JP2011061415A - 通信中継装置及びプログラム - Google Patents
通信中継装置及びプログラム Download PDFInfo
- Publication number
- JP2011061415A JP2011061415A JP2009207928A JP2009207928A JP2011061415A JP 2011061415 A JP2011061415 A JP 2011061415A JP 2009207928 A JP2009207928 A JP 2009207928A JP 2009207928 A JP2009207928 A JP 2009207928A JP 2011061415 A JP2011061415 A JP 2011061415A
- Authority
- JP
- Japan
- Prior art keywords
- data
- inspection
- relayed
- relay
- arithmetic processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】通信中継装置のリアルタイムの検査能力を超える量のデータの中継を行う場合に、検査漏れを避けつつも、データの中継が遅れることを防止できるようにする。
【解決手段】負荷測定部130は、中継対象のデータの検査処理122を担う演算処理部120の負荷を測定する。データ中継部110は、ネットワークA又はBから中継対象のデータを受け取った場合、負荷測定部130が求めた演算処理部120の負荷がある閾値以下であれば、演算処理部120のそのデータの検査を依頼し、検査によりそのデータが正常と判定されるとそのデータを中継する。一方、演算処理部120の負荷が閾値を超えている場合は、データ中継部110はそのデータの検査を後回しにして、そのデータを中継する。検査を後回しにされたデータは中継データ格納部140に格納され、演算処理部120の負荷が低い時に再検査に付される。
【選択図】図1
【解決手段】負荷測定部130は、中継対象のデータの検査処理122を担う演算処理部120の負荷を測定する。データ中継部110は、ネットワークA又はBから中継対象のデータを受け取った場合、負荷測定部130が求めた演算処理部120の負荷がある閾値以下であれば、演算処理部120のそのデータの検査を依頼し、検査によりそのデータが正常と判定されるとそのデータを中継する。一方、演算処理部120の負荷が閾値を超えている場合は、データ中継部110はそのデータの検査を後回しにして、そのデータを中継する。検査を後回しにされたデータは中継データ格納部140に格納され、演算処理部120の負荷が低い時に再検査に付される。
【選択図】図1
Description
本発明は、通信中継装置及びプログラムに関する。
例えば企業内の内部ネットワークとインターネット等の外部ネットワークとの間など、2つのネットワーク間の通信を中継するゲートウェイ装置などの通信中継装置が知られている。そして、通信中継装置の中には、それら両ネットワーク間で通信されるデータが正当なものであるかどうかを検査する機能を持つものがある。
この検査のための処理負荷を軽減するために、特許文献1に記載された装置では、通信相手又は通信に対応するアプリケーションに応じて、パケットを検査するか否かを制御している。
また、特許文献2に記載された装置では、IDS(Intrusion Detection System:侵入検出システム)又はIPS(Intrusion Protection System:侵入防止システム)の処理速度を向上させるために、侵入検出処理を機能別に異なるハードウエアで実現したり、ハードウエアを複数化して負荷分散したりすることが開示されている。また、そのように複数のハードウエアで分散処理した場合でも通信データの順序に追い越しが生じないようにするための仕組みが記載されている。
なお、データ通信を中継する通信中継装置としては、ゲートウェイ装置の他にも、同一の論理的ネットワークを構成する異なる物理ネットワーク同士をデータリンク層で接続するブリッジ装置など様々な種類の装置がある。そのような各種の装置で中継するデータの検査を行う例も知られている。
本発明は、通信中継装置のリアルタイムの検査能力を超える量のデータの中継を行う場合に、検査漏れを避けつつも、データの中継が遅れることを防止できるようにすることを目的とする。
請求項1に係る発明は、中継対象のデータをネットワーク間で中継するための中継手段と、前記中継対象のデータの検査処理を含む演算処理を実行する演算処理手段と、を備え、前記中継手段は、前記演算処理手段の負荷が第1の閾値以下の場合には前記検査処理の結果に基づき前記中継対象のデータを中継するか否かを制御し、前記演算処理手段の負荷が前記第1の閾値を超える場合には、前記演算処理手段に前記中継対象のデータの検査処理を行わせることなく、又は前記演算処理手段による前記中継対象のデータの検査処理の完了を待つことなく、前記中継対象のデータを中継すると共に、後で前記演算処理手段に前記検査処理を行わせるために当該データを格納手段に格納する、ことを特徴とする通信中継装置である。
