可リスト
36 L3/L4規制対象リスト
40 L4終端部
41 L4データ受信部
42 L4データ送信部
43 L4データ計測部
50 アプリケーション処理部
51 アプリケーションデータ受信部
52 アプリケーションデータ送信部
53 アプリケーションデータ計測部
55 アプリケーション通過許可リスト
56 アプリケーション規制対象リスト
57 アプリケーション実行部
60 判定部
61 判定論理部
65 通過許可リスト
66 規制対象リスト
67 規制対象管理リスト
101 ルータ
2−1〜N(Nは任意の整数) MTA(Message Transfer Agent:メールサーバ)
3 管理ドメイン
20 ネットワークインタフェース
21、22 入力ポート
23、24 出力ポート
30 トラフィック制御部
31 L3データ受信部
32 L3データ送信部
33 L3データ計測部
34、44、54 データバッファ
35 L3/L4通過許可リスト
36 L3/L4規制対象リスト
40 L4終端部
41 L4データ受信部
42 L4データ送信部
43 L4データ計測部
50 アプリケーション処理部
51 アプリケーションデータ受信部
52 アプリケーションデータ送信部
53 アプリケーションデータ計測部
55 アプリケーション通過許可リスト
56 アプリケーション規制対象リスト
57 アプリケーション実行部
60 判定部
61 判定論理部
65 通過許可リスト
66 規制対象リスト
67 規制対象管理リスト
101 ルータ
Claims (12)
- ネットワークを介して接続される情報処理装置間に配設する帯域制御装置であって、
前記情報処理装置から送信されるデータのアプリケーションレイヤレベルのデータ内容を検査し、規制対象となるデータを検知した場合に、該検知した規制対象となるデータに対して、規定値の遅延を付加させ、前記検知した規制対象となるデータのL3トラフィックと、L4コネクションと、アプリケーションレイヤレベルのトランザクションと、の少なくとも1つに対して処理時間を増大させる規制制御を行うことを特徴とする帯域制御装置。 - 前記アプリケーションレイヤレベルのデータ内容は、
SMTPメッセージの送信元メールアドレスと、宛先メールアドレスと、の少なくとも1つであることを特徴とする請求項1記載の帯域制御装置。 - ネットワークを介して接続される情報処理装置間に配設する帯域制御装置であって、
アプリケーションレイヤレベルのデータの遷移状態を監視し、規制対象となるデータを検知した場合に、該検知した規制対象となるデータに対して、規定値の遅延を付加させ、前記検知した規制対象となるデータのL3トラフィックと、L4コネクションと、アプリケーションレイヤレベルのトランザクションと、の少なくとも1つに対して処理時間を増大させる規制制御を行うことを特徴とする帯域制御装置。 - 前記アプリケーションレイヤレベルのデータの遷移状態は、
配信メールのIPパケット数と、TCPコネクション数と、送信メール数と、SMTPトランザクションの継続時間と、SMTPメッセージの送信元メールアドレス(Mail From)数と、SMTPメッセージの宛先メールアドレス(Rcpt−To)数と、SMTPエラー応答数と、同時に確立するTCPコネクション数と、同時に確立するSMTPトランザクション数と、の少なくとも1つを計測した結果に基づいた状態であることを特徴とする請求項3記載の帯域制御装置。 - 前記規制対象となるデータに対する規制制御は、IPレベルと、TCPレベルと、SMTPトランザクションレベルと、に分割されてなることを特徴とする請求項1から4の何れか1項に記載の帯域制御装置。
- 前記規制対象となるデータに対するIPレベルの規制制御は、IPパケットデータの遅延付加であることを特徴とする請求項5記載の帯域制御装置。
- 前記規制対象となるデータに対するTCPレベルの規制制御は、TCPのACK応答遅延付加であることを特徴とする請求項5記載の帯域制御装置。
- 前記規制対象となるデータに対するSMTPトランザクションレベルの規制制御は、SMTPコマンド応答の遅延付加であることを特徴とする請求項5記載の帯域制御装置。
- ネットワークを介して接続される情報処理装置間に配設する帯域制御装置で行う帯域制御方法であって、
前記情報処理装置から送信されるデータのアプリケーションレイヤレベルのデータ内容を検査し、規制対象となるデータを検知した場合に、該検知した規制対象となるデータに対して、規定値の遅延を付加させ、前記検知した規制対象となるデータのL3トラフィックと、L4コネクションと、アプリケーションレイヤレベルのトランザクションと、の少なくとも1つに対して処理時間を増大させる規制制御を行うことを特徴とする帯域制御方法。 - ネットワークを介して接続される情報処理装置間に配設する帯域制御装置で行う帯域制御方法であって、
アプリケーションレイヤレベルのデータの遷移状態を監視し、規制対象となるデータを検知した場合に、該検知した規制対象となるデータに対して、規定値の遅延を付加させ、前記検知した規制対象となるデータのL3トラフィックと、L4コネクションと、アプリケーションレイヤレベルのトランザクションと、の少なくとも1つに対して処理時間を増大させる規制制御を行うことを特徴とする帯域制御方法。 - ネットワークを介して接続される情報処理装置間に配設する帯域制御装置に実行させる帯域制御プログラムであって、
前記情報処理装置から送信されるデータのアプリケーションレイヤレベルのデータ内容を検査し、規制対象となるデータを検知した場合に、該検知した規制対象となるデータに対して、規定値の遅延を付加させ、前記検知した規制対象となるデータのL3トラフィックと、L4コネクションと、アプリケーションレイヤレベルのトランザクションと、の少なくとも1つに対して処理時間を増大させる規制制御を、コンピュータに実行させることを特徴とする帯域制御プログラム。 - ネットワークを介して接続される情報処理装置間に配設する帯域制御装置に実行させる帯域制御プログラムであって、
アプリケーションレイヤレベルのデータの遷移状態を監視し、規制対象となるデータを検知した場合に、該検知した規制対象となるデータに対して、規定値の遅延を付加させ、前記検知した規制対象となるデータのL3トラフィックと、L4コネクションと、アプリケーションレイヤレベルのトランザクションと、の少なくとも1つに対して処理時間を増大させる規制制御を、コンピュータに実行させることを特徴とする帯域制御プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009193341A JP2009284529A (ja) | 2003-11-27 | 2009-08-24 | 帯域制御装置、帯域制御方法及び帯域制御プログラム |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003397081 | 2003-11-27 | ||
| JP2009193341A JP2009284529A (ja) | 2003-11-27 | 2009-08-24 | 帯域制御装置、帯域制御方法及び帯域制御プログラム |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006287894A Division JP2007068208A (ja) | 2003-11-27 | 2006-10-23 | 帯域制御装置、帯域制御方法及び帯域制御プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009284529A true JP2009284529A (ja) | 2009-12-03 |
Family
ID=41454409
