JP2019097069A - Format converter and format conversion program - Google Patents
Format converter and format conversion program Download PDFInfo
- Publication number
- JP2019097069A JP2019097069A JP2017226004A JP2017226004A JP2019097069A JP 2019097069 A JP2019097069 A JP 2019097069A JP 2017226004 A JP2017226004 A JP 2017226004A JP 2017226004 A JP2017226004 A JP 2017226004A JP 2019097069 A JP2019097069 A JP 2019097069A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- unit
- protocol
- protocol stack
- header
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、フォーマット変換装置及びフォーマット変換プログラムに関する。 The present invention relates to a format conversion device and a format conversion program.
近年、インターネットの普及に伴い、DDoS攻撃が急増している。このような攻撃に対する解析ツールとして、Mitigation装置やIDS(Intrusion Detection System)やWAF(Web Application Firewall)等の解析ツールが使用される。 In recent years, with the spread of the Internet, DDoS attacks are rapidly increasing. As an analysis tool for such an attack, analysis tools such as a mitigation apparatus, IDS (Intrusion Detection System), WAF (Web Application Firewall), etc. are used.
この一般の解析ツールでは、パケット転送においてトンネリングを行っているネットワークに対し、トンネルプロトコルをサポートしていない場合があった。そこで、従来、トンネルプロトコルをサポートしていない解析ツールでもパケットを解析できるようにするために、パケットのトンネルプロトコルを検知してプロトコルヘッダ部分を削除し、パケットフォーマットを変換する技術が提案されている(例えば、非特許文献1,2参照)。
In this general analysis tool, there is a case where the tunneling protocol is not supported for the network performing tunneling in packet transfer. Therefore, in order to make it possible to analyze a packet even by an analysis tool that does not support the tunnel protocol, a technology has been proposed which detects the tunnel protocol of the packet, deletes the protocol header portion, and converts the packet format (For example, refer
図48は、従来技術に係るフォーマット変換装置の処理を説明する図である。図48に示すように、例えば、ネットワークからは、トンネリングのためにEtherヘッダ以降に任意のプロトコルヘッダがスタックされたパケットが入力される。そして、解析ツール20Pの解析対象がインナーパケット(IPv4)Pa,Pbである場合には、インナーパケット(IPv4)以外のプロトコルヘッダが削除されたパケットを解析ツール20Pに入力する必要がある。
FIG. 48 is a diagram for explaining the process of the format conversion device according to the prior art. As shown in FIG. 48, for example, from the network, a packet in which an arbitrary protocol header is stacked after the Ether header is input for tunneling. Then, when the analysis target of the
しかしながら、従来技術に係るフォーマット変換装置10Pは、変換可能なトンネルパケットが限定されていた(図48の(1)参照)。具体的には、フォーマット変換装置10Pでは、削除可能なプロトコルヘッダの種類が限定されていた。このため、フォーマット変換装置10Pは、変換対象ではないパケットC1が入力されると、パケットC1のフォーマットを変換できずにそのまま解析ツール20Pに出力していた。この場合、解析ツール20Pでは、このパケットC1については、解析不能となっていた(図48の(2)参照)。
However, in the format conversion device 10P according to the prior art, the convertible tunnel packet is limited (see (1) in FIG. 48). Specifically, in the format conversion device 10P, the types of deletable protocol headers are limited. Therefore, when the packet C1 which is not the conversion target is input, the format conversion device 10P can not convert the format of the packet C1 and outputs the packet C1 as it is to the
また、従来技術に係るフォーマット変換装置10Pは、多段でカプセル化されているパケットの場合は一段のみしかプロトコルヘッダが削除できなかった(図48の(3)参照)。例えば、フォーマット変換装置10Pは、多段のパケットC2が入力されると、プロトコルヘッダのうちカプセルヘッダ(MPLS)一段しか削除できなかった。この場合、解析ツール20Pでは、フォーマット変換装置10Pから出力されたパケットC2P´については、カプセルヘッダ(IPv6)が残存しているため、解析不能となる(図48の(2)参照)。
Further, in the case of a packet encapsulated in multiple stages, the format conversion device 10P according to the prior art can delete the protocol header only in one stage (see (3) in FIG. 48). For example, when the multistage packet C2 is input, the format conversion device 10P can delete only one capsule header (MPLS) of the protocol headers. In this case, the
このように、従来のフォーマット変換装置10Pは、入力されたトンネルパケットによっては、解析ツール20Pが解析可能であるフォーマットに変換することができない場合があった。
As described above, the conventional format conversion device 10P may not be able to convert into a format that can be analyzed by the
本発明は、上記に鑑みてなされたものであって、フォーマットによらず、入力されたトンネルパケットを、解析ツールが解析可能であるフォーマットに変換することができるフォーマット変換装置及びフォーマット変換プログラムを提供することを目的とする。 The present invention has been made in view of the above, and provides a format conversion apparatus and a format conversion program capable of converting an input tunnel packet into a format that can be analyzed by an analysis tool regardless of the format. The purpose is to
上述した課題を解決し、目的を達成するために、本発明に係るフォーマット変換装置は、パケットを解析する解析装置の前段に設けられたフォーマット変換装置であって、トンネリングを行うためにEtherヘッダ以降に付加された任意のプロトコルヘッダがスタックされたパケットの入力を受け付ける入力部と、予め作成された判別ルールにしたがって、入力されたパケットの各プロトコルヘッダの種別と配置とを示すプロトコルスタックパターンを判別する判別部と、判別部によって判別されたプロトコルスタックパターンを基に、パケットのフォーマットを、解析装置の解析対象以外のプロトコルヘッダを除外したフォーマットに変換する変換部と、変換部がフォーマットを変換したパケットを解析装置に出力する出力部と、を有することを特徴とする。 In order to solve the problems described above and to achieve the object, the format conversion device according to the present invention is a format conversion device provided in the front stage of an analysis device for analyzing packets, and for performing tunneling following Ether header The protocol stack pattern indicating the type and arrangement of each protocol header of the input packet is determined according to the input unit that receives the input of the packet in which the optional protocol header added to is stacked and the identification rule created in advance A converting unit that converts the format of the packet into a format excluding the protocol header other than the analysis target of the analysis device based on the determining unit, the protocol stack pattern determined by the determining unit, and the converting unit converts the format And an output unit for outputting the packet to the analysis device And features.
本発明によれば、フォーマットによらず、入力されたトンネルパケットを、解析ツールが解析可能であるフォーマットに変換することができる。 According to the present invention, regardless of the format, an input tunnel packet can be converted into a format that can be analyzed by an analysis tool.
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施の形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。 Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings. The present invention is not limited by the embodiment. Further, in the description of the drawings, the same portions are denoted by the same reference numerals.
[実施の形態1]
[通信システムの概要]
まず、図1を用いて、実施の形態1に係る通信システムの構成について説明する。図1は、実施の形態に係る通信システムの構成の一例を示す図である。
First Embodiment
[Overview of communication system]
First, the configuration of the communication system according to the first embodiment will be described using FIG. FIG. 1 is a diagram illustrating an example of a configuration of a communication system according to an embodiment.
図1に示すように、通信システム1は、ネットワークNと、解析装置20との間に、フォーマット変換装置10が設けられた構成を有する。
As shown in FIG. 1, the
解析装置20は、IDS、WAF等の攻撃に対する解析ツールを有する装置である。本実施の形態1では、解析装置20は、トンネルプロトコルをサポートしていない解析ツールを有する場合を例に説明する。
The
フォーマット変換装置10は、解析装置20の前段に設けられる。フォーマット変換装置10は、ネットワークNを介して入力されたトンネルパケットを、フォーマットによらず、解析装置20が解析可能であるフォーマットに変換する。そして、フォーマット変換装置10は、変換後のパケットを解析装置20に出力することで、トンネルプロトコルをサポートしていない解析装置20でもパケットを解析できるようにしている。具体的には、フォーマット変換装置10は、トンネリングを行うためにEtherヘッダ以降に付加された任意のプロトコルヘッダがスタックされたパケットから、解析装置20の解析対象以外のプロトコルヘッダを除外したフォーマットに変換する。
The
ネットワークNは、例えば、有線又は無線のLAN(Local Area Network)、WAN(Wide Area Network)及びVPN(Virtual Private Network)等の任意の種類のネットワークである。 The network N is, for example, any type of network such as a wired or wireless LAN (Local Area Network), a WAN (Wide Area Network), and a VPN (Virtual Private Network).
[フォーマット変換装置の構成]
次に、フォーマット変換装置10の構成について説明する。図2は、図1に示すフォーマット変換装置10の構成の一例を示す図である。フォーマット変換装置10は、図2に示すように、パケット入力部11(入力部)、プロトコルスタック判別部12(判別部)、パケットフォーマット変換部13(変換部)及びパケット出力部14(出力部)を有する。
[Configuration of format converter]
Next, the configuration of the
なお、フォーマット変換装置10は、例えば、ROM(Read Only Memory)、RAM(Random Access Memory)、CPU(Central Processing Unit)等を含むコンピュータ等に所定のプログラムが読み込まれて、CPUが所定のプログラムを実行することで実現される。また、フォーマット変換装置10は、ネットワークN等を介して接続された他の装置との間で、各種情報を送受信する通信インタフェースを有する。例えば、フォーマット変換装置10は、NIC(Network Interface Card)等を有し、LANやインターネットなどの電気通信回線を介した他の装置との間の通信を行う。
In the
パケット入力部11は、ネットワークNを介して送信されたパケットの入力を受付ける。これらのパケットは、トンネリングを行うためにEtherヘッダ以降に付加された任意のプロトコルヘッダがスタックされたパケットである。言い換えると、これらのパケットは、Etherヘッダと、インナーパケットとの間に、任意のプロトコルヘッダが、任意にスタックされている。なお、本実施の形態1では、インナーパケットが解析装置20の解析対象となる例について説明する。したがって、本フォーマット変換装置10は、入力を受付けたパケットからEtherヘッダとインナーパケットとの間のプロトコルヘッダを除外したフォーマットに変換する。
The
プロトコルスタック判別部12は、予め作成された判別ルールにしたがって、入力されたパケットの各プロトコルヘッダの種別と配置とを示すプロトコルスタックパターンを判別する。判別ルールは、例えば、他の装置で予め作成され、このプロトコルスタック判別部12に事前設定される。 The protocol stack determination unit 12 determines a protocol stack pattern indicating the type and arrangement of each protocol header of the input packet according to a determination rule created in advance. The determination rule is created in advance by another device, for example, and is preset in the protocol stack determination unit 12.
プロトコルスタック判別部12は、判別ルールとして判別木を用いて、入力されたパケットのプロトコルスタックパターンを判別する。判別木は、プロトコルスタックパターンが既知のパケットを下位ヘッダから順次捜査して作成される。また、プロトコルスタック判別部12は、判別木を用いて、入力されたパケットから除外するプロトコルヘッダ箇所も判別する。以降、パケットから除外するプロトコルヘッダ箇所を示す情報を、ヘッダストリップ箇所として、説明を行う。なお、プロトコルスタック判別部12は、各種のプロトコルスタックパターンのパケットを判別できるように、複数の判別木が事前設定される。 The protocol stack determination unit 12 determines the protocol stack pattern of the input packet using a determination tree as a determination rule. The discrimination tree is created by sequentially examining packets with known protocol stack patterns from lower headers. Also, the protocol stack discrimination unit 12 also discriminates the protocol header part to be excluded from the input packet, using the discrimination tree. Hereinafter, information indicating a protocol header location to be excluded from the packet will be described as a header strip location. A plurality of discrimination trees are preset in the protocol stack discrimination unit 12 so that packets of various protocol stack patterns can be discriminated.
パケットフォーマット変換部13は、プロトコルスタック判別部12によって判別されたプロトコルスタックパターンを基に、パケットのフォーマットを、解析装置20の解析対象以外のプロトコルヘッダを除外したフォーマットに変換する。パケットフォーマット変換部13は、プロトコルスタックパターンとともにヘッダストリップ箇所も用いて、フォーマット変換を行う。
Based on the protocol stack pattern determined by the protocol stack determination unit 12, the packet
パケット出力部14は、パケットフォーマット変換部13がフォーマットを変換したパケットを解析装置20に出力する。
The packet output unit 14 outputs the packet whose format has been converted by the packet
[フォーマット変換装置の処理の流れ]
次に、フォーマット変換装置10の処理の流れについて説明する。図3は、図2に示すフォーマット変換装置10の処理の流れを説明する図である。
[Flow of processing of format conversion device]
Next, the flow of processing of the
図3に示すように、プロトコルスタック判別部12には、事前に、予め作成された判別木30が設定される。そして、パケット入力部11がパケットの入力を受付けると、プロトコルスタック判別部12は、判別木30を用いて、到着したパケットのプロトコルスタックパターンを判別する(図3の(1)参照)。プロトコルスタック判別部12は、判別結果として、到着したパケット自身に加え、このパケットのプロトコルスタックパターン、ヘッダストリップ箇所、変換後Ethertypeに指定するプロトコル番号を出力する。
As shown in FIG. 3, a discrimination tree 30 created in advance is set in the protocol stack discrimination unit 12 in advance. Then, when the
パケットフォーマット変換部13は、プロトコルスタック判別部12の判別結果を基に、フォーマット変換を実行する(図3の(2)参照)。そして、パケットフォーマット変換部13によるフォーマット変換後のパケットは、パケット出力部14から、解析装置20(不図示)に出力される。
The packet
[判別木の構成]
次に、プロトコルスタック判別部12に設定される判別木の構成について説明する。図4は、判別木の構成を説明する図である。図4の(a)は、判別木の作成に使用するプロトコルスタックパターンが既知であるパケットの一例を示す図である。図4の(a)では、各パケットは、左から右に向かって下位ヘッダから上位ヘッダを配置する。図4の(b)は、図4の(a)に示すパケットから作成された判別木の一例を示す図である。
[Structure of Discrimination Tree]
Next, the configuration of the discrimination tree set in the protocol stack discrimination unit 12 will be described. FIG. 4 is a diagram for explaining the configuration of the discrimination tree. FIG. 4A shows an example of a packet whose protocol stack pattern used to create a discrimination tree is known. In (a) of FIG. 4, each packet arranges the high order header from the low order header from the left to the right. (B) of FIG. 4 is a diagram showing an example of a discrimination tree created from the packet shown in (a) of FIG.