請求項2に係る発明は、前記演算処理手段の負荷が前記第1の閾値より小さい第2の閾値以下になった場合に、前記格納手段に格納したデータについての前記検査処理を前記演算処理手段に実行させ、当該検査処理の結果当該データが中継不可のデータであったと判明した場合には、その旨を報知する報知手段、を更に備えることを特徴とする請求項1に記載の通信中継装置である。
請求項3に係る発明は、中継対象のデータをネットワーク間で中継するための中継手段と、中継対象のデータに対して、優先順位が定められた互いに異なる複数の検査処理を実行可能な演算処理手段と、を備え、前記中継手段は、前記演算処理手段の負荷がいずれの段階にあるかに応じて、前記複数の検査処理のうち前記負荷が当該段階にあるときに実行すると定められた検査処理を前記演算処理手段に実行させ、前記演算処理手段により実行された検査処理の結果に基づき前記中継対象のデータを中継するか否かを制御し、前記中継対象のデータを前記中継手段が中継した場合に、前記複数の検査処理の中に前記負荷が前記段階にあるときに後回しにすると定められた検査処理があれば、前記演算処理手段に当該検査処理を後で行わせるために前記中継対象のデータを格納手段に格納する、ことを特徴とする通信中継装置である。
請求項4に係る発明は、前記演算処理手段の負荷があらかじめ定められた閾値以下になった場合に、後で検査処理を実行させるために前記格納手段に格納したデータについて前記演算処理手段にその検査処理を実行させ、前記演算処理手段により実行された検査処理の結果当該データが中継不可のデータであったと判明した場合には、その旨を報知する報知手段、を更に備えることを特徴とする請求項3に記載の通信中継装置である。
請求項5に係る発明は、コンピュータを、中継対象のデータをネットワーク間で中継するための中継手段、前記中継対象のデータの検査処理を実行する検査手段、として機能させ、前記中継手段は、前記コンピュータの負荷が第1の閾値以下の場合には前記検査処理の結果に基づき前記中継対象のデータを中継するか否かを制御し、前記コンピュータの負荷が前記第1の閾値を超える場合には、前記検査手段に前記中継対象のデータの検査処理を行わせることなく、又は前記検査手段による前記中継対象のデータの検査処理の完了を待つことなく、前記中継対象のデータを中継すると共に、後で前記検査手段に前記検査処理を行わせるために当該データを格納手段に格納する、ことを特徴とするプログラムである。
請求項6に係る発明は、コンピュータを、中継対象のデータをネットワーク間で中継するための中継手段、中継対象のデータに対して、優先順位が定められた互いに異なる複数の検査処理を実行可能な検査手段、として機能させ、前記中継手段は、前記コンピュータの負荷がいずれの段階にあるかに応じて、前記複数の検査処理のうち前記負荷が当該段階にあるときに実行すると定められた検査処理を前記検査手段に実行させ、前記検査手段により実行された検査処理の結果に基づき前記中継対象のデータを中継するか否かを制御し、前記中継対象のデータを前記中継手段が中継した場合に、前記複数の検査処理の中に前記負荷が前記段階にあるときに後回しにすると定められた検査処理があれば、前記検査手段に当該検査処理を後で行わせるために前記中継対象のデータを格納手段に格納する、ことを特徴とするプログラムである。
請求項1又は5に係る発明によれば、通信中継装置のリアルタイムの検査能力を超える量のデータの中継を行う場合に、データの中継が遅れることを防止しつつも、データ格納手段に格納したデータにより、中継したデータについて後で検査を行うことができる。
請求項3又は6に係る発明によれば、複数の検査処理のうち実行するものを演算処理手段又はコンピュータの負荷に応じて制御しつつも、中継対象のデータの中継時に実行しなかった検査処理については後で検査することができる。
請求項2又は4に係る発明によれば、中継対象のデータの中継時に実行しなかった検査処理を、演算処理手段又はコンピュータの負荷の低いときに実行することができる。
図1に、通信中継装置100の実施形態の構成の一例を示す。通信中継装置100は、ネットワーク同士の間で通信データを中継する装置である。例えばゲートウェイやブリッジなどがその一例である。通信中継装置は、OSI参照モデルにおけるどのレイヤのデータを中継するものであってもよい。以下では、説明の便宜のため、通信中継装置がゲートウェイ装置である場合を主たる例として説明する。
図1の例では、通信中継装置100は、ネットワークA200とネットワークB300との間に設けられ、それら2つのネットワーク間で通信されるデータを中継する。あくまで一例に過ぎないが、例えばネットワークAは企業内のローカルエリアネットワークなどの(企業から見て)内部ネットワークであり、ネットワークBはインターネットなどの(企業から見て)外部ネットワークである。