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009193341A Pending JP2009284529A (ja) | 2003-11-27 | 2009-08-24 | 帯域制御装置、帯域制御方法及び帯域制御プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2009284529A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014529974A (ja) * | 2011-09-06 | 2014-11-13 | アルカテル−ルーセント | ネットワーク輻輳を回避するための方法およびその装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003169094A (ja) * | 2001-11-30 | 2003-06-13 | Site Rock Corp | メール検出・規制方法およびメールサーバ |
| JP2003173315A (ja) * | 2001-12-05 | 2003-06-20 | Fumio Mizoguchi | 通信管理装置及び管理プログラム |
| JP2005033529A (ja) * | 2003-07-14 | 2005-02-03 | Udtech Japan Kk | 電子メールトラフィックコントローラ |
-
2009
- 2009-08-24 JP JP2009193341A patent/JP2009284529A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003169094A (ja) * | 2001-11-30 | 2003-06-13 | Site Rock Corp | メール検出・規制方法およびメールサーバ |
| JP2003173315A (ja) * | 2001-12-05 | 2003-06-20 | Fumio Mizoguchi | 通信管理装置及び管理プログラム |
| JP2005033529A (ja) * | 2003-07-14 | 2005-02-03 | Udtech Japan Kk | 電子メールトラフィックコントローラ |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014529974A (ja) * | 2011-09-06 | 2014-11-13 | アルカテル−ルーセント | ネットワーク輻輳を回避するための方法およびその装置 |
| US9356878B2 (en) | 2011-09-06 | 2016-05-31 | Alcatel Lucent | Method for avoiding network congestion and an apparatus thereof |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2005184792A (ja) | 帯域制御装置、帯域制御方法及び帯域制御プログラム | |
| US7926108B2 (en) | SMTP network security processing in a transparent relay in a computer network | |
| US7647411B1 (en) | System and method for controlling distribution of network communications | |
| US6941348B2 (en) | Systems and methods for managing the transmission of electronic messages through active message date updating | |
| US8583787B2 (en) | Zero-minute virus and spam detection | |
| US8185953B2 (en) | Detecting anomalous network application behavior | |
| WO2014101758A1 (zh) | 一种检测邮件攻击的方法、装置及设备 | |
| US6189035B1 (en) | Method for protecting a network from data packet overload | |
| KR20110089179A (ko) | 네트워크 침입 방지 | |
| US7958557B2 (en) | Determining a source of malicious computer element in a computer network | |
| CN105991637A (zh) | 网络攻击的防护方法和装置 | |
| US8301712B1 (en) | System and method for protecting mail servers from mail flood attacks | |
| EP1234244A1 (en) | Electronic message filter having a whitelist database and a quarantining mechanism | |
| US20060265459A1 (en) | Systems and methods for managing the transmission of synchronous electronic messages | |
| CN107135185A (zh) | 一种攻击处理方法、设备及系统 | |
| US7437758B2 (en) | Propagation of viruses through an information technology network | |
| US7958187B2 (en) | Systems and methods for managing directory harvest attacks via electronic messages | |
| Schatzmann et al. | Inferring spammers in the network core | |
| JP2009284529A (ja) | 帯域制御装置、帯域制御方法及び帯域制御プログラム | |
| JP2007068208A (ja) | 帯域制御装置、帯域制御方法及び帯域制御プログラム | |
| CN109660452B (zh) | 一种垃圾邮件源检测方法及装置 | |
| Marsono | Packet‐level open‐digest fingerprinting for spam detection on middleboxes | |
| JP2005210455A (ja) | 電子メール中継装置 | |
| KR101399037B1 (ko) | 발송자의 아이피 주소를 이용한 스팸 메일 처리 방법 및 장치 | |
| Xiaofeng et al. | Flow-based anti-spam |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090824 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110209 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110628 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110829 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20110920 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111213 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120605 |