図4の(a)の枠U1内に示すように、既知情報として、パケットA〜Cが使用される。既知情報として、各プロトコルスタックパターンにおける各ヘッダの上位ヘッダを特定するための情報(各ヘッダの上位ヘッダの位置及び値)が示される。また、既知情報として、各プロトコルスタックパターンにおけるヘッダストリップ箇所、変換後Ethertypeに指定するプロトコル番号が設定されている。 As shown in a frame U1 of (a) of FIG. 4, packets A to C are used as known information. Information (position and value of upper header of each header) for specifying the upper header of each header in each protocol stack pattern is indicated as the known information. In addition, as known information, a header strip location in each protocol stack pattern and a protocol number designated to Ethertype after conversion are set.
例えば、プロトコルスタックパターンがパターンAのパケットの場合、図示するように4段のヘッダH1〜H4のうちヘッダH1〜H3の上位ヘッダの位置及び値、ヘッダストリップ箇所a1〜a2byte、変換後Ethertypeに指定するプロトコル番号mが設定されている。また、プロトコルスタックパターンがパターンBのパケットの場合、6段の各ヘッダH1〜H3,H5,H6,H4のうちヘッダH1〜H3,H5,H6の上位ヘッダの位置及び値、ヘッダストリップ箇所b1〜b2byte、変換後Ethertypeに指定するプロトコル番号lが設定されている。また、プロトコルスタックパターンがパターンCのパケットの場合、4段の各ヘッダH1,H2,H7,H4のうちH1,H2,H7の上位ヘッダの位置及び値、ヘッダストリップ箇所c1〜c2byte、変換後Ethertypeに指定するプロトコル番号nが設定されている。
For example, if the protocol stack pattern of packet pattern A, the position and the value of the upper header of the header H1~H3 within the header H1~H4 four stages as illustrated, the
そして、パターンA〜Cを判別するための判別木を作成する場合には、図4の(b)に示すように、既知である各パターンの下位ヘッダから分岐を作成し、マッチするパターンを絞り込んでいく。例えば、図4の(a)に示すように、各パターンA〜Cの下位ヘッダはH1である。このため、判別対象のパターンがパターンA〜Cに含まれるか否かを判別するために、最上位のノードN1(図4の(b)参照)は「ヘッダH1の上位ヘッダは?」と設定される。そして、パターンA〜Cのいずれについても、ヘッダH1の上位ヘッダはヘッダH2である。このため、ヘッダH1の上位ヘッダがヘッダH2である場合、判別対象のパターンは、パターンA〜Cにマッチする(エッジE1)。 Then, when creating a discrimination tree for discriminating the patterns A to C, as shown in FIG. 4B, a branch is created from lower headers of each known pattern, and the matching patterns are narrowed down. Go out. For example, as shown in FIG. 4A, the lower headers of the patterns A to C are H1. Therefore, in order to determine whether or not the pattern to be determined is included in the patterns A to C, the top node N1 (see (b) in FIG. 4) is set as "? Be done. Then, for any of the patterns A to C, the upper header of the header H1 is the header H2. Therefore, when the upper header of the header H1 is the header H2, the pattern to be discriminated matches the patterns A to C (edge E1).
続いて、判別対象のパターンがパターンA〜Cのいずれにマッチするかを判別するために、次のノードN2は「ヘッダH2の上位ヘッダは?」と設定される。ヘッダH2の上位ヘッダがヘッダH7である場合には、パターンCとマッチし(エッジE3)、判別対象のパケットのプロトコルスタックパターンは、パターンCであると判別される(ノードN3)。 Subsequently, in order to determine which of the patterns A to C the pattern to be determined matches, the next node N2 is set as “upper header of header H2?”. If the upper header of the header H2 is the header H7, it matches the pattern C (edge E3), and the protocol stack pattern of the packet to be identified is determined to be the pattern C (node N3).
一方、ヘッダH2の上位ヘッダがヘッダH3である場合には、パターンA,Bとマッチする(エッジE2)。次のノードN4は、判別対象のパターンがパターンA,Bのいずれであるかを判別するために、「ヘッダH3の上位ヘッダは?」に設定される。この際、ヘッダH3の上位ヘッダがヘッダH4である場合には、パターンAとマッチし(エッジE4)、判別対象のパケットのプロトコルスタックパターンは、パターンAであると判別される(ノードN5)。これに対し、ヘッダH3の上位ヘッダがヘッダH5である場合には、パターンBとマッチし(エッジE5)、判別対象のパケットのプロトコルスタックパターンは、パターンBであると判別される(ノードN6)。 On the other hand, when the upper header of the header H2 is the header H3, the patterns A and B are matched (edge E2). In order to determine whether the pattern to be determined is the pattern A or B, the next node N4 is set to “high-order header of header H3?”. At this time, when the upper header of the header H3 is the header H4, the pattern A is matched (edge E4), and the protocol stack pattern of the packet to be identified is determined to be the pattern A (node N5). On the other hand, if the upper header of the header H3 is the header H5, the pattern B is matched (edge E5), and the protocol stack pattern of the packet to be identified is determined to be pattern B (node N6) .
このように、パターンA〜Cについて一意に特定可能な判別木T1を作成した段階で、判別木の作成は終了となる。このような判別木は、各種のプロトコルスタックパターンに対応できるよう複数作成される。 As described above, at the stage when the discrimination tree T1 that can uniquely identify the patterns A to C is created, the generation of the discrimination tree ends. A plurality of such discrimination trees are created to correspond to various protocol stack patterns.
[プロトコルスタック判別部の処理]
次に、プロトコルスタック判別部12の処理について説明する。図5は、図2に示すプロトコルスタック判別部12の処理を説明する図である。
[Process of Protocol Stack Discrimination Unit]
Next, the process of the protocol stack determination unit 12 will be described. FIG. 5 is a diagram for explaining the process of the protocol stack determination unit 12 shown in FIG.
図5に示すように、プロトコルスタック判別部12は、例えば判別木T1を事前設定される(図5の(1)参照)。プロトコルスタック判別部12は、この判別木T1を用いて、パケットのプロトコルスタックパターンを判別する(図5の(2)参照)。具体的には、プロトコルスタック判別部12は、判別木T1を基に、入力されたパケットの下位ヘッダからヘッダを上位に向かって各ヘッダを順次特定していき、プロトコルスタックパターンを判別する。 As shown in FIG. 5, the protocol stack discrimination unit 12 pre-sets, for example, the discrimination tree T1 (see (1) in FIG. 5). The protocol stack determination unit 12 uses this determination tree T1 to determine the protocol stack pattern of the packet (see (2) in FIG. 5). Specifically, the protocol stack discrimination unit 12 sequentially identifies each header from the lower header of the input packet toward the upper layer based on the discrimination tree T1, and discriminates the protocol stack pattern.
例えば、プロトコルスタック判別部12は、パケットCaが入力された場合、判別木T1を用いて、パケットCaが、ヘッダH1〜H4を有するパターンAのプロトコルスタックパターンであることを判別する。パターンAのパケットのヘッダストリップ箇所はa1〜a2byteであり、変換後Ethertypeに指定するプロトコル番号としてmが設定されている。このため、プロトコルスタック判別部12は、パケットCaとともに、このパケットCaのパターン「A」、ヘッダストリップ箇所「a1〜a2byte」、変換後Ethertypeに指定するプロトコル番号「m」を出力する。 For example, when the packet Ca is input, the protocol stack determination unit 12 determines that the packet Ca is the protocol stack pattern of the pattern A having the headers H1 to H4 using the determination tree T1. The header strip locations of the packet of pattern A are a 1 to a 2 bytes, and m is set as the protocol number designated in Ethertype after conversion. Therefore, the protocol stack determination unit 12 outputs, together with the packet Ca, the pattern “A” of the packet Ca, the header strip location “a 1 to a 2 byte”, and the protocol number “m” specified as Ethertype after conversion.
[パケットフォーマット変換部の処理]
次に、パケットフォーマット変換部13の処理について説明する。図6は、図2に示すパケットフォーマット変換部13の処理を説明する図である。
[Process of packet format converter]
Next, processing of the packet
図6に示すように、パケットフォーマット変換部13に、プロトコルスタック判別部12の判別結果として、パケットCa、このパケットCaのパターン「A」、ヘッダストリップ箇所「a1〜a2byte」、変換後Ethertypeに指定するプロトコル番号「m」が入力された場合を例に説明する。パケットフォーマット変換部13は、この判別結果を受けて、ポインタを設定する(図6の枠W1の(1)参照)。
As shown in FIG. 6, the packet
例えば、ポインタとして、先頭ポインタ、ヘッダストリップ開始ポインタ、ヘッダストリップ終了ポインタがある。このため、パケットフォーマット変換部13は、パケットCaに対し、下位ヘッダH1の先頭に先頭ポインタを設定する。そして、パケットフォーマット変換部13は、パケットCaに対し、ヘッダH2の先頭にヘッダストリップ開始ポインタa1を設定し、ヘッダH4の先頭にヘッダストリップ終了ポインタa2を設定する。
For example, as the pointers, there are a head pointer, a header strip start pointer, and a header strip end pointer. Therefore, the packet
次に、パケットフォーマット変換部13は、先頭ポインタからヘッダストリップ開始ポインタa1までの部分を上位側にずらし、ヘッダストリップ開始ポインタa1がヘッダストリップ終了ポインタa2に重なるようにヘッダH1を上書きする(図6の(2)参照)。
Next, the packet
そして、パケットフォーマット変換部13は、先頭ポインタを、上書きしたヘッダH1の先頭に移動する(図6の(3)参照)。続いて、パケットフォーマット変換部13は、Ethertype情報を書き換え(図6の(4)参照)、先頭ポインタ以降のヘッダH1,H4を有するパケットを、フォーマット変換後のパケットCa´として出力する(図6の(5)参照)。
Then, the packet
このように、パケットフォーマット変換部13は、先頭から、ヘッダストリップ対象外の箇所をヘッダストリップ箇所に上書きをし、先頭ポインタをずらす。そして、パケットフォーマット変換部13は、上位ヘッダを特定する情報を書き換え、先頭ポインタ以降を出力することで、フォーマットの変換を行う。
As described above, the packet
[フォーマット変換装置による処理の手順]
次に、フォーマット変換装置10による処理の手順について説明する。図7は、図2に示すフォーマット変換装置10によるフォーマット変換処理の手順を示すフローチャートである。
[Procedure of processing by the format converter]
Next, the procedure of processing by the
図7に示すように、パケット入力部11が、パケットの入力を受け付けると(ステップS11)、プロトコルスタック判別部12は、予め作成された判別木にしたがって、入力されたパケットのプロトコルスタックパターンを判別するプロトコルスタック判別処理を行う(ステップS12)。
As shown in FIG. 7, when the
続いて、パケットフォーマット変換部13は、プロトコルスタック判別部12によって判別されたプロトコルスタックパターンを基に、パケットのフォーマットを、解析装置20の解析対象以外のプロトコルヘッダを除外したフォーマットに変換するパケットフォーマット変換処理を行う(ステップS13)。そして、パケット出力部14は、パケットフォーマット変換部14がフォーマットを変換したパケットを解析装置20に出力して(ステップS14)、処理を終了する。
Subsequently, based on the protocol stack pattern determined by the protocol stack determination unit 12, the packet
[実施の形態1の効果]
このように、実施の形態1では、予め作成された判別木にしたがって、入力されたパケットのプロトコルスタックパターンを判別し、パケットのフォーマットを、解析装置20の解析対象以外のプロトコルヘッダを除外したフォーマットに変換する。すなわち、このフォーマット変換装置10によれば、トンネリングを行うためにEtherヘッダ以降に付加された任意のプロトコルヘッダがスタックされたパケットに対しパケットストリッピングが可能となる。このため、このフォーマット変換装置10を解析装置20の前段に設けることによって、トンネルプロトコルをサポートしていない解析装置20を活用することができる。
[Effect of Embodiment 1]
As described above, in the first embodiment, the protocol stack pattern of the input packet is determined according to the discrimination tree created in advance, and the format of the packet is a format excluding the protocol header other than the analysis target of the
図8は、図2に示すフォーマット変換装置10によるフォーマット変換後のパケットを具体的に説明する図である。例えば、フォーマット変換装置10に、パケットC1,C2が入力された場合について説明する。
FIG. 8 is a diagram for specifically explaining a packet after format conversion by the
この場合、フォーマット変換装置10は、予め作成された判別木にしたがって、パケットC1が、Etherヘッダ以降に、カプセルヘッダ(IPv4)、カプセルヘッダ(UDP)、カプセルヘッダ(L2TP)、カプセルヘッダ(PPP)、インナーパケット(IPv4)Paがスタックされたプロトコルスタックパターンを有することを判別する。このため、フォーマット変換装置10は、パケットC1のフォーマットを、解析装置20の解析対象のインナーパケット(IPv4)Pa以外のプロトコルヘッダを除外したフォーマットに変換する。すなわち、フォーマット変換装置10は、パケットC1を、Etherヘッダの次にインナーパケット(IPv4)Paが配置するパケットC1´に変換する。この結果、解析装置20では、このパケットC1´についての解析が可能になる。
In this case, according to the discrimination tree created in advance, the
また、フォーマット変換装置10は、予め作成された判別木にしたがって、パケットC2が、Etherヘッダ以降に、カプセルヘッダ(MPLS)、カプセルヘッダ(IPv6)、インナーパケット(IPV4)Pbがスタックされたプロトコルスタックパターンを有することを判別する。このため、フォーマット変換装置10は、パケットC2のフォーマットを、解析装置20の解析対象のインナーパケット(IPV4)Pb以外のプロトコルヘッダを除外したフォーマットに変換する。すなわち、フォーマット変換装置10は、パケットC2を、Etherヘッダの次にインナーパケット(IPV4)Pbが配置するパケットC2´に変換する。この結果、解析装置20では、このパケットC2´についての解析が可能になる。
In addition, the
このように、本実施の形態1に係るフォーマット変換装置10によれば、フォーマットによらず、入力されたトンネルパケットを、解析装置20が解析可能であるフォーマットに変換することができる。
As described above, according to the
[実施の形態2]
次に、実施の形態2について説明する。図9は、実施の形態2に係るフォーマット変換装置の構成の一例を示す図である。図9に示すように、フォーマット変換装置210は、図2に示すフォーマット変換装置10と比して、プロトコルスタック判別部12に代えて、プロトコルスタック判別部212を有する。
Second Embodiment
Next, the second embodiment will be described. FIG. 9 is a diagram showing an example of the configuration of the format conversion device according to the second embodiment. As shown in FIG. 9, the
プロトコルスタック判別部212は、プロトコルスタックパターンが既知のパケットの内部の特定bit列を基に作成されたプロトコルスタックパターンを判別する判別論理式を用いて、入力されたパケットのプロトコルスタックパターンを判別する。そして、プロトコルスタック判別部212は、判別論理式を用いて、入力されたパケットから除外するプロトコルヘッダ箇所も判別する。判別論理式は、例えば、他の装置で予め作成され、このプロトコルスタック判別部212に事前設定される。なお、プロトコルスタック判別部212は、各種のプロトコルスタックパターンのパケットを判別できるように、複数の判別論理式が事前設定される。 The protocol stack determination unit 212 determines the protocol stack pattern of the input packet using a determination logical expression that determines the protocol stack pattern created based on the specific bit string inside the packet whose protocol stack pattern is known. . Then, the protocol stack determination unit 212 also determines the protocol header location to be excluded from the input packet using the determination logical expression. The determination logical expression is created in advance by another device, for example, and is preset in the protocol stack determination unit 212. A plurality of discrimination logical expressions are preset in the protocol stack discrimination unit 212 so that packets of various protocol stack patterns can be discriminated.