通信中継装置100は、データ中継部110,演算処理部120,負荷測定部130,中継データ格納部140,及び不正通知部150を備える。
データ中継部110は、ネットワークA内の装置からネットワークB内の装置へ送られるデータ、及びその逆にB内の装置からからA内の装置へと送られるデータの中継のための制御を行う。
演算処理部120は、通信中継装置100におけるデータ演算処理を行う装置である。演算処理部120は、例えばCPU(中央演算処理装置)などのプロセッサと作業用のメモリ(RAMなど)などのハードウエア、及び演算処理のためのプログラムなどのソフトウエアとに基づき構成される。演算処理部120が行う演算処理には、データ中継部110が中継しようとするデータの検査処理122が含まれる。検査処理122は、例えばウィルスチェック、IPSにおける不正パケットのチェックや不正アプリケーションのチェックなど、様々な検査のうちの1以上を実行する。演算処理部120は、このような検査処理122の他にも、通信中継装置100における各種の演算処理を行う。
負荷測定部130は、演算処理部120の処理負荷を測定する。測定する負荷は、例えば演算処理部120のCPUの使用率である。また、演算処理部120におけるメモリの使用率を演算処理部120の負荷として測定してもよい。また、CPUの使用率、メモリの使用率などといった複数の値を組み合わせて1つの負荷指標値を計算してもよい。なお、このような負荷の測定技術としては、従来のものを用いればよい。
なお、データ中継部110の処理をプログラムにより実現する場合、そのプログラムは演算処理部120のCPUで実行する構成としてもよいし、別のCPUで実行してもよい。図1では、説明の便宜上、後者の場合に相当する構成の例を示している。いずれの場合でも、負荷測定部130は、検査処理122を実行するハードウエア(CPUなど)の負荷を測定する。
中継データ格納部140は、データ中継部110から転送された中継対象のデータを、後での再検査のために格納する。不正通知部150は、中継データ格納部140に格納されたデータが再検査の結果不正なデータであると判定された場合に、あらかじめ登録された管理者に、不正データを検知した旨を通知する。
図2を参照して、中継対象のデータが到来したときの通信中継装置100の処理手順の一例を説明する。まず、通信中継装置100のデータ中継部110は、ネットワークA200及びB300から中継対象のデータの到来を待つ(S10)。中継対象のデータが到来すると(S10の判定結果が肯定Y)、データ中継部110は、負荷測定部130に対して演算処理部120の現在の負荷を問い合わせる(S12)。負荷測定部130は、この問合せに応じて、演算処理部120の現在の負荷の値をデータ中継部110に返す。なお、この代わりに、負荷測定部130はデータ中継部110とは非同期に、例えば定期的に演算処理部120の負荷を測定し、常に最新の測定結果をメモリに書き込んでおき、データ中継部110がそのメモリ上の最新の測定結果を参照するようにしてもよい。
データ中継部110は、演算処理部120の現在の負荷があらかじめ設定された閾値A以下か否かを判定する(S14)。負荷が閾値A以下の場合、データ中継部110は演算処理部120に、中継対象のデータについての検査処理122を実行させる(S16)。演算処理部120の負荷が閾値A以下である場合、演算処理部120は、中継対象のデータに対し、実質的にリアルタイムで(すなわち許容可能な時間内に)検査処理122を実行する能力を有する。逆に言えば、閾値Aとしては、そのような条件を満たす負荷の値を実験などにより求め、設定しておけばよい。
ステップS16の指示に応じて、演算処理部120は中継対象のデータに対して検査処理122を実行する。検査処理122は、ネットワークAからBへ送られるデータと、その逆向きのデータとについて、同一の条件の検査を行ってもよいし、異なる条件の検査を行ってもよい。後者の場合には、例えば、データの内容やそのデータを送信又は受信するアプリケーションが同一であっても、AからBの向きではそのデータは正常であるとして中継可能と判定されるが、逆向きの場合には不正と判定され中継が許可されない場合があり得る。演算処理部120は、その検査処理の結果をデータ中継部110に返す。
データ中継部110は、検査の結果が「正常」かどうかを判定する(S18)。「正常」とは、中継対象のデータが中継可能な正当なデータであることである。逆に、「正常」でない場合、当該データは中継が禁止される。ステップS18の判定で、検査の結果が「正常」であれば、データ中継部110は、検査した中継対象のデータを、送信元のネットワークから送信先のネットワークへと中継する(S20)。一方、検査の結果が「不正」(すなわち「正常」でない)の場合には、検査した中継対象のデータを中継せずに破棄する(S22)。
また、ステップS14で、演算処理部120の負荷が閾値Aを超えていると判定された場合(判定結果が否定N)、データ中継部110は、中継対象のデータを、検査処理122を行わずに、送信元のネットワークから送信先のネットワークへと中継する。そして、そのデータを中継データ格納部140に格納する(S24)。すなわち、負荷が閾値Aを超える状況で演算処理部120に検査処理122を実行させると許容範囲を超える時間を要し、データの中継に許容できない遅延を生じるので、ここではデータを検査なしで中継してしまうのである。ただしこれではセキュリティが甘くなるので、その補償のために、検査なしで中継したデータを中継データ格納部140に格納しておき、後で、例えば演算処理部120の負荷が低くなったときに、検査できるようにしている。すなわち、この実施形態では、演算処理部120の負荷が高い場合に、検査処理122の実行を後回しにするのである。検査せずに中継したデータを後で検査して不正であると判っても、中継した事実は取り消せないが、管理者はその中継されたデータについて何らかの対処を行うことができる。
次に、図3を参照して、中継データ格納部140に格納されたデータについての検査の手順の例を説明する。この手順では、負荷測定部130が測定する演算処理部120の負荷が閾値B以下になったかどうかを、例えば定期的に判定する(S30)。演算処理部120の負荷がこの閾値B以下であれば、中継データ格納部140に格納されたデータについて検査処理122を実行しても、演算処理部120が通常実行する他の演算処理(例えば中継対象データに対する検査処理122)を妨げたり遅延させたりする可能性が許容可能な程度に収まる。逆に言えば、そのような負荷の値を閾値Bとして求め、通信中継装置100に設定しておく。この閾値Bは、検査処理122をすぐに実行するか後回しにするかの判定のための前述の閾値Aよりも小さい(低い)値である。
ステップS30で、負荷測定部130が測定する演算処理部120の負荷が閾値B以下になったと判定されると、データ中継部110は、中継データ格納部140に格納されたデータを例えば1つ取り出し、そのデータについて演算処理部120に検査処理122を実行させる(S32)。その検査処理122の結果、そのデータが正常であると判定されると(S34の判定結果がY)、データ中継部110は中継データ格納部140からそのデータを削除する(S36)。一方、その検査処理122でそのデータが不正であると判定されると(S34の判定結果がN)、データ中継部110は、不正通知部150に、不正なデータを中継したことを表すメッセージを、例えば電子メールなどの通知手段を用いて、あらかじめ登録された管理者に通知させる(S38)。このメッセージには、例えば、その不正なデータの送信元及び宛先の情報(例えばIPアドレスなど)、中継した日時、不正と判定された理由(例えばどのような検査で、どの条件に該当して不正と判定されたか、など)、などの情報が含まれる。ステップS36又はS38の処理が終わると、ステップS30に戻り、以上に説明した処理を繰り返す。
以上に説明したように、この実施形態では、演算処理部120の負荷が閾値Aより高い場合、すなわち検査処理122を実行すると中継に許容程度以上の遅延が生じる可能性が高い場合には、検査処理122を後回しにし、データを中継してしまうことで、遅延を回避している。そして、中継したデータの検査を、演算処理部120の負荷が低い時に実行することで、不正なデータを中継してしまった場合でも何らかの対処が取れるようにしている。
次に、図4を参照して、通信中継装置100の別の例を説明する。図4の例は、演算処理部120が複数の検査機能を有しており、演算処理部120の負荷に応じてそれら個々の機能単位で検査を後回しにする点が、図1の例と異なる。
図示例では、演算処理部120は、ウィルスチェック機能122a,IPS機能122b,及びコンテンツフィルタ機能122cという3つの検査機能を有している。但し、これは一例に過ぎない。演算処理部120は、他の検査機能を有していてもよい。また、例示した3つの検査機能をすべて有している必要もない。
検査設定記憶部160は、個々の検査機能ごとに、その機能をデータの中継が要求された時にすぐに実行するか、後回しにするかという設定を記憶する。検査設定記憶部160に記憶されるデータ内容の例を図5に示す。この例では、IPS機能122bのうちの不正パケットチェック機能と不正アプリケーションのチェック機能とがそれぞれ独立に制御可能となっている。なお、不正アプリケーションとは、例えば、ピアツーピアのファイル交換アプリケーションなど、通信中継装置100が中継するネットワークのうちのいずれかで禁止されているもののことである。そして、これら2つの機能と、さらにウィルスチェック機能122aとコンテンツフィルタ機能122cとのそれぞれについて、検査の実行の仕方を示す制御コードが設定されている。制御コード「ON」は、当該機能による検査を、データを中継する時点で実行することを示す。「LATER」は、当該機能による検査を、データを中継する時点では実行せず、後回しにすることを示す。また「OFF」は、当該機能による検査を実行しないことを示す。通信中継装置100が持つ複数の検査機能のうち、どの検査機能を「OFF」、すなわち使用しないもの、とするかは、通信中継装置100の管理者が設定すればよい。