[フォーマット変換装置の処理の流れ]
次に、フォーマット変換装置210の処理の流れについて説明する。図10は、図9に示すフォーマット変換装置210の処理の流れを説明する図である。
[Flow of processing of format conversion device]
Next, the flow of processing of the
図10に示すように、プロトコルスタック判別部212には、事前に、予め作成された判別論理式230が設定される。そして、パケット入力部11がパケットの入力を受付けると、プロトコルスタック判別部212は、判別論理式230を用いて、到着したパケットのプロトコルスタックパターンを判別する(図10の(1)参照)。プロトコルスタック判別部212は、判別結果として、到着したパケット自身に加え、このパケットのヘッダストリップ箇所、変換後Ethertypeに指定するプロトコル番号を出力する。
As shown in FIG. 10, a discrimination logical expression 230 created in advance is set in the protocol stack discrimination unit 212 in advance. Then, when the
そして、パケットフォーマット変換部13は、プロトコルスタック判別部212の判別結果を基に、フォーマット変換を実行する(図10の(2)参照)。そして、パケットフォーマット変換部13によるフォーマット変換後のパケットは、パケット出力部14から、解析装置20(不図示)に出力される。
Then, the packet
[判別論理式の構成]
次に、図11を参照して、プロトコルスタック判別部212に設定される判別論理式の構成について説明する。図11は、判別論理式の構成を説明する図である。図11の(a)は、判別論理式の作成に使用するプロトコルスタックパターンが既知であるパケットの一例を示す図である。図11の(a)に示すパターンA〜Cは、図4の(a)に示すパターンA〜Cと同様である。図11の(b)は、真理値表を例示する図である。図11の(c)は、図11の(b)に示す真理値表を基に作成された判別論理式を示す図である。
[Configuration of discriminant formula]
Next, with reference to FIG. 11, the configuration of the determination logical expression set in the protocol stack determination unit 212 will be described. FIG. 11 is a diagram for explaining the configuration of the discriminant logical expression. (A) of FIG. 11 is a diagram illustrating an example of a packet in which a protocol stack pattern used to create a discriminant logical expression is known. The patterns A to C shown in (a) of FIG. 11 are the same as the patterns A to C shown in (a) of FIG. 4. (B) of FIG. 11 is a diagram illustrating a truth table. (C) of FIG. 11 is a diagram showing a discriminant logical expression created based on the truth table shown in (b) of FIG.
判別論理式を作成する場合、まず、各パターンの上位ヘッダを特定する情報の位置及び値を基に真理値表を作成する。パターンA〜Cについては、上位ヘッダを特定する情報のbyte位置及び値を参照する。具体的には、図11の(b)のグラフG1に示すように、パターンAについては、ヘッダH1,H2,H3の上位ヘッダを特定する各情報は[(a,1010),(b,1111),(d,0101)](なお、各情報の配置は[(byte位置,値)]である)である。この結果から、inputが(a,b,c,d,e,f)=(1010,1111,*,0101,*/{1111},*/{1011})である場合には、outputが、パターンAに対応する(x,y,z)=(0,0,0)となる組み合わせが、真理値表L1の1行目に設定される。 When creating a discriminant logical expression, first, a truth table is created based on the position and value of information specifying the upper header of each pattern. For the patterns A to C, reference is made to the byte position and value of the information specifying the upper header. Specifically, as shown by the graph G1 in (b) of FIG. 11, with regard to the pattern A, each piece of information for specifying the upper headers of the headers H1, H2 and H3 is [(a, 1010), (b, 1111 , (D, 0101)] (note that the arrangement of each information is [(byte position, value)]). From this result, when the input is (a, b, c, d, e, f) = (1010, 1111, *, 0101, * / {1111}, * / {1011}), the output is A combination of (x, y, z) = (0, 0, 0) corresponding to the pattern A is set in the first line of the truth table L1.
また、パターンBについては、ヘッダH1,H2,H3,H5,H6の上位ヘッダを特定する各情報が[(a,1010),(b,1111),(d,0101),(e,1111),(f,1011)]である。このため、inputが(a,b,c,d,e,f)=(1010,1111,*,0101,1111,1011})である場合には、outputが、パターンBに対応する(x,y,z)=(0,0,1)となる組み合わせが、真理値表L1の2行目に設定される。そして、パターンCについては、ヘッダH1,H2,H7の上位ヘッダを特定する各情報が[(a,1010),(b,1101),(c,1110)]である。このため、inputが(a,b,c,d,e,f)=(1010,1101,1110,*,*,*)である場合には、outputが、パターンCに対応する(x,y,z)=(0,1,1)となる組み合わせが、真理値表L1の3行目に設定される。 Also, for the pattern B, each piece of information specifying the high order header of the headers H1, H2, H3, H5 and H6 is [(a, 1010), (b, 1111), (d, 0101), (e, 1111) , (F, 1011)]. Therefore, when the input is (a, b, c, d, e, f) = (1010, 1111, *, 0101, 1111, 1011}), the output corresponds to the pattern B (x, A combination such that y, z) = (0, 0, 1) is set in the second line of the truth table L1. And about the pattern C, each information which specifies the high-order header of header H1, H2, H7 is [(a, 1010), (b, 1101), (c, 1110)]. Therefore, when the input is (a, b, c, d, e, f) = (1010, 1101, 1110, *, *, *), the output corresponds to the pattern C (x, y , z) = (0, 1, 1) is set in the third line of the truth table L1.
そして、この真理値表L1を基に、Quine-McCluskey法等を使用して、プロトコルスタックパターン判別用の判別論理式230−1(図11の(c)参照)が作成される。この判別論理式230−1は、output(0,0,0),(0,0,1),(0,1,1)のそれぞれに、対応するパターンの種別、ヘッダストリップ箇所、変換後Ethertypeに指定するプロトコル番号が対応付けられている。 Then, based on the truth table L1, the discrimination logical expression 230-1 (see (c) in FIG. 11) for protocol stack pattern discrimination is created using the Quine-McCluskey method or the like. The discriminant logical expression 230-1 is a type of pattern corresponding to each of output (0, 0, 0), (0, 0, 1), and (0, 1, 1), header strip location, Ethertype after conversion. The protocol numbers specified in are associated with each other.
[プロトコルスタック判別部の処理]
次に、プロトコルスタック判別部212の処理について説明する。図12は、図9に示すプロトコルスタック判別部212の処理を説明する図である。
[Process of Protocol Stack Discrimination Unit]
Next, processing of the protocol stack determination unit 212 will be described. FIG. 12 is a diagram for explaining the process of the protocol stack determination unit 212 shown in FIG.
図12に示すように、プロトコルスタック判別部212は、例えば判別論理式230−1を事前設定される(図12の(1)参照)。プロトコルスタック判別部212は、この判別論理式230−1を用いて、パケットのプロトコルスタックパターンを判別する(図12の(2)参照)。具体的には、プロトコルスタック判別部212は、判別論理式230−1に、判別のために必要なbit列をパケットから抽出する。すなわち、プロトコルスタック判別部212は、判別対象のパケットから、(a,b,c,d,e,f)に対応するbit列を抽出し、抽出した(a,b,c,d,e,f)を判別論理式230−1に入力する。そして、プロトコルスタック判別部212は、判別論理式230−1のoutputに対応するパケットのパターンの種別、ヘッダストリップ箇所、変換後Ethertypeに指定するプロトコル番号を、パケットとともに出力する。 As shown in FIG. 12, the protocol stack discrimination unit 212 pre-sets, for example, the discrimination logical expression 230-1 (see (1) in FIG. 12). The protocol stack determination unit 212 determines the protocol stack pattern of the packet using this determination logical expression 230-1 (see (2) in FIG. 12). Specifically, the protocol stack determination unit 212 extracts, from the packet, a bit string necessary for determination in the determination logical expression 230-1. That is, the protocol stack determination unit 212 extracts bit strings corresponding to (a, b, c, d, e, f) from the packets to be determined, and extracts (a, b, c, d, e, f) is input to the discriminant logical expression 230-1. Then, the protocol stack determination unit 212 outputs, together with the packet, the type of the packet pattern corresponding to “output” in the determination logical expression 230-1, the header strip location, and the protocol number designated as Ethertype after conversion.
例えば、パケットCaが入力された場合を例に説明する。プロトコルスタック判別部212は、パケットCaから、(a,b,c,d,e,f)に対応するbit列を抽出し、判別論理式230−1を入力する。この結果、判別論理式230−1のoutputとして(0,0,0)が得られた場合には、プロトコルスタック判別部212は、パケットCaとともに、このパケットCaのパターン「A」、ヘッダストリップ箇所「a1〜a2byte」、変換後Ethertypeに指定するプロトコル番号「m」を出力する。 For example, the case where the packet Ca is input will be described as an example. The protocol stack determination unit 212 extracts a bit string corresponding to (a, b, c, d, e, f) from the packet Ca, and inputs a determination logical expression 230-1. As a result, when (0, 0, 0) is obtained as output of the discriminant logical expression 230-1, the protocol stack discrimination unit 212 determines, together with the packet Ca, the pattern “A” of this packet Ca and the header strip location. “A 1 to a 2 byte”, and the protocol number “m” specified in Ethertype after conversion are output.
[フォーマット変換装置による処理の手順]
次に、フォーマット変換装置210による処理の手順について説明する。図13は、図9に示すフォーマット変換装置210によるフォーマット変換処理の手順を示すフローチャートである。
[Procedure of processing by the format converter]
Next, the procedure of processing by the
図13に示すように、パケット入力部11が、パケットの入力を受け付けると(ステップS21)、プロトコルスタック判別部212は、予め作成された判別論理式を用いて、入力されたパケットのプロトコルスタックパターンを判別するプロトコルスタック判別処理を行う(ステップS22)。図13に示すステップS23,S24は、図7に示すステップS13,S14と同様の処理を行う。
As shown in FIG. 13, when the
[実施の形態2の効果]
このように、実施の形態2では、予め作成された判別論理式を用いて、入力されたパケットのプロトコルスタックパターンを判別し、パケットのフォーマットを、解析装置20の解析対象以外のプロトコルヘッダを除外したフォーマットに変換するため、実施の形態1と同様の効果を奏する。
[Effect of Embodiment 2]
As described above, in the second embodiment, the protocol stack pattern of the input packet is determined using the discrimination logical expression created in advance, and the format of the packet is excluded from protocol headers other than the analysis target of the
[実施の形態3]
次に、実施の形態3について説明する。図14は、実施の形態3に係るフォーマット変換装置の構成の一例を示す図である。図14に示すように、フォーマット変換装置310は、図2に示すフォーマット変換装置10と比して、プロトコルスタック判別部12に代えて、プロトコルスタック判別部312を有する。
Third Embodiment
Next, the third embodiment will be described. FIG. 14 is a diagram showing an example of the configuration of a format conversion apparatus according to a third embodiment. As shown in FIG. 14, the format conversion device 310 has a protocol stack determination unit 312 in place of the protocol stack determination unit 12 in comparison with the
プロトコルスタック判別部312は、標準化された各プロトコルのヘッダ情報を示すプロトコルconfigファイルを用いて、入力されたパケットのプロトコルスタックパターンを判別する。そして、プロトコルスタック判別部312は、プロトコルconfigファイルを用いて、入力されたパケットから除外するプロトコルヘッダ箇所も判別する。 The protocol stack determination unit 312 determines a protocol stack pattern of the input packet by using a protocol config file indicating header information of each standardized protocol. Then, using the protocol config file, the protocol stack determination unit 312 also determines the protocol header location to be excluded from the input packet.
[プロトコルconfigファイルの一例]
プロトコルconfigファイルは、一般的に使用される各プロトコルヘッダ情報が記載されたファイルである。プロトコルconfigファイルは、例えば、プロトコルヘッダ情報として、標準化されたプロトコルのヘッダのヘッダ長、上位プロトコルのヘッダを示すフィールド位置等が記載される。
[Example of protocol config file]
The protocol config file is a file in which generally used protocol header information is described. The protocol config file describes, as protocol header information, for example, the header length of the standardized protocol header, the field position indicating the upper protocol header, and the like.
図15は、プロトコルconfigファイルの一例を示す図である。図15に示す表L31は、Etherヘッダのプロトコルconfigファイルである。表L31に示すように、要素名及び概要が項目として示されている。例えば、1行目には、要素名「eth_continue」の概要が「上位探索を続けるEtherytpeを指定(ネットワークバイトオーダー)」であることが登録される。2行目には、要素名「eth_destruct」の概要が「破棄するEthertypeを指定(ネットワークバイトオーダー)」であることが登録される。 FIG. 15 is a diagram showing an example of the protocol config file. Table L31 shown in FIG. 15 is a protocol config file of the Ether header. As shown in Table L31, element names and summary are shown as items. For example, in the first line, it is registered that the summary of the element name “eth_continue” is “designate Etherytpe continuing high-order search (network byte order)”. In the second line, it is registered that the summary of the element name "eth_destruct" is "designate Ethertype to be destroyed (network byte order)".
図16は、プロトコルconfigファイルの一例を示す図である。図16に示す表L32は、プロトコルヘッダのプロトコルconfigファイルである。表L32に示すように、要素名及び概要が項目として示されている。例えば、1行目には、要素名「1_proto_index」の概要が「設定するプロトコル情報群を表すid」であることが登録される。2行目には、要素名「2_proto_num」の概要が「プロトコルの通番」であることが登録される。また、3行目には要素名「3_proto_next」の概要が「上位プロトコルを示すフィールドの位置情報」であることが登録される。4行目には、要素名「4_proto_next_len」の概要が「上位プロトコルを示すフィールドの長さ」であることが登録される。 FIG. 16 is a diagram showing an example of the protocol config file. A table L32 shown in FIG. 16 is a protocol config file of the protocol header. As shown in Table L32, element names and outlines are shown as items. For example, in the first line, it is registered that the summary of the element name “1_proto_index” is “id representing a set of protocol information”. In the second line, it is registered that the summary of the element name "2_proto_num" is "serial number of protocol". In the third line, it is registered that the outline of the element name "3_proto_next" is "position information of a field indicating a higher order protocol". In the fourth line, it is registered that the summary of the element name "4_proto_next_len" is "length of field indicating upper protocol".
このように、プロトコルconfigファイルは、標準化された各プロトコルのヘッダ情報として、プロトコル名、プロトコルのヘッダのヘッダ長、ヘッダ長が固定または可変であるか、上位プロトコルを示すフィールド位置、上位ヘッダがストリップ対象か否か、変換後Ethertypeに指定するプロトコル番号等の各項目が記載される。 As described above, the protocol config file includes, as header information of each standardized protocol, the protocol name, the header length of the protocol header, whether the header length is fixed or variable, the field position indicating the upper protocol, and the upper header Each item such as whether it is a target or not and the protocol number designated to Ethertype after conversion is described.
[フォーマット変換装置の処理の流れ]
次に、フォーマット変換装置310の処理の流れについて説明する。図17は、図14に示すフォーマット変換装置310の処理の流れを説明する図である。
[Flow of processing of format conversion device]
Next, the flow of processing of the format conversion device 310 will be described. FIG. 17 is a view for explaining the flow of processing of the format conversion device 310 shown in FIG.
図17に示すように、プロトコルスタック判別部312には、事前に、予め作成されたプロトコルconfigファイル330が設定される。そして、パケット入力部11がパケットの入力を受付けると、プロトコルスタック判別部312は、プロトコルconfigファイル330を用いて、到着したパケットのプロトコルスタックパターンを判別する(図17の(1)参照)。プロトコルスタック判別部312は、判別結果として、到着したパケット自身に加え、このパケットのプロトコルスタックパターン、ヘッダストリップ箇所、変換後Ethertypeに指定するプロトコル番号を出力する。
As shown in FIG. 17, a
そして、パケットフォーマット変換部13は、プロトコルスタック判別部312の判別結果を基に、フォーマット変換を実行する(図17の(2)参照)。そして、パケットフォーマット変換部13によるフォーマット変換後のパケットは、パケット出力部14から、解析装置20(不図示)に出力される。
Then, the packet
[プロトコルスタック判別部の処理]
次に、プロトコルスタック判別部312の処理について説明する。図18は、図14に示すプロトコルスタック判別部312の処理を説明する図である。
[Process of Protocol Stack Discrimination Unit]
Next, the process of the protocol stack determination unit 312 will be described. FIG. 18 is a diagram for explaining the process of the protocol stack determination unit 312 shown in FIG.
図18に示すように、プロトコルスタック判別部312は、プロトコルconfigファイル330を事前設定される(図18の(1)参照)。プロトコルスタック判別部312は、このプロトコルconfigファイル330を参照し、判別対象のパケットの下位からヘッダを順次特定して、このパケットのプロトコルスタックパターン、ストリップ領域、変換後Ethertypeに指定するプロトコル番号を特定する(図18の(2)参照)。具体的には、プロトコルスタック判別部312は、プロトコルconfigファイル330を参照し、下位のヘッダから順に、各ヘッダの各要素の概要を判別することで、パケットのプロトコルスタックパターンを判別する。そして、プロトコルスタック判別部312は、プロトコルconfigファイル330を参照し、各ヘッダのうちストリップ対象のヘッダを特定する。これによって、プロトコルスタック判別部312は、ヘッダストリップ箇所、変換後Ethertypeに指定するプロトコル番号を特定する。
As shown in FIG. 18, the protocol stack determination unit 312 presets the protocol config file 330 (see (1) in FIG. 18). The protocol stack determination unit 312 refers to the
例えば、プロトコルスタック判別部312は、パケットCaが入力された場合、プロトコルconfigファイル330を参照して、パケットCaが、ヘッダが、下位から、H1,H2,H3,H4であることを特定する。そして、プロトコルスタック判別部312は、プロトコルconfigファイル330を参照して、パケットCaにおけるストリップ対象のヘッダH2,H3を特定する。そして、プロトコルスタック判別部312は、プロトコルconfigファイル330を参照して、パケットCaの、ヘッダストリップ箇所「a1〜a2byte」、変換後Ethertypeに指定するプロトコル番号「m」を判別後、出力する。
For example, when the packet Ca is input, the protocol stack determination unit 312 refers to the
[フォーマット変換装置による処理の手順]
次にフォーマット変換装置310による処理の手順について説明する。図19は、図14に示すフォーマット変換装置310によるフォーマット変換処理の手順を示すフローチャートである。
[Procedure of processing by the format converter]
Next, the procedure of processing by the format conversion device 310 will be described. FIG. 19 is a flow chart showing the procedure of format conversion processing by the format conversion device 310 shown in FIG.
図19に示すように、パケット入力部11が、パケットの入力を受け付けると(ステップS31)、プロトコルスタック判別部312は、プロトコルconfigファイル330を参照して、入力されたパケットのプロトコルスタックパターンを判別するプロトコルスタック判別処理を行う(ステップS32)。図19に示すステップS33,S34は、図7に示すステップS13,S14と同様の処理を行う。
As shown in FIG. 19, when the
[実施の形態3の効果]
このように、実施の形態3では、予め作成されたプロトコルconfigファイル330を用いて、入力されたパケットのプロトコルスタックパターンを判別し、パケットのフォーマットを、解析装置20の解析対象以外のプロトコルヘッダを除外したフォーマットに変換するため、実施の形態1と同様の効果を奏する。
[Effect of Third Embodiment]
As described above, in the third embodiment, the protocol stack pattern of the input packet is determined using the protocol config file 330 created in advance, and the format of the packet is determined by using a protocol header other than the analysis target of the
[実施の形態4]
次に、実施の形態4について説明する。実施の形態1〜3に係るフォーマット変換装置10,210,310は、他の装置等において予め作成された判別ルールを用いるのに対し、実施の形態4に係るフォーマット変換装置は、自装置において判別ルールを作成する。
Fourth Embodiment
Next, the fourth embodiment will be described. While the
具体的には、実施の形態4に係るフォーマット変換装置は、一定期間、入力されたパケットに対しプロトコルconfigファイルを用いて学習することによって、判別ルールを作成する。そして、実施の形態4に係るフォーマット変換装置は、学習処理において作成された判別ルールにしたがって、プロトコルスタックパターンを判別してパケットのフォーマットを変換する。 Specifically, the format conversion apparatus according to the fourth embodiment creates a determination rule by learning an input packet for a fixed period using a protocol config file. Then, the format conversion apparatus according to the fourth embodiment determines the protocol stack pattern and converts the packet format in accordance with the determination rule created in the learning process.
[フォーマット変換装置の構成]
まず、実施の形態4に係るフォーマット変換装置の構成について説明する。図20は、実施の形態4に係るフォーマット変換装置の構成の一例を示す図である。図20に示すように、フォーマット変換装置410は、パケット入力部11、ミラー部412、パケットキャプチャ部413、学習部414、フォーマット変換部415及びパケット出力部14を有する。
[Configuration of format converter]
First, the configuration of the format conversion apparatus according to the fourth embodiment will be described. FIG. 20 is a diagram showing an example of the configuration of a format conversion apparatus according to the fourth embodiment. As shown in FIG. 20, the format conversion apparatus 410 includes a
ミラー部412は、パケット入力部11が受け付けたパケットを、パケットキャプチャ部413、または、パケットキャプチャ部413及びフォーマット変換部415、に出力する。ミラー部412は、学習部414による学習処理時には、パケットをパケットキャプチャ部413に出力する。一方、ミラー部412は、フォーマット変換部415によるフォーマット変換処理時には、パケットをパケットキャプチャ部413及びフォーマット変換部415の双方に出力する。
The
パケットキャプチャ部413は、入力されたパケットをバッファリングし、バッファリングしたパケットを、所定タイミングにしたがって、順次、学習部414に出力する。
The
学習部414は、入力されたパケットに対しプロトコルconfigファイルを用いて学習することによって判別ルールを作成し、作成した判定ルールをフォーマット変換部415に出力する。学習部414は、判別ルールとして、パケット内の特定bit列を基にプロトコルスタックパターンを判別する判別木を作成する。学習部414は、プロトコルスタック解析部4141、パターン分布格納部4142、判別木作成部4143及びパターン分布DB4144を有する。なお、学習部414は、各種のプロトコルスタックパターンのパケットを判別できるように、複数の判別木を作成する。
The
プロトコルスタック解析部4141は、プロトコルconfigファイルを用いて、入力された各パケットを下位ヘッダから順次解析して、それぞれのプロトコルスタックパターンを特定する。
The protocol
パターン分布格納部4142は、入力されたパケットのプロトコルスタックパターンの分布を作成し、判別木作成部4143に出力するとともに、パターン分布DB4144に格納する。
The pattern
判別木作成部4143は、入力されたパケットのプロトコルスタックパターン及びプロトコルスタックパターンの分布を基に、プロトコルスタックパターンを判別する判別木を作成する。判別木作成部4143は、パケット内の特定bit列を基にプロトコルスタックパターンを判別する判別木を作成する。
The discrimination
パターン分布DB4144は、学習部414が学習したパケットのプロトコルスタックパターン及びプロトコルスタックパターンの分布を記憶する。パターン分布DB4144が記憶するプロトコルスタックパターン及びプロトコルスタックパターンの分布は、パターン分布格納部4142によって更新される。
The
フォーマット変換部415は、学習部414が作成した判別木を用いて、パケットのプロトコルパターンを判別し、フォーマット変換を行う。フォーマット変換部415は、プロトコルスタック判別部4151及びパケットフォーマット変換部13を有する。
The
プロトコルスタック判別部4151は、学習部414が作成した判別木を用いて、入力されたパケットのプロトコルスタックパターンを判別する。そして、プロトコルスタック判別部4151は、この判別木を用いて、入力されたパケットから除外するプロトコルヘッダ箇所も判別する。
The protocol
[学習部の処理の流れ]
次に、学習部414の処理の流れについて説明する。図21は、図20に示す学習部414の処理の流れ(学習時)を説明する図である。学習部414では、まず、プロトコルスタック解析部4141に、標準化された各プロトコルのヘッダ情報を示すプロトコルconfigファイルが事前に設定される。このプロトコルconfigファイルは、図15,16に例示したデータ構成を有し、事前に作成されたものである。
[Flow of processing of learning unit]
Next, the flow of processing of the
そして、図21に示すように、学習部414のプロトコルスタック解析部4141には、パケットキャプチャ部413によってキャプチャされたキャプチャパケットが入力される。プロトコルスタック解析部4141は、プロトコルconfigファイルを参照し、キャプチャパケットの下位ヘッダから順次解析し、入力された各パケットのプロトコルスタックパターンを特定する(図21の(1)参照)。ここで、プロトコルスタック解析部4141は、各パケットのプロトコルスタックパターンに加え、プロトコルスタックパターンの分布を出力する。パターン分布格納部4142は、入力されたパケットのプロトコルスタックパターンの分布を作成し、パターン分布DB4144に格納することでDB化を行う(図21の(2)参照)。
Then, as shown in FIG. 21, the protocol
続いて、判別木作成部4143は、入力されたパケットのプロトコルスタックパターン及び分布情報から、入力されたパケットを判別するために最適な判別木を作成する(図21の(3)参照)。そして、判別木作成部4143は、作成した判別木をプロトコルスタック判別部4151に出力する。この学習部414における学習処理は、フォーマット変換部415におけるフォーマット変換処理前に一定期間実行された後は、例えば、定期的に実行される。なお、学習処理では、ミラー部412からフォーマット変換部451にパケットが入力されないため、フォーマット変換部451によるフォーマット変換処理は実行されない。