そして、「ON」すなわち使用すると設定された機能については、負荷測定部130が、定期的に測定した演算処理部120の負荷に応じて、その設定値を「LATER」へと変更したり、逆に「LATER」から「ON」に戻したりする。この検査設定記憶部160の更新処理の手順の一例を、図6に示す。
この処理では、演算処理部120の負荷として、演算処理部120が備えるCPUの使用率を用いている。また、この処理のために、CPUの使用率について閾値1〜4の4つの閾値が設定されている。閾値1〜4は、その順に値が小さく設定されており、例えば閾値1は90%、閾値2は80%、閾値3は70%、及び閾値4は20%である。閾値4は、検査を後回しにしたデータの検査を行うか否かを判定する閾値B(図3参照)に相当するものであり、他の閾値よりも大幅に小さい値になっている。
この例は、図5に例示したコンテンツフィルタは使用しない設定のもとで、残りのIPS(不正パケットのチェック)、IPS(不正アプリのチェック)、及びウィルスチェックの3つの機能を、CPU負荷に応じて1つずつ段階的に後回しにしていく。それら3つの機能には、実行する優先順位が規定されている。図6の例では、IPS(不正パケットのチェック)の優先順位が最高であり、IPS(不正アプリのチェック)が次点、ウィルスチェックが最下位である。CPU使用率が低ければそれら3つの検査機能をすべて使用して検査するが、使用率が上がるにつれて、優先順位が下のものから順に後回しにされる。
図6の手順を詳しく説明すると、まず負荷測定部130は、演算処理部120のCPUの使用率を例えば定期的に測定し(S40)、その使用率が最大の閾値1を超える段階にあれば(S42の判定結果が肯定Y)、それら3つの検査機能のすべてについて、検査設定記憶部160の制御コードを「LATER」(後回し)にセットする(S44)。また、CPU使用率が閾値2から閾値1までの段階にある場合(S42の判定結果が否定NかつS46の判定結果が肯定Y)は、優先順位の最も高いIPS(不正パケットのチェック)機能の制御コードを「ON」にし、残りの2つの制御コードを「LATER」とする(S48)。また、CPU使用率が閾値3から閾値2までの段階にある場合(S46の判定結果が否定NかつS50の判定結果が肯定Y)は、優先順位の最も高いIPS(不正パケットのチェック)機能と次点のIPS(不正アプリのチェック)機能の制御コードを「ON」にし、残る1つの制御コードを「LATER」とする(S52)。そして、CPU使用率が閾値3以下の段階にある場合(S50の判定結果が否定N)は、それら3つの機能の制御コードをすべて「ON」に設定する(S54)。
また、負荷測定部130は、CPU使用率が更に閾値4以下の場合(S56の判定結果が否定N)は、データ中継部110に対し、中継データ格納部140に格納したデータ(検査を後回しにしたもの)についての再検査を依頼する(S58)。
なお、図6の手順では、使用する検査機能の実行優先順位は固定であったが、その優先順位を管理者等のユーザが設定できるようにしてもよい。この場合、設定された優先順位に従って、CPU使用率が大きくなるに連れて優先順位の低い検査機能から順に後回しにされることになる。
次に、図7を参照して、図4の装置に中継対象のデータが到来したときの処理の流れの例を説明する。まず、この例では、ネットワークA200上にある端末1から通信中継装置100に対し、ネットワークB300上にある端末2を宛先とするデータが転送されたとする(S101)。このデータを受け取ったデータ中継部110は、検査設定記憶部160に記憶された設定を読み取り(S102)、読み取った設定に従って演算処理部120に対しそのデータを転送し検査を依頼する(S103)。すなわち、読み取った設定において制御コードが「ON」になっている検査機能の実行を演算処理部120に依頼する。演算処理部120は、受け取ったデータに対して指示された検査機能による検査処理を実行し(S104)、その検査の結果をデータ中継部110に返す(S105)。
そして、その検査の結果が「正常」である場合(実行された検査のすべてにおいて、そのデータが正常と判定された場合)(MODE1)、データ中継部110は、そのデータを、ステップS102で制御コードが「LATER」(後回し)と判明した検査機能を表す情報とを対応づけて、中継データ格納部140に格納する(S106)。また、この場合、データ中継部110は、そのデータを宛先であるネットワークB300の端末2に向けて中継する(S107)。