Subsequently, the discrimination
[フォーマット変換部の処理の流れ]
次に、フォーマット変換部415の処理の流れについて説明する。図22は、図20に示すフォーマット変換部415の処理の流れ(変換時)を説明する図である。
[Flow of processing of format conversion unit]
Next, the flow of processing of the
プロトコルスタック判別部4151には、学習部414が作成した判別木が設定される。そして、図22に示すように、ミラー部412からパケットが入力されると、プロトコルスタック判別部4151は、入力されたパケットのプロトコルスタックパターンを、学習部414が作成した判別木を用いて判別する(図22の(1)参照)。この際、プロトコルスタック判別部4151は、判別結果として、到着したパケット自身に加え、このパケットのプロトコルスタックパターン、ヘッダストリップ箇所、変換後Ethertypeに指定するプロトコル番号を出力する。
In the protocol
そして、パケットフォーマット変換部13は、プロトコルスタック判別部4151の判別結果を基に、フォーマット変換を実行する(図22の(2)参照)。そして、パケットフォーマット変換部13によるフォーマット変換後のパケットは、パケット出力部14から、解析装置20(不図示)に出力される。なお、フォーマット変換処理中も、学習部414は、キャプチャパケットを受け取り、プロトコルスタック解析及びパターン分布の格納を行い、データを蓄積している。
Then, the packet
[プロトコルスタック解析部の処理]
次に、プロトコルスタック解析部4141の処理について説明する。図23は、図20に示すプロトコルスタック解析部4141の処理を説明する図である。
[Process of Protocol Stack Analyzer]
Next, processing of the protocol
まず、図23に示すように、プロトコルスタック解析部4141には、事前に、予め作成されたプロトコルconfigファイル330が設定される(図23の(1)参照)。プロトコルconfigファイル330は、標準化された各プロトコルのヘッダ情報として、プロトコル名、プロトコルのヘッダのヘッダ長、ヘッダ長が固定または可変であるか、上位プロトコルを示すフィールド位置、上位ヘッダがストリップ対象か否か、変換後Ethertypeに指定するプロトコル番号等が記載される。
First, as shown in FIG. 23, a
そして、プロトコルスタック解析部4141は、入力されたキャプチャパケットの下位ヘッダから捜査を開始し、プロトコルconfigファイル330を用いてプロトコルスタックパターンを特定する。プロトコルスタック解析部4141は、プロトコルスタックパターン情報、パケットのヘッダストリップ箇所、変換後Ethertypeに指定するプロトコル番号、及び、各パターンの出現頻度を解析して、送出する(図23の(2)参照)。
Then, the protocol
具体的には、枠W41のパターン図G41に示すように、例えば、4つのパケットがキャプチャパケットとして入力された場合について説明する。この場合、プロトコルスタック解析部4141は、プロトコルconfigファイル330を用いて、入力された各キャプチャパケットの下位ヘッダから捜査を開始する。
Specifically, as shown in a pattern diagram G41 of the frame W41, for example, a case where four packets are input as a capture packet will be described. In this case, the protocol
この結果、プロトコルスタック解析部4141は、1段目のパケットのプロトコルスタックパターンが「A」であることを判別する。そして、プロトコルスタック解析部4141は、1段目のパケットのヘッダストリップ箇所「a1〜a2byte」、変換後Ethertypeに指定するプロトコル番号「m」を判別する。そして、プロトコルスタック解析部4141は、2段目のパケットのプロトコルスタックパターンが「B」であり、パケットのヘッダストリップ箇所「b1〜b2byte」、変換後Ethertypeに指定するプロトコル番号「l」を判別する。
As a result, the protocol
そして、プロトコルスタック解析部4141は、3段目のパケットのプロトコルスタックパターンが「A」であり、パケットのヘッダストリップ箇所「a1〜a2byte」、変換後Ethertypeに指定するプロトコル番号「m」を判別する。そして、プロトコルスタック解析部4141は、4段目のパケットのプロトコルスタックパターンが「C」であり、パケットのヘッダストリップ箇所「c1〜c2byte」、変換後Ethertypeに指定するプロトコル番号「n」を判別する。
Then, the protocol
この解析によって、プロトコルスタック解析部4141は、各プロトコルスタックパターンの出現頻度を求めることができる。例えば、図23に示す例では、キャプチャパケットのうち、パターンAが2回、パターンBが1回、パターンCが1回出現している。プロトコルスタック解析部4141は、この出現頻度を基に求めた各パターンの分布情報を、プロトコルスタックパターンとともに出力する。
By this analysis, the protocol
さらに、プロトコルスタック解析部4141は、各パケットにおけるパターンA〜Cについて、上位ヘッダを特定する情報のbyte位置及び値を取得する。具体的には、プロトコルスタック解析部4141は、枠W41のグラフG1に示すように、パターンAについては、上位ヘッダを特定する各情報として[(a,1010),(b,1111),(d,0101)]を取得する。同様に、プロトコルスタック解析部4141は、パターンBについては、上位ヘッダを特定する各情報として、[(a,1010),(b,1111),(d,0101),(e,1111),(f,1011)]を取得する。また、プロトコルスタック解析部4141は、パターンCについては、上位ヘッダを特定する各情報として[(a,1010),(b,1101), (c,1110)]を取得する。プロトコルスタック解析部4141は、取得した上位ヘッダを特定する情報のbyte位置及び値も、各プロトコルスタックパターンに対応付けて出力する。
Furthermore, the protocol
[パターン分布格納部の処理]
次に、パターン分布格納部4142の処理について説明する。図24は、図20に示すパターン分布格納部4142の処理を説明する図である。
[Process of pattern distribution storage unit]
Next, the process of the pattern
図24に示すように、パターン分布格納部4142は、プロトコルスタック解析部4141から出力されたプロトコルスタックパターンの分布情報を基に、パターン分布DB4144のプロトコルスタックパターンの分布情報を更新する(図24の(1)参照)。例えば、枠W42のグラフG43に示すように、プロトコルスタック解析部4141による解析結果では、パターンAが2回、パターンBが1回、パターンCが1回出現していた。このため、パターン分布格納部4142は、各パターンの出現回数をパターンごとに対応付けたグラフG43の内容を基に、パターン分布DB4144のプロトコルスタックパターンの分布情報を更新する。
As shown in FIG. 24, the pattern
そして、パターン分布格納部4142は、プロトコルスタックパターンの各プロトコルスタックパターン情報、パケットのヘッダストリップ箇所、変換後Ethertypeに指定するプロトコル番号と、プロトコルスタックパターンの分布情報を出力する(図24の(2)参照)。例えば、パターン分布格納部4142は、図24のグラフG44のような情報を出力する。
Then, the pattern
[判別木作成部の処理]
次に、図25を参照して、判別木作成部4143の処理について説明する。図25は、図20に示す判別木作成部4143の処理を説明する図である。
[Process of discrimination tree creation unit]
Next, the processing of the discrimination
図25に示すように、判別木作成部4143は、例えば、ハフマン符号化アルゴリズムを応用し、判別回数の平均が最小になるような判別木の構成を実施する(図25の(1)参照)。ここでは、入力されたプロトコルスタックパターン情報とプロトコルスタックパターンの分布情報とが、枠W43に示すように、パターンAが2回、パターンBが1回、パターンCが1回である場合について説明する。この場合、パケット数「4」のノードN41から、パターンAが2個のノードN42へのエッジE41、または、パケット数「2」のノードN43へのエッジE42に枝分かれし、ノードN43から、パターンBが1個のノードN44へのエッジE43、または、パターンCが1個のノードN45へのエッジE44に枝分かれする判別木構成T41が、判別回数の平均が最小となる。
As shown in FIG. 25, the discrimination
そこで、判別木作成部4143は、判別対象のパケットについて、上位のノードN41´を「is パターンA?[(a,1010),(b,1111),(d,0101)]」とする。そして、判別木作成部4143は、ノードN41´に対してyesである場合(エッジE41´)である場合には、ノードN42´に、判別対象のパケットがパターンAであって、ヘッダストリップ箇所はa1〜a2byteであり、変換後Ethertypeに指定するプロトコル番号はmである旨を設定する。
Therefore, the discrimination
一方、判別木作成部4143は、ノードN41´に対してNoである場合(エッジE42´)である場合には、ノード43´に「is パターンB?[(a,1010),(b,1111),(d,0101),(e,1111),(f,1011)]」を設定する。
On the other hand, if the judgment
そして、判別木作成部4143は、ノードN43´に対してyesである場合(エッジE43´)である場合には、ノードN44´に、判別対象のパケットがパターンBであって、ヘッダストリップ箇所はb1〜b2byteであり、変換後Ethertypeに指定するプロトコル番号はlである旨を設定する。また、判別木作成部4143は、ノードN43´に対してNoである場合(エッジE44´)である場合には、ノードN45´に、判別対象のパケットがパターンCであって、ヘッダストリップ箇所はc1〜c2byteであり、変換後Ethertypeに指定するプロトコル番号はnである旨を設定する(図25の(2)参照)。
Then, in the case of “yes” for the node N43 ′ (edge E43 ′), the discrimination
このように、判別木作成部4143は、パターンA〜Cを判別するための判別木T42を作成することができる。判別木作成部4143は、作成した判別木をフォーマット変換部415に出力する。
Thus, the discrimination
[プロトコルスタック判別部の処理]
次に、図26を参照して、プロトコルスタック判別部4151の処理について説明する。図26は、図20に示すプロトコルスタック判別部4151の処理を説明する図である。
[Process of Protocol Stack Discrimination Unit]
Next, processing of the protocol
図26に示すように、プロトコルスタック判別部4151は、例えば、判別木作成部4143から出力された判別木T42を、事前設定される(図26の(1)参照)。プロトコルスタック判別部4151は、この判別木T42を用いて、パケットのプロトコルスタックパターンを判別する(図26の(2)参照)。具体的には、プロトコルスタック判別部4151は、判別木T42を基に、入力されたパケットの各パターンの上位ヘッダを特定する情報の位置及び値を基に、パケットがA〜Cのいずれのパターンであるかを判別する。
As shown in FIG. 26, the protocol
例えば、プロトコルスタック判別部4151は、パケットCaが入力された場合、このパケットの上位ヘッダを特定する情報の位置及び値を抽出する。判別木T42に、抽出した上位ヘッダを特定する情報の位置及び値を適用して、このパケットが、パターンAであることを判別する。これにともない、プロトコルスタック判別部4151は、パケットCaとともに、このパケットCaのパターン「A」、ヘッダストリップ箇所「a1〜a2byte」、変換後Ethertypeに指定するプロトコル番号「m」を出力する。
For example, when the packet Ca is input, the protocol
[学習処理の手順]
次に、フォーマット変換装置410による学習処理の処理手順について説明する。図27は、図20に示すフォーマット変換装置410による学習処理の手順を示すフローチャートである。
[Procedure of learning process]
Next, a processing procedure of learning processing by the format conversion device 410 will be described. FIG. 27 is a flowchart showing the procedure of learning processing by the format conversion device 410 shown in FIG.
図27に示すように、まず、学習部414では、キャプチャパケットが入力されると、プロトコルスタック解析部4141が、プロトコルconfigファイルを用いて、入力された各パケットを下位ヘッダから順次解析して、それぞれのプロトコルスタックパターン及び分布を特定するプロトコルスタック解析処理を行う(ステップS41)。そして、パターン分布格納部4142は、入力されたパケットのプロトコルスタックパターンの分布を作成し、判別木作成部4143に出力するとともに、パターン分布DB4144に格納するパターン分布格納処理を行う(ステップS42)。
As shown in FIG. 27, first, in the
続いて、判別木作成部4143は、入力されたパケットのプロトコルスタックパターン及びプロトコルスタックパターンの分布を基に、プロトコルスタックパターンを判別する判別木を作成する判別木作成処理を行う(ステップS43)。判別木作成部4143は、作成した判別木をプロトコルスタック判別部4151に出力する(ステップS44)。
Subsequently, the discrimination
[フォーマット変換処理の処理手順]
次に、フォーマット変換装置410によるフォーマット変換処理の手順について説明する。図28は、図20に示すフォーマット変換装置410によるフォーマット変換処理の手順を示すフローチャートである。
[Process procedure of format conversion process]
Next, the procedure of format conversion processing by the format converter 410 will be described. FIG. 28 is a flow chart showing the procedure of format conversion processing by the format conversion device 410 shown in FIG.
図28に示すように、パケット入力部11が、パケットの入力を受け付けると(ステップS45)、プロトコルスタック判別部4151は、ミラー部412からミラーリングされたパケットに対し、判別木作成部4143が作成した判別木を基に、プロトコルスタックパターンを判別するプロトコルスタック判別処理を行う(ステップS46)。図28に示すステップS47,S48は、図7に示すステップS13,S14と同様の処理を行う。
As shown in FIG. 28, when the
[実施の形態4の効果]
このように、実施の形態4に係るフォーマット変換装置は、自装置においてパケットを学習することによって判別ルールを作成し、パケットのプロトコルスタックパターンを判別する。このため、実施の形態4によれば、実施の形態1と同様の効果を奏するとともに、判別ルールの作成、パケットのプロトコルスタックパターン及びパケットのフォーマット変換処理の一連の処理を自装置で完結することができるという効果を奏する。
[Effect of Fourth Embodiment]
Thus, the format conversion apparatus according to the fourth embodiment creates a determination rule by learning a packet in its own apparatus, and determines the protocol stack pattern of the packet. Therefore, according to the fourth embodiment, the same effects as those of the first embodiment can be achieved, and the self device completes a series of processes of creation of determination rule, protocol stack pattern of packet, and format conversion process of packet. The effect of being able to
[実施の形態5]
次に、実施の形態5について説明する。実施の形態5では、判別ルールとして判別論理式を作成する。
Fifth Embodiment
Next, the fifth embodiment will be described. In the fifth embodiment, a discriminant logical expression is created as a discrimination rule.