ステップS105で受け取った検査の結果が「不正」である場合(実行された検査のいずれかで、そのデータが不正と判定された場合)(MODE2)、データ中継部110は、そのデータを、宛先に向けて中継することはせず、破棄する(S108)。
なお、ステップS102の読み取りの結果、制御コードが「ON」になっている検査機能が検査設定記憶部160にない場合は、ステップS103〜S105の処理は行わなくてよい。この場合は、データ中継部110は、MODE1の処理(S106及びS107)を実行すればよい。
次に、図8を参照して、中継データ格納部140に格納されたデータの再検査の際の処理の流れの例を説明する。
この処理では、まず負荷測定部130が、例えば定期的に演算処理部120の負荷を測定し、その測定値があらかじめ定めた閾値(図6の手順における閾値4)以下となると、データ中継部110にデータ再検査処理の実行を依頼する(S201。図6のS58に対応)。データ中継部110は、この依頼に応じ、検査を後回しにしたデータが存在するかを中継データ格納部140に問い合わせる(S202)。この問合せに応じ、中継データ格納部140は、格納しているデータと、そのデータについての実行が後回しとされた検査機能を表す情報とを、データ中継部110に返す(S203)。なお、中継データ格納部140は、複数のデータを格納している場合は、例えば格納した日時が古い順に、例えば1つずつ、データ中継部110に返す。
データ中継部110は、中継データ格納部140から受け取ったデータを演算処理部120に転送し、後回しとされた各検査機能の実行を依頼する(S204)。この依頼に応じ、演算処理部120は検査を実行し(S205)、その結果をデータ中継部110に返す(S206)。
データ中継部110は、検査結果が「正常」であれば(MODE1)、検査されたそのデータを破棄(中継データ格納部140から削除)する(S207)。一方、検査結果が「不正」であれば(MODE2)、不正なデータを中継したことを表すメッセージをあらかじめ登録された管理者に通知するよう、不正通知部150に指示する(S208)。不正通知部150は、その指示に応じ、そのメッセージを電子メールなどのあらかじめ定められた通信手段で、管理者に通知する(S209)。
以上に例示した通信中継装置100の演算処理機能を担う部分は、例えば、汎用のコンピュータに上述の各機能モジュールの処理を表すプログラムを実行させることにより実現される。ここで、コンピュータは、例えば、ハードウエアとして、CPU等のマイクロプロセッサ、ランダムアクセスメモリ(RAM)およびリードオンリメモリ(ROM)等のメモリ(一次記憶)、HDD(ハードディスクドライブ)を制御するHDDコントローラ、各種I/O(入出力)インタフェース、ローカルエリアネットワークなどのネットワークとの接続のための制御を行うネットワークインタフェース等が、たとえばバスを介して接続された回路構成を有する。また、そのバスに対し、例えばI/Oインタフェース経由で、CDやDVDなどの可搬型ディスク記録媒体に対する読み取り及び/又は書き込みのためのディスクドライブ、フラッシュメモリなどの各種規格の可搬型の不揮発性記録媒体に対する読み取り及び/又は書き込みのためのメモリリーダライタ、などが接続されてもよい。上に例示した各機能モジュールの処理内容が記述されたプログラムがCDやDVD等の記録媒体を経由して、又はネットワーク等の通信手段経由で、ハードディスクドライブ等の固定記憶装置に保存され、コンピュータにインストールされる。固定記憶装置に記憶されたプログラムがRAMに読み出されCPU等のマイクロプロセッサにより実行されることにより、上に例示した機能モジュール群が実現される。なお、それら機能モジュール群のうちの一部又は全部を、専用LSI(Large Scale Integration)、ASIC(Application Specific Integrated Circuit、特定用途向け集積回路)又はFPGA(Field Programmable Gate Array)等のハードウエア回路として構成してもよい。
データ中継部110と演算処理部120の処理を、コンピュータに搭載された別々のCPUで実行する場合は、負荷測定部130は演算処理部120の処理を実行するCPUの使用率を測定すればよい。また、データ中継部110と演算処理部120の処理を同一のCPUで実行する場合には、負荷測定部130はそのCPUの使用率を測定すればよい。
100 通信中継装置、110 データ中継部、120 演算処理部、122 検査処理、130 負荷測定部、140 中継データ格納部、150 不正通知部、200 ネットワークA、300 ネットワークB。
Claims (6)
- 中継対象のデータをネットワーク間で中継するための中継手段と、
前記中継対象のデータの検査処理を含む演算処理を実行する演算処理手段と、
を備え、
前記中継手段は、
前記演算処理手段の負荷が第1の閾値以下の場合には前記検査処理の結果に基づき前記中継対象のデータを中継するか否かを制御し、
前記演算処理手段の負荷が前記第1の閾値を超える場合には、前記演算処理手段に前記中継対象のデータの検査処理を行わせることなく、又は前記演算処理手段による前記中継対象のデータの検査処理の完了を待つことなく、前記中継対象のデータを中継すると共に、後で前記演算処理手段に前記検査処理を行わせるために当該データを格納手段に格納する、
ことを特徴とする通信中継装置。 - 前記演算処理手段の負荷が前記第1の閾値より小さい第2の閾値以下になった場合に、前記格納手段に格納したデータについての前記検査処理を前記演算処理手段に実行させ、当該検査処理の結果当該データが中継不可のデータであったと判明した場合には、その旨を報知する報知手段、
を更に備えることを特徴とする請求項1に記載の通信中継装置。 - 中継対象のデータをネットワーク間で中継するための中継手段と、
中継対象のデータに対して、優先順位が定められた互いに異なる複数の検査処理を実行可能な演算処理手段と、
を備え、
前記中継手段は、
前記演算処理手段の負荷がいずれの段階にあるかに応じて、前記複数の検査処理のうち前記負荷が当該段階にあるときに実行すると定められた検査処理を前記演算処理手段に実行させ、前記演算処理手段により実行された検査処理の結果に基づき前記中継対象のデータを中継するか否かを制御し、
前記中継対象のデータを前記中継手段が中継した場合に、前記複数の検査処理の中に前記負荷が前記段階にあるときに後回しにすると定められた検査処理があれば、前記演算処理手段に当該検査処理を後で行わせるために前記中継対象のデータを格納手段に格納する、
ことを特徴とする通信中継装置。 - 前記演算処理手段の負荷があらかじめ定められた閾値以下になった場合に、後で検査処理を実行させるために前記格納手段に格納したデータについて前記演算処理手段にその検査処理を実行させ、前記演算処理手段により実行された検査処理の結果当該データが中継不可のデータであったと判明した場合には、その旨を報知する報知手段、
を更に備えることを特徴とする請求項3に記載の通信中継装置。 - コンピュータを、
中継対象のデータをネットワーク間で中継するための中継手段、
前記中継対象のデータの検査処理を実行する検査手段、
として機能させ、
前記中継手段は、
前記コンピュータの負荷が第1の閾値以下の場合には前記検査処理の結果に基づき前記中継対象のデータを中継するか否かを制御し、
前記コンピュータの負荷が前記第1の閾値を超える場合には、前記検査手段に前記中継対象のデータの検査処理を行わせることなく、又は前記検査手段による前記中継対象のデータの検査処理の完了を待つことなく、前記中継対象のデータを中継すると共に、後で前記検査手段に前記検査処理を行わせるために当該データを格納手段に格納する、
ことを特徴とするプログラム。 - コンピュータを、
中継対象のデータをネットワーク間で中継するための中継手段、
中継対象のデータに対して、優先順位が定められた互いに異なる複数の検査処理を実行可能な検査手段、
として機能させ、
前記中継手段は、
前記コンピュータの負荷がいずれの段階にあるかに応じて、前記複数の検査処理のうち前記負荷が当該段階にあるときに実行すると定められた検査処理を前記検査手段に実行させ、前記検査手段により実行された検査処理の結果に基づき前記中継対象のデータを中継するか否かを制御し、
前記中継対象のデータを前記中継手段が中継した場合に、前記複数の検査処理の中に前記負荷が前記段階にあるときに後回しにすると定められた検査処理があれば、前記検査手段に当該検査処理を後で行わせるために前記中継対象のデータを格納手段に格納する、
ことを特徴とするプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009207928A JP2011061415A (ja) | 2009-09-09 | 2009-09-09 | 通信中継装置及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009207928A JP2011061415A (ja) | 2009-09-09 | 2009-09-09 | 通信中継装置及びプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011061415A true JP2011061415A (ja) | 2011-03-24 |
Family
ID=43948565