図29は、実施の形態5に係るフォーマット変換装置の構成の一例を示す図である。図29に示すように、実施の形態5に係るフォーマット変換装置510は、図20に示すフォーマット変換装置410と比して、学習部414に代えて学習部514を有し、フォーマット変換部415に代えてフォーマット変換部515を有する。
FIG. 29 is a diagram showing an example of the configuration of a format conversion apparatus according to the fifth embodiment. As shown in FIG. 29, the
学習部514は、入力されたパケットに対しプロトコルconfigファイルを用いて学習することによって、判別ルールを作成し、作成した判定ルールをフォーマット変換部515に出力する。学習部514は、判別ルールとして、パケット内の特定bit列を基にプロトコルスタックパターンを判別する判別論理式を作成する。学習部514は、プロトコルスタック解析部5141、パターン格納部5142、判別論理式作成部5143及びパターンDB5144を有する。なお、学習部514は、各種のプロトコルスタックパターンのパケットを判別できるように、複数の判別論理式を作成する。
The
プロトコルスタック解析部5141は、プロトコルconfigファイルを用いて、入力された各パケットを下位ヘッダから順次解析して、それぞれのプロトコルスタックパターンを特定する。
The protocol
パターン格納部5142は、入力されたパケットのプロトコルスタックパターンを、判別論理式作成部5143に出力するとともに、パターンDB5144に格納する。
The
判別論理式作成部5143は、入力されたパケットのプロトコルスタックパターンを基に、プロトコルスタックパターンを判別する判別論理式を作成する。判別論理式作成部5143は、パケット内の特定bit列を基にプロトコルスタックパターンを判別する判別論理式を作成する。
The determination logical
パターンDB5144は、学習部514が学習したパケットのプロトコルスタックパターンを記憶する。パターンDB5144が記憶するプロトコルスタックパターンは、パターン格納部5142によって更新される。
The
フォーマット変換部515は、学習部514が作成した判別論理式を用いて、パケットのプロトコルパターンを判別し、フォーマット変換を行う。フォーマット変換部515は、プロトコルスタック判別部5151及びパケットフォーマット変換部13を有する。
The
プロトコルスタック判別部5151は、学習部514が作成した判別論理式を用いて、入力されたパケットのプロトコルスタックパターンを判別する。そして、プロトコルスタック判別部5151は、この判別論理式を用いて、入力されたパケットから除外するプロトコルヘッダ箇所も判別する。
The protocol
[学習部の処理の流れ]
次に、学習部514の処理の流れについて説明する。図30は、図29に示す学習部514の処理の流れを説明する図である。学習部514では、まず、プロトコルスタック解析部5141に、標準化された各プロトコルのヘッダ情報を示すプロトコルconfigファイルが事前に設定される。このプロトコルconfigファイルは、図15,16に例示したデータ構成を有し、事前に作成されたものである。
[Flow of processing of learning unit]
Next, the flow of processing of the
そして、図30に示すように、学習部514では、プロトコルスタック解析部5141が、プロトコルconfigファイルを参照し、キャプチャパケットの下位ヘッダから順次解析し、入力された各パケットのプロトコルスタックパターンを特定する(図30の(1)参照)。そして、プロトコルスタック解析部5141は、各パケットのプロトコルスタックパターンを出力する。パターン格納部5142は、入力されたパケットのプロトコルスタックパターンを、パターンDB5144に格納することでDB化を行う(図30の(2)参照)。
Then, as shown in FIG. 30, in the
続いて、判別論理式作成部5143は、入力されたパケットのプロトコルスタックパターンから、入力されたパケットを判別するために最適な判別論理式を作成する(図30の(3)参照)。そして、判別論理式作成部5143は、作成した判別論理式をプロトコルスタック判別部5151に出力する。この学習部514における学習処理は、フォーマット変換部515におけるフォーマット変換処理前に一定期間実行された後は、例えば、定期的に実行される。なお、学習処理では、ミラー部412からフォーマット変換部551にパケットが入力されないため、フォーマット変換部551によるフォーマット変換処理は実行されない。
Subsequently, the discriminant logical
[フォーマット変換部の処理の流れ]
次に、フォーマット変換部515の処理の流れについて説明する。図31は、図29に示すフォーマット変換部515の処理の流れを説明する図である。
[Flow of processing of format conversion unit]
Next, the flow of processing of the
プロトコルスタック判別部5151には、学習部514が作成した判別論理式が事前に設定される。そして、図31に示すように、ミラー部412からパケットが入力されると、プロトコルスタック判別部5151は、入力されたパケットのプロトコルスタックパターンを、学習部514が作成した判別論理式を用いて判別する(図31の(1)参照)。この際、プロトコルスタック判別部5151は、判別結果として、到着したパケット自身に加え、このパケットのプロトコルスタックパターン、パケットのヘッダストリップ箇所、変換後Ethertypeに指定するプロトコル番号を出力する。
The determination logical expression created by the
そして、パケットフォーマット変換部13は、プロトコルスタック判別部5151の判別結果を基に、フォーマット変換を実行する(図31の(2)参照)。そして、パケットフォーマット変換部13によるフォーマット変換後のパケットは、パケット出力部14から、解析装置20(不図示)に出力される。なお、フォーマット変換処理中も、学習部514は、キャプチャパケットを受け取り、プロトコルスタック解析及びプロトコルスタックパターンの格納を行い、データを蓄積している。
Then, the packet
[プロトコルスタック解析部の処理]
図32を参照し、プロトコルスタック解析部5141の処理について説明する。図32は、図29に示すプロトコルスタック解析部5141の処理を説明する図である。
[Process of Protocol Stack Analyzer]
The process of the protocol
まず、図32に示すように、プロトコルスタック解析部5141には、事前に、予め作成されたプロトコルconfigファイル330が設定される(図32の(1)参照)。そして、プロトコルスタック解析部5141は、入力されたキャプチャパケットの下位ヘッダから捜査を開始し、プロトコルconfigファイル330を用いてプロトコルスタックパターンを特定する。プロトコルスタック解析部5141は、プロトコルスタックパターン情報、パケットのヘッダストリップ箇所、変換後Ethertypeに指定するプロトコル番号を解析して、送出する(図32の(2)参照)。
First, as shown in FIG. 32, a
例えば、枠W51のパターン図G41に示す4つのパケットがキャプチャパケットとして入力された場合について説明する。この場合、プロトコルスタック解析部5141は、プロトコルスタック解析部4141と同様に、プロトコルconfigファイル330を用いて、入力された各キャプチャパケットの下位ヘッダから捜査を開始する。そして、プロトコルスタック解析部5141は、これらのパケットが、パターン「A」、パターン「B」、パターン「A」、パターン「C」であることを判別する。
For example, the case where four packets shown in the pattern diagram G41 of the frame W51 are input as capture packets will be described. In this case, the protocol
続いて、プロトコルスタック解析部5141は、プロトコルスタック解析部4141と同様に、各パケットにおけるパターンA〜Cについて、上位ヘッダを特定する情報のbyte位置及び値を取得する。例えば、プロトコルスタック解析部5141は、グラフG42に示すように、例えばパターンAについては、上位ヘッダを特定する各情報として[(a,1010),(b,1111),(d,0101)])を取得し、各プロトコルスタックパターンに対応付けて出力する。
Subsequently, the protocol
[パターン分布格納部の処理]
次に、パターン格納部5142の処理について説明する。図33は、図29に示すパターン格納部5142の処理を説明する図である。
[Process of pattern distribution storage unit]
Next, the process of the
図33に示すように、パターン格納部5142は、プロトコルスタック解析部5141から出力されたプロトコルスタックパターン情報を基に、パターンDB5144を更新する(図33の(1)参照)。例えば、枠W52のパターン一覧L51は、パターンDB5144が記憶する情報の一例である。パターン格納部5142は、パターン一覧L51のうち、プロトコルスタックパターン情報が入力されたパターンAについては、パターンAの上位ヘッダを特定する[(byte位置,値)]を[(a,1010),(b,1111),(d,0101)]に、ヘッダストリップ箇所を「a1〜a2byte」に、変換後Ethertypeに指定するプロトコル番号を「m」に更新する。
As shown in FIG. 33, the
このように、パターン格納部5142は、パケットごとに、パターンの識別情報、上位ヘッダを特定するbyte位置及び値、ヘッダストリップ箇所、及び、変換後Ethertypeに指定するプロトコル番号を対応付けて、パターンDB5144に格納する。また、パターン格納部5142は、パケットのプロトコルスタックパターン情報を判別論理式作成部5143に出力する。パターン格納部5142は、各パケットとともに、プロトコルスタックパターン、上位ヘッダを特定する情報の位置及び値、ヘッダストリップ箇所、変換後Ethertypeに指定するプロトコル番号を出力する。
As described above, the
[判別論理式作成部の処理]
次に、判別論理式作成部5143の処理について説明する。図34は、図29に示す判別論理式作成部5143の処理を説明する図である。
[Process of the discriminant logical expression creation unit]
Next, the process of the discriminant logical
図34に示すように、判別論理式作成部5143は、パターン格納部1542によって出力された各パターンの上位ヘッダを特定する情報の位置及び値を基に、真理値表L1(枠W53参照)を作成する(図34の(1)参照)。
As shown in FIG. 34, the discriminant logical
判別論理式作成部5143は、真理値表L1の1行目に示すように、パターンAについては、inputを[(a,1010),(b,1111),(d,0101),(e,*/{1111}),(d,*/{1011})]に設定し、outputを(x,y,z)=(0,0,0)に設定する。同様に、判別論理式作成部5143は、真理値表L1の2行目に示すように、パターンBについては、inputを[(a,1010),(b,1111),(d,0101),(e,1111),(f,1011)]に設定し、outputを(x,y,z)=(0,0,1)に設定する。同様に、判別論理式作成部5143は、真理値表L1の3行目に示すように、パターンCについては、inputを[(a,1010),(b,1101), (c,1110)]に設定し、outputを(x,y,z)=(0,1,1)に設定する。
As shown in the first line of the truth table L1, the discriminant logical
そして、判別論理式作成部5143は、真理値表L1を基に、Quine-McCluskey法等を使用して、プロトコルスタックパターン判別用の判別論理式230−1(図34の(2)参照)を作成する。この判別論理式230−1は、output(0,0,0),(0,0,1),(0,1,1)のそれぞれに、対応するパターンの種別、ヘッダストリップ箇所、変換後Ethertypeに指定するプロトコル番号が対応付けられている。判別論理式作成部5143は、作成した判別論理式をフォーマット変換部515に出力する。
Then, based on the truth table L1, the discriminant logical
[プロトコルスタック判別部の処理]
次に、プロトコルスタック判別部5151の処理について説明する。図35は、図29に示すプロトコルスタック判別部5151の処理を説明する図である。
[Process of Protocol Stack Discrimination Unit]
Next, processing of the protocol
図35に示すように、プロトコルスタック判別部5151は、例えば、判別論理式作成部5143が作成した判別論理式230−1を事前設定される(図35の(1)参照)。プロトコルスタック判別部5151は、この判別論理式230−1を用いて、パケットのプロトコルスタックパターンを判別する(図35の(2)参照)。具体的には、プロトコルスタック判別部5151は、(a,b,c,d,e,f)に対応するbit列を抽出し、抽出した(a,b,c,d,e,f)を判別論理式230−1に入力する。そして、プロトコルスタック判別部5151は、判別論理式230−1のoutputに対応するパケットのパターンの種別、ヘッダストリップ箇所、変換後Ethertypeに指定するプロトコル番号を、パケットとともに出力する。
As shown in FIG. 35, the protocol
[学習処理の手順]
次に、フォーマット変換装置510による学習処理の処理手順について説明する。図36は、図29に示すフォーマット変換装置510による学習処理の手順を示すフローチャートである。
[Procedure of learning process]
Next, a processing procedure of learning processing by the
図36に示すように、まず、学習部514では、キャプチャパケットが入力されると、プロトコルスタック解析部5141が、プロトコルconfigファイルを用いて、入力された各パケットを下位ヘッダから順次解析して、それぞれのプロトコルスタックパターンを特定するプロトコルスタック解析処理を行う(ステップS51)。そして、パターン格納部5142は、入力されたパケットのプロトコルスタックパターンを、判別論理式作成部5143に出力するとともに、パターンDB5144に格納するパターン格納処理を行う(ステップS52)。
As shown in FIG. 36, first, in the
続いて、判別論理式作成部5143は、入力されたパケットのプロトコルスタックパターンを基に、プロトコルスタックパターンを判別する判別論理式を作成する判別論理式作成処理を行う(ステップS53)。判別論理式作成部4143は、作成した判別論理式をプロトコルスタック判別部5151に出力する(ステップS44)。
Subsequently, the discriminant logical
[フォーマット変換処理の処理手順]
次に、フォーマット変換装置510によるフォーマット変換処理の手順について説明する。図37は、図29に示すフォーマット変換装置510によるフォーマット変換処理の手順を示すフローチャートである。
[Process procedure of format conversion process]
Next, the procedure of format conversion processing by the
図37に示すステップS55は、図28に示すステップS45と同様の処理である。プロトコルスタック判別部5151は、ミラー部412からミラーリングされたパケットに対し、判別論理式作成部5143が作成した判別論理式を基に、プロトコルスタックパターンを判別するプロトコルスタック判別処理を行う(ステップS56)。図37に示すステップS57,S58は、図7に示すステップS13,S14と同様の処理を行う。
Step S55 shown in FIG. 37 is the same process as step S45 shown in FIG. The protocol
[実施の形態5の効果]
このように、実施の形態5に係るフォーマット変換装置は、自装置においてパケットを学習することによって判別論理式を作成し、パケットのプロトコルスタックパターンを判別するため、実施の形態4と同様の効果を奏する。
[Effect of Fifth Embodiment]
As described above, the format conversion apparatus according to the fifth embodiment produces the discriminant logical expression by learning the packet in the own apparatus, and determines the protocol stack pattern of the packet. Therefore, the same effect as the fourth embodiment can be obtained. Play.
[実施の形態6]
次に、実施の形態6について説明する。実施の形態6では、フォーマット変換処理において、学習前のパケットが入力された場合に、プロトコルconfigファイルを用いて該パケットの下位ヘッダから順次捜査してプロトコルスタックパターンを判別する。
Sixth Embodiment
A sixth embodiment will now be described. In the sixth embodiment, in the format conversion process, when a packet before learning is input, the protocol config file is used to sequentially search from the lower header of the packet to determine the protocol stack pattern.
図38は、実施の形態6に係るフォーマット変換装置の構成の一例を示す図である。図38に示すように、実施の形態6に係るフォーマット変換装置610は、図29に示すフォーマット変換装置510と比して、フォーマット変換部515に代えてフォーマット変換部615を有する。フォーマット変換部615は、プロトコルスタック判別部5151(第1のプロトコルスタック判別部)、プロトコルスタック判別部6151(第2のプロトコルスタック判別部)及びパケットフォーマット変換部13を有する。
FIG. 38 is a diagram showing an example of the configuration of a format conversion apparatus according to a sixth embodiment. As shown in FIG. 38, the format conversion device 610 according to the sixth embodiment has a format conversion unit 615 instead of the
プロトコルスタック判別部6151は、予め作成されたプロトコルconfigファイルが事前に設定されている。プロトコルスタック判別部6151は、学習前のパケットが入力された場合に、プロトコルconfigファイルを用いて該パケットの下位ヘッダから順次捜査してプロトコルスタックパターンを判別する。言い換えると、プロトコルスタック判別部6151は、プロトコルスタック判別部5151では判別が不可能なパケットについては、プロトコルconfigファイルを用いてプロトコルスタックパターンを判別する。
The protocol stack determination unit 6151 has a protocol config file created in advance set in advance. When a packet before learning is input, the protocol stack determination unit 6151 sequentially investigates the lower header of the packet using the protocol config file to determine the protocol stack pattern. In other words, the protocol stack discrimination unit 6151 discriminates the protocol stack pattern using the protocol config file for packets that can not be discriminated by the protocol
[フォーマット変換部の処理の流れ]
次に、フォーマット変換部615の処理の流れについて説明する。図39は、図38に示すフォーマット変換部615の処理の流れを説明する図である。
[Flow of processing of format conversion unit]
Next, the flow of processing of the format conversion unit 615 will be described. FIG. 39 is a diagram for explaining the flow of processing of the format conversion unit 615 shown in FIG.