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009207928A Pending JP2011061415A (ja) | 2009-09-09 | 2009-09-09 | 通信中継装置及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011061415A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014504050A (ja) * | 2010-10-27 | 2014-02-13 | インターデイジタル パテント ホールディングス インコーポレイテッド | 発展型アプリケーションインターフェースのためのスケーラブルなポリシー制御パケットインスペクションのシステムおよび方法 |
JP2018019283A (ja) * | 2016-07-28 | 2018-02-01 | サイレックス・テクノロジー株式会社 | 通信装置、シリアル通信装置、通信方法及び制御プログラム |
JP2018163445A (ja) * | 2017-03-24 | 2018-10-18 | 富士ゼロックス株式会社 | 中継装置、接続情報管理システムおよびプログラム |
-
2009
- 2009-09-09 JP JP2009207928A patent/JP2011061415A/ja active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014504050A (ja) * | 2010-10-27 | 2014-02-13 | インターデイジタル パテント ホールディングス インコーポレイテッド | 発展型アプリケーションインターフェースのためのスケーラブルなポリシー制御パケットインスペクションのシステムおよび方法 |
JP2018019283A (ja) * | 2016-07-28 | 2018-02-01 | サイレックス・テクノロジー株式会社 | 通信装置、シリアル通信装置、通信方法及び制御プログラム |
JP2018163445A (ja) * | 2017-03-24 | 2018-10-18 | 富士ゼロックス株式会社 | 中継装置、接続情報管理システムおよびプログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103597457B (zh) | 避免设备中的非公布请求死锁 | |
US9760442B2 (en) | Method of delaying checkpoints by inspecting network packets | |
JP2017073765A (ja) | セキュリティ装置、攻撃検知方法及びプログラム | |
JP2018191268A (ja) | DDoS攻撃の検出時のトラフィックフィルタリングのシステムおよび方法 | |
CN109525500B (zh) | 一种自调整阈值的信息处理方法及信息处理装置 | |
US8972551B1 (en) | Prioritizing service requests | |
JP2003173300A (ja) | サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機 | |
JP5939645B2 (ja) | 情報漏洩防止装置、方法及びプログラム | |
CN110266668B (zh) | 一种端口扫描行为的检测方法及装置 | |
JP2011061415A (ja) | 通信中継装置及びプログラム | |
CN102014010B (zh) | 一种网络行为管理系统及方法 | |
CN107682446B (zh) | 一种报文镜像方法、装置及电子设备 | |
CN106301992A (zh) | 一种攻击报文检测方法及设备 | |
CN110808967B (zh) | 挑战黑洞攻击的检测方法及相关装置 | |
JP7059859B2 (ja) | 制御方法、制御装置および制御プログラム | |
JP6717184B2 (ja) | 車載制御装置 | |
JP5121347B2 (ja) | ネットワークアプリケーションの利用制限システム、利用制限方法、及びプログラム。 | |
JP6771614B1 (ja) | 通信制御システム、サーバ装置、通信制御方法、および通信制御プログラム | |
US10243877B1 (en) | Network traffic event based process priority management | |
JP6540309B2 (ja) | 共有メモリシステム、演算処理装置、及び方法 | |
JP2008217821A (ja) | 割込み遅延を動的に決定する計算機 | |
JP5994459B2 (ja) | 情報処理装置、通信制御方法及び通信制御プログラム | |
JP5922622B2 (ja) | 制御装置、通信システム、および、通信制御方法 | |
CN110022334B (zh) | 一种代理服务器的检测方法、检测装置及终端设备 | |
US20230097265A1 (en) | Securing Resources Using Unique Internet Protocol Addresses |