プロトコルスタック判別部5151には、学習部514が作成した判別論理式が事前に設定される。そして、図39に示すように、ミラー部412からパケットが入力されると、プロトコルスタック判別部5151は、入力されたパケットのプロトコルスタックパターンに対し、学習部514が作成した判別論理式を用いたプロトコル判別処理を行う(図39の(1)参照)。
The determination logical expression created by the
ただし、プロトコルスタック判別部5151による判別ビット決打型(判別論理式を用いた判別手法)では判別が不可能なパケットは、プロトコルスタック判別部6151による下位ヘッダ捜査型(プロトコルconfigファイルを用いた判別手法)で判別を実行する(図39の(2))。言い換えると、学習前のパケットがフォーマット変換部615に入力された場合、プロトコルスタック判別部6151は、プロトコルconfigファイルを用いたプロトコルスタックパターンの判別を行う(図39の(3)参照)。 However, packets that can not be discriminated by the discrimination bit decision type by the protocol stack discrimination unit 5151 (discrimination method using discrimination logical expression) are lower header inspection types by the protocol stack discrimination unit 6151 (discrimination using a protocol config file) The determination is performed by the method ((2) in FIG. 39). In other words, when the packet before learning is input to the format conversion unit 615, the protocol stack determination unit 6151 determines the protocol stack pattern using the protocol config file (see (3) in FIG. 39).
フォーマット変換部615では、プロトコルスタック判別部5151またはプロトコルスタック判別部6151が、判別結果として、到着したパケット自身に加え、このパケットプロトコルスタックパターン、ヘッダストリップ箇所、変換後Ethertypeに指定するプロトコル番号を出力する。パケットフォーマット変換部13は、プロトコルスタック判別部5151またはプロトコルスタック判別部6151の判別結果を基に、フォーマット変換を実行する(図39の(4)参照)。そして、パケットフォーマット変換部13によるフォーマット変換後のパケットは、パケット出力部14から、解析装置20(不図示)に出力される。
In the format conversion unit 615, the protocol
なお、フォーマット変換処理中も、学習部514は、キャプチャパケットを受け取り、プロトコルスタック解析及びプロトコルスタックパターンの格納を行い、データを蓄積している。
Also during the format conversion process, the
[フォーマット変換処理の処理手順]
次に、フォーマット変換装置610によるフォーマット変換処理の手順について説明する。図40は、図38に示すフォーマット変換装置610によるフォーマット変換処理の手順を示すフローチャートである。
[Process procedure of format conversion process]
Next, the procedure of format conversion processing by the format converter 610 will be described. FIG. 40 is a flow chart showing the procedure of format conversion processing by the format conversion device 610 shown in FIG.
図40に示すステップS61は、図28に示すステップS45と同様の処理である。プロトコルスタック判別部5151は、ミラー部412からミラーリングされたパケットに対し、判別論理式作成部5143が作成した判別論理式を基に、プロトコルスタックパターンを判別する第1プロトコルスタック判別処理を行う(ステップS62)。
Step S61 shown in FIG. 40 is the same process as step S45 shown in FIG. The protocol
そして、プロトコルスタック判別部5151は、第1プロトコルスタック判別処理においてパケットのプロトコルスタックパターンが判別可能であるか否かを判定する(ステップS63)。
Then, the protocol
プロトコルスタック判別部5151が、第1プロトコルスタック判別処理においてパケットのプロトコルスタックパターンが判別可能でないと判定した場合(ステップS63:No)、このパケットをプロトコルスタック判別部6151に出力する。そして、プロトコルスタック判別部6151は、プロトコルconfigファイルを用いて該パケットの下位ヘッダから順次捜査してプロトコルスタックパターンを判別する第2プロトコルスタック判別処理を行う(ステップS64)。
When the protocol
続いて、プロトコルスタック判別部5151が、第1プロトコルスタック判別処理においてパケットのプロトコルスタックパターンが判別可能であると判定した場合(ステップS63:Yes)、または、第2プロトコルスタック判別処理(ステップS64)終了後、ステップS65に進む。図40に示すステップS65,S66は、図7に示すステップS13,S14と同様の処理を行う。
Subsequently, if the protocol
[実施の形態6の効果]
このように、実施の形態6に係るフォーマット変換装置は、自装置において作成した判別論理式でプロトコルスタックパターンを判別できないパケットについては、プロトコルconfigファイルを用いて、該パケットの下位ヘッダから順次捜査してプロトコルスタックパターンを判別する。したがって、実施の形態6によれば、2段階でパケットのプロトコルスタックパターンを判別するため、パケットのプロトコルスタックパターンの判別をさらに高速かつ確実に実行することが可能になる。
[Effect of Embodiment 6]
As described above, the format conversion apparatus according to the sixth embodiment sequentially investigates, from the lower header of the packet, packets for which the protocol stack pattern can not be determined by the determination logical expression created in the own apparatus using the protocol config file. To determine the protocol stack pattern. Therefore, according to the sixth embodiment, since the protocol stack pattern of the packet is determined in two steps, the determination of the protocol stack pattern of the packet can be performed more quickly and more reliably.
[実施の形態7]
次に、実施の形態7について説明する。図41は、実施の形態7に係るフォーマット変換装置の構成の一例を示す図である。例えば、図41に示すように、フォーマット変換装置710は、図1に示すフォーマット変換装置10と比して、対応付部716をさらに有する。
Seventh Embodiment
A seventh embodiment will now be described. FIG. 41 is a diagram showing an example of a configuration of a format conversion apparatus according to a seventh embodiment. For example, as shown in FIG. 41, the format conversion device 710 further includes a correspondence unit 716 as compared with the
対応付部716は、パケットにおける各プロトコルヘッダのテキスト情報を、該パケットのプロトコルヘッダの配置情報に対応付けて記憶するDBを有する。そして、対応付部716は、任意のプロトコルヘッダ情報を照合情報とし、プロトコルヘッダを含むパケットのプロトコルヘッダの配置情報を検索可能としている。 The associating unit 716 includes a DB that stores text information of each protocol header in the packet in association with arrangement information of the protocol header of the packet. Then, the association unit 716 sets arbitrary protocol header information as collation information, and makes it possible to search for arrangement information of a protocol header of a packet including the protocol header.
[対応付部の構成]
図42は、図41に示す対応付部716の構成の一例を示す図である。図42に示すように、対応付部716は、パケットデコード部7161、パース部7162、格納部7163、DB7164及び検索部7165を有する。
[Configuration of correspondence part]
FIG. 42 is a diagram showing an example of the configuration of the correspondence unit 716 shown in FIG. As shown in FIG. 42, the association unit 716 includes a packet decoding unit 7161, a
パケットデコード部7161は、パケット入力部11が入力を受け付けたパケットを取得し、取得したパケットのデコードを行い、バイナリをテキスト変換する。パース部7162は、パケットデコード部7161が変換したパケットのテキスト情報を、プロトコルヘッダ毎にパースする。格納部7163は、パース済みのパケット情報をバッファリングし、定期的にDB7164に書き込む。
The packet decoding unit 7161 acquires the packet received by the
DB7164は、パース済みパケット情報を保持する。図43は、図42に示すDB7164が保持するデータの一例を示す図である。図43の表L71に示すように、DB7164は、入力されたパケットの、プロトコルヘッダ毎にパースされたテキスト情報を、プロトコルヘッダ毎に分けて保持する。例えば、表L71の1行目には、「青」、「緑」、「赤」、「橙」のテキスト情報を有する4個のプロトコルヘッダで構成されるパケットの情報が保持される。また、表L71の2行目には、「青」、「緑」、「赤」、「桃」、「黄」のテキスト情報を有する5個のプロトコルヘッダで構成されるパケットの情報が保持される。 The DB 7164 holds parsed packet information. FIG. 43 is a diagram showing an example of data held by the DB 7164 shown in FIG. As shown in the table L71 of FIG. 43, the DB 7164 divides and holds, for each protocol header, the text information of the input packet parsed for each protocol header. For example, the first line of the table L71 holds information of a packet constituted by four protocol headers having text information of "blue", "green", "red" and "orange". In the second line of the table L71, information of a packet constituted of five protocol headers having text information of "blue", "green", "red", "peach" and "yellow" is held. Ru.
検索部7165は、任意のプロトコルヘッダ情報を照合情報とし、DB7164から、このプロトコルヘッダを含むパケットのプロトコルヘッダの配置情報を検索する。検索部7165は、フォーマット変換装置710に接続するUI部(不図示)から、1個のプロトコルヘッダのテキスト情報が入力されると、BD7164に照合し、このプロトコルヘッダのテキスト情報を含むパケット全体の構成情報を検索する。
The
[対応付部の処理]
次に、対応付部716の処理の流れについて説明する。図44は、図42に示す対応付部716の処理の流れを説明する図である。
[Processing of correspondence part]
Next, the process flow of the association unit 716 will be described. FIG. 44 is a diagram for explaining the process flow of the correspondence unit 716 shown in FIG.
図44に示すように、対応付部716にパケットが入力すると、まず、パケットデコード部7161がパケットのデコードを行い、バイナリをテキスト変換する(図44の(1)参照)。そして、パケットデコード部7161は、テキスト情報に変換されたパケット情報をパース部7162に出力する。
As shown in FIG. 44, when a packet is input to the associating unit 716, first, the packet decoding unit 7161 decodes the packet and converts binary into text (see (1) in FIG. 44). Then, the packet decoding unit 7161 outputs the packet information converted into the text information to the
例えば、ヘッダH1〜H4を有するパケットCaがパケットデコード部7161に入力した場合を例に説明する。この場合、パケットデコード部7161は、このパケットCaのデコードを行い、各プロトコルヘッダH1〜H4を、テキスト「青緑赤橙」に変換し、パース部7162に出力する。テキスト「青」、「緑」、「赤」、「橙」は、それぞれプロトコルヘッダH1,H2,H3,H4に対応する。
For example, the case where a packet Ca having headers H1 to H4 is input to the packet decoding unit 7161 will be described as an example. In this case, the packet decoding unit 7161 decodes the packet Ca, converts each of the protocol headers H1 to H4 into the text “green, green and orange”, and outputs the converted text to the
そして、パース部7162は、パケットのテキスト情報をヘッダ毎にパースする(図44の(2)参照)。パース部7162は、例えば、パケットデコード部7161から入力されたパケットCaのテキスト「青緑赤橙」を、プロトコルヘッダごとに、「青」、「緑」、「赤」、「橙」にパースし、このパース済みパケット情報(テキスト)を格納部7163に出力する。
Then, the
続いて、格納部7163は、パース済みパケット情報を定期的にDB7164に書き込む(図44の(3)参照)。これによって、DB7164は、パース済みパケット情報を保存する(図44の(4)参照)。例えば、格納部7163は、パース済みパケット情報として、「青」、「緑」、「赤」、「橙」が入力された場合には、「青」、「緑」、「赤」、「橙」のそれぞれを、この順序でDB7164に書き込む。この結果、図43の1行目に示すように、「青」、「緑」、「赤」、「橙」がこの順で登録される。したがって、テキスト情報「青」、「緑」、「赤」、「橙」の順でプロトコルヘッダが配置されたパケットが、フォーマット変換装置710に入力したことが登録される。
Subsequently, the
対応付部716は、このようなDB7164を構成することによって、検索部7165が、カプセルパケットの任意のプロトコルヘッダ情報をクエリとして検索をかけた場合には、このプロトコルヘッダを含むパケット全体のプロトコルヘッダの配置情報を応答することができる(図44の(5)参照)。この任意のプロトコルヘッダ情報には、インナーパケットも含む。例えば、検索部7165から、「橙」が検索クエリとして検索された場合には、DB7164から、図43の表L1のうち「橙」を含む「青」、「緑」、「赤」、「橙」のテキスト情報がレスポンスされる。
When the association unit 716 configures such DB 764, when the
[対応付け部の処理手順]
図45は、図42に示す対応付部716による情報の対応付け処理の処理手順を示すフローチャートである。図45に示すように、パケットが入力されると(ステップS71)、パケットデコード部7161は、パケットのデコードを行い、バイナリをテキスト変換するパケットデコード処理を行う(ステップS72)。続いて、パース部7162は、パケットデコード部7161が変換したパケットのテキスト情報を、プロトコルヘッダ毎にパースするパース処理を行う(ステップS73)。そして、格納部7163は、パース済みのパケット情報をバッファリングし、定期的にDB7164に書き込む格納処理を行い(ステップS74)、処理を終了する。
[Processing procedure of association section]
FIG. 45 is a flowchart of a process procedure of the information associating process by the associating unit 716 illustrated in FIG. As shown in FIG. 45, when a packet is input (step S71), the packet decoding unit 7161 decodes the packet and performs packet decoding processing to convert binary into text (step S72). Subsequently, the
[実施の形態7の効果]
このように、実施の形態7は、パケットにおける各プロトコルヘッダのテキスト情報を、該パケットのプロトコルヘッダの配置情報に対応付けて記憶する。図46は、図42に示す対応付部716の対応付け機能を説明する図である。
[Effect of Seventh Embodiment]
Thus, the seventh embodiment stores text information of each protocol header in a packet in association with arrangement information of the protocol header of the packet. FIG. 46 is a diagram for explaining the associating function of the associating unit 716 shown in FIG.
例えば、ユーザは、解析装置20の検知結果(インナーパケットPaの情報)を、DB7164で検索した場合について説明する。この場合、図46に示すように、ユーザは、DB7164から、このインナーパケットPaを含むパケットC1全体のプロトコルヘッダの配置情報を取得することが可能になる(矢印Y72:正引き)。また、ユーザは、任意のプロトコルヘッダ、例えば、カプセルヘッダ(IPv4)を、DB7164で検索することによって、このカプセルヘッダ(IPv4)を含むパケットC1全体のプロトコルヘッダの配置情報を取得することが可能になる(矢印Y71:逆引き)。
For example, the case where the user searches the detection result (information of the inner packet Pa) of the
このように、実施の形態7によれば、ユーザは、任意のプロトコルヘッダ情報を照合情報として、プロトコルヘッダを含むパケットのプロトコルヘッダの配置情報を検索することができる。 As described above, according to the seventh embodiment, the user can search for arrangement information of a protocol header of a packet including a protocol header, using arbitrary protocol header information as collation information.
なお、実施の形態7では、フォーマット変換装置10に対応付部716をさらに追加した構成を例として説明したが、これに限らない。対応付部716は、フォーマット変換装置210,310,410,510,610に追加することも可能である。
In the seventh embodiment, the configuration in which the mapping unit 716 is further added to the
また、実施の形態1〜7では、解析装置20とフォーマット変換装置10,210,310,410,510,610,710とは別の装置である例について説明したが、解析装置20が、フォーマット変換装置10,210,310,410,510,610,710の機能を有していてもよい。
In the first to seventh embodiments, although the
[システム構成等]
図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
[System configuration etc.]
The components of the illustrated devices are functionally conceptual and do not necessarily have to be physically configured as illustrated. That is, the specific form of the dispersion and integration of each device is not limited to that shown in the drawings, and all or a part thereof is functionally or physically dispersed in any unit depending on various loads, usage conditions, etc. It can be integrated and configured. Furthermore, all or any part of each processing function performed by each device may be realized by a CPU and a program analyzed and executed by the CPU, or may be realized as wired logic hardware.
また、本実施の形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的におこなうこともでき、あるいは、手動的に行なわれるものとして説明した処理の全部又は一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。 Further, among the processes described in the present embodiment, all or part of the process described as being automatically performed may be manually performed, or the process described as being manually performed. All or part of can be performed automatically by a known method. In addition to the above, the processing procedures, control procedures, specific names, and information including various data and parameters shown in the above documents and drawings can be arbitrarily changed unless otherwise specified.
[プログラム]
図47は、プログラムが実行されることにより、フォーマット変換装置10,210,310,410,510,610,710が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
[program]
FIG. 47 is a diagram illustrating an example of a computer in which the
メモリ1010は、ROM1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
The
ハードディスクドライブ1090は、例えば、OS(Operating System)1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、フォーマット変換装置10,210,310,410,510,610,710の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、フォーマット変換装置10,210,310,410,510,610,710における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
The hard disk drive 1090 stores, for example, an OS (Operating System) 1091, an
また、上述した実施の形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
The setting data used in the process of the above-described embodiment is stored as
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN、WAN等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
The
以上、本発明者によってなされた発明を適用した実施の形態について説明したが、本実施の形態による本発明の開示の一部をなす記述及び図面により本発明は限定されることはない。すなわち、本実施の形態に基づいて当業者等によりなされる他の実施の形態、実施例及び運用技術等は全て本発明の範疇に含まれる。 Although the embodiment to which the invention made by the inventor is applied has been described above, the present invention is not limited by the description and the drawings that form a part of the disclosure of the present invention according to the present embodiment. That is, all other embodiments, examples, operation techniques and the like made by those skilled in the art based on the present embodiment are included in the scope of the present invention.
1 通信システム
10,210,310,410,510,610,710 フォーマット変換装置
20 解析装置
11 パケット入力部
12,212,312,4151,5151,6151 プロトコルスタック判別部
13 パケットフォーマット変換部
14 パケット出力部
412 ミラー部
413 パケットキャプチャ部
414,514 学習部
415,515,615 フォーマット変換部
4141,5141 プロトコルスタック解析部
4142 パターン分布格納部
4143 判別木作成部
4144 パターン分布DB
5142 パターン格納部
5143 判別論理式作成部
5144 パターンDB
716 対応付部
7161 パケットデコード部
7162 パース部
7163 格納部
7164 DB
7165 検索部
N ネットワーク
1
5142
716 Corresponding part 7161
7165 Retrieval unit N network
Claims (8)
トンネリングを行うためにEtherヘッダ以降に付加された任意のプロトコルヘッダがスタックされたパケットの入力を受け付ける入力部と、
予め作成された判別ルールにしたがって、入力されたパケットの各プロトコルヘッダの種別と配置とを示すプロトコルスタックパターンを判別する判別部と、
前記判別部によって判別されたプロトコルスタックパターンを基に、前記パケットのフォーマットを、前記解析装置の解析対象以外のプロトコルヘッダを除外したフォーマットに変換する変換部と、
前記変換部がフォーマットを変換したパケットを前記解析装置に出力する出力部と、
を有することを特徴とするフォーマット変換装置。 A format converter provided at the front stage of an analyzer that analyzes packets,
An input unit that receives an input of a packet in which an arbitrary protocol header added after the Ether header for performing tunneling is stacked;
A determination unit that determines a protocol stack pattern indicating the type and arrangement of each protocol header of the input packet in accordance with a determination rule created in advance;
A conversion unit which converts the format of the packet into a format excluding any protocol header other than the analysis target of the analysis apparatus based on the protocol stack pattern determined by the determination unit;
An output unit that outputs the packet whose format has been converted by the conversion unit to the analysis device;
A format conversion apparatus characterized by having:
前記記憶部に対し、任意のプロトコルヘッダ情報を照合情報とし、前記プロトコルヘッダを含むパケットのプロトコルヘッダの配置情報を検索する検索部と、
をさらに有することを特徴とする請求項1または2に記載のフォーマット変換装置。 A storage unit that stores text information of each protocol header in the packet input by the input unit in association with arrangement information of the protocol header of the packet;
A search unit which makes arbitrary protocol header information match information for the storage unit and searches for arrangement information of protocol headers of packets including the protocol header;
The format conversion device according to claim 1, further comprising:
トンネリングを行うためにEtherヘッダ以降に付加された任意のプロトコルヘッダがスタックされたパケットの入力を受け付ける入力部と、
入力されたパケットについてプロトコルconfigファイルを用いて学習し、パケットのプロトコルスタックパターンを判別する判別ルールを作成する学習部と、
前記学習部によって作成された判別ルールにしたがって、入力されたパケットの各プロトコルヘッダの種別と配置とを示すプロトコルスタックパターンを判別する第1の判別部と、
前記第1の判別部によって判別されたプロトコルスタックパターンを基に、前記パケットのフォーマットを、前記解析装置の解析対象以外のプロトコルヘッダを除外したフォーマットに変換する変換部と、
前記変換部がフォーマットを変換したパケットを前記解析装置に出力する出力部と、
を有することを特徴とするフォーマット変換装置。 A format converter provided at the front stage of an analyzer that analyzes packets,
An input unit that receives an input of a packet in which an arbitrary protocol header added after the Ether header for performing tunneling is stacked;
A learning unit that learns an input packet using a protocol config file and creates a determination rule that determines the protocol stack pattern of the packet;
A first determination unit that determines a protocol stack pattern indicating the type and arrangement of each protocol header of the input packet according to the determination rule created by the learning unit;
A conversion unit which converts the format of the packet into a format excluding the protocol header other than the analysis target of the analysis apparatus based on the protocol stack pattern determined by the first determination unit;
An output unit that outputs the packet whose format has been converted by the conversion unit to the analysis device;
A format conversion apparatus characterized by having:
前記記憶部に対し、任意のプロトコルヘッダ情報を照合情報とし、前記プロトコルヘッダを含むパケットのプロトコルヘッダの配置情報を検索する検索部と、
をさらに有することを特徴とする請求項4〜6のいずれか一つに記載のフォーマット変換装置。 A storage unit that stores text information of each protocol header in the packet input by the input unit in association with arrangement information of the protocol header of the packet;
A search unit which makes arbitrary protocol header information match information for the storage unit and searches for arrangement information of protocol headers of packets including the protocol header;
The format conversion device according to any one of claims 4 to 6, further comprising:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017226004A JP6734248B2 (en) | 2017-11-24 | 2017-11-24 | Format conversion device and format conversion program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017226004A JP6734248B2 (en) | 2017-11-24 | 2017-11-24 | Format conversion device and format conversion program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019097069A true JP2019097069A (en) | 2019-06-20 |
| JP6734248B2 JP6734248B2 (en) | 2020-08-05 |
Family
ID=66972103
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017226004A Active JP6734248B2 (en) | 2017-11-24 | 2017-11-24 | Format conversion device and format conversion program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6734248B2 (en) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021090161A (en) * | 2019-12-05 | 2021-06-10 | 日本電信電話株式会社 | Format conversion device, method, and program |
| WO2022148190A1 (en) * | 2021-01-07 | 2022-07-14 | 大唐移动通信设备有限公司 | L2tp message processing method and apparatus, and storage medium |
| WO2022176035A1 (en) * | 2021-02-16 | 2022-08-25 | 日本電信電話株式会社 | Conversion device, conversion method, and conversion program |
| WO2022176034A1 (en) * | 2021-02-16 | 2022-08-25 | 日本電信電話株式会社 | Conversion device, conversion method, and conversion program |
| WO2024038523A1 (en) * | 2022-08-17 | 2024-02-22 | 日本電信電話株式会社 | Conversion device, conversion method, and conversion program |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003060727A (en) * | 2001-07-31 | 2003-02-28 | Agilent Technol Inc | Method and apparatus for protocol pattern identification in protocol data unit |
| JP2003163712A (en) * | 2001-11-22 | 2003-06-06 | Hitachi Ulsi Systems Co Ltd | Network system and program |
| JP2010514248A (en) * | 2006-12-19 | 2010-04-30 | ケイ ティー コーポレイション | Intrusion prevention apparatus and method for point-to-point tunneling communication |
| JP2013121075A (en) * | 2011-12-07 | 2013-06-17 | Nec Corp | Packet communication system, quality evaluation method in packet communication, packet analyzer, and control method and control program of the same |
| JP2016086378A (en) * | 2014-10-29 | 2016-05-19 | 三菱電機株式会社 | Gateway device |
| JP2017098907A (en) * | 2015-11-27 | 2017-06-01 | 日本電信電話株式会社 | System and method for traffic analysis |
| WO2018066228A1 (en) * | 2016-10-06 | 2018-04-12 | 日本電信電話株式会社 | Flow information analysis apparatus, flow information analysis method, and flow information analysis program |
-
2017
- 2017-11-24 JP JP2017226004A patent/JP6734248B2/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003060727A (en) * | 2001-07-31 | 2003-02-28 | Agilent Technol Inc | Method and apparatus for protocol pattern identification in protocol data unit |
| JP2003163712A (en) * | 2001-11-22 | 2003-06-06 | Hitachi Ulsi Systems Co Ltd | Network system and program |
| JP2010514248A (en) * | 2006-12-19 | 2010-04-30 | ケイ ティー コーポレイション | Intrusion prevention apparatus and method for point-to-point tunneling communication |
| JP2013121075A (en) * | 2011-12-07 | 2013-06-17 | Nec Corp | Packet communication system, quality evaluation method in packet communication, packet analyzer, and control method and control program of the same |
| JP2016086378A (en) * | 2014-10-29 | 2016-05-19 | 三菱電機株式会社 | Gateway device |
| JP2017098907A (en) * | 2015-11-27 | 2017-06-01 | 日本電信電話株式会社 | System and method for traffic analysis |
| WO2018066228A1 (en) * | 2016-10-06 | 2018-04-12 | 日本電信電話株式会社 | Flow information analysis apparatus, flow information analysis method, and flow information analysis program |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021090161A (en) * | 2019-12-05 | 2021-06-10 | 日本電信電話株式会社 | Format conversion device, method, and program |
| JP7294764B2 (en) | 2019-12-05 | 2023-06-20 | 日本電信電話株式会社 | Format conversion device, method and program |
| WO2022148190A1 (en) * | 2021-01-07 | 2022-07-14 | 大唐移动通信设备有限公司 | L2tp message processing method and apparatus, and storage medium |
| WO2022176035A1 (en) * | 2021-02-16 | 2022-08-25 | 日本電信電話株式会社 | Conversion device, conversion method, and conversion program |
| WO2022176034A1 (en) * | 2021-02-16 | 2022-08-25 | 日本電信電話株式会社 | Conversion device, conversion method, and conversion program |
| WO2024038523A1 (en) * | 2022-08-17 | 2024-02-22 | 日本電信電話株式会社 | Conversion device, conversion method, and conversion program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6734248B2 (en) | 2020-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6734248B2 (en) | Format conversion device and format conversion program | |
| CN104243315B (en) | Device and method for uniquely enumerating the path in analytic tree | |
| US11146286B2 (en) | Compression of JavaScript object notation data using structure information | |
| JP5613239B2 (en) | Automatic address range detection for IP networks | |
| US6594655B2 (en) | Wildcards in radix- search tree structures | |
| US7602780B2 (en) | Scalably detecting and blocking signatures at high speeds | |
| US20090138440A1 (en) | Method and apparatus for traversing a deterministic finite automata (DFA) graph compression | |
| US20080186974A1 (en) | System and method to process data packets in a network using stateful decision trees | |
| US20030123456A1 (en) | Methods and system for data packet filtering using tree-like hierarchy | |
| TW200415878A (en) | A method and apparatus for deep packet processing | |
| WO2010065418A1 (en) | Graph-based data search | |
| JP2011146920A (en) | Apparatus, program and method for generating topology tree | |
| TW200934181A (en) | Method and system for packet classificiation with reduced memory space and enhanced access speed | |
| CN110083746B (en) | Quick matching identification method and device based on character strings | |
| WO2018075983A1 (en) | Systems and methods for scalable network modeling | |
| WO2012081148A1 (en) | Packet classifier, packet classification method and packet classification program | |
| Kesselman et al. | Space and speed tradeoffs in TCAM hierarchical packet classification | |
| CN106656948A (en) | Data packet modification method and related network device | |
| CN107689899A (en) | A kind of unknown protocol recognition methods and system based on bit stream | |
| CN105491094A (en) | HTTP request handling method and device | |
| CN111597139B (en) | Communication method, system, equipment and medium of GPU | |
| CN112054992B (en) | Malicious traffic identification method and device, electronic equipment and storage medium | |
| US11968286B2 (en) | Packet filtering using binary search trees | |
| US20230344755A1 (en) | Determining flow paths of packets through nodes of a network | |
| Maudoux et al. | Combined Forest: A New Supervised Approach for a Machine-Learning-based Botnets Detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190522 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200312 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200317 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200514 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200707 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200709 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6734248 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |