JP2022125546A - セキュリティシステム、セキュリティ装置、方法、及びプログラム - Google Patents

セキュリティシステム、セキュリティ装置、方法、及びプログラム Download PDF

Info

Publication number
JP2022125546A
JP2022125546A JP2021023187A JP2021023187A JP2022125546A JP 2022125546 A JP2022125546 A JP 2022125546A JP 2021023187 A JP2021023187 A JP 2021023187A JP 2021023187 A JP2021023187 A JP 2021023187A JP 2022125546 A JP2022125546 A JP 2022125546A
Authority
JP
Japan
Prior art keywords
packet
received
response
retransmission
queue
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021023187A
Other languages
English (en)
Inventor
岳 神宮寺
Takeshi Jinguji
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Platforms Ltd
Original Assignee
NEC Platforms Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Platforms Ltd filed Critical NEC Platforms Ltd
Priority to JP2021023187A priority Critical patent/JP2022125546A/ja
Publication of JP2022125546A publication Critical patent/JP2022125546A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】セキュリティ処理を実施する装置における処理能力の低下を軽減とする。【解決手段】判定手段22は、ユーザ装置30から受信されたパケットが再送パケットであるか否かを判定する。パケット格納手段23は、受信されたパケットが再送パケットではないと判定された場合、受信されたパケットをキュー24に格納する。置換手段25は、受信されたパケットが再送パケットであると判定された場合、キュー24に格納されるパケットを、受信されたパケットで置き換える。応答パケット送信手段28は、応答パケット生成手段27が生成した回答パケットを、キュー24に格納されるパケットに対する応答としてユーザ装置30に送信する。【選択図】図1

Description

本開示は、セキュリティシステム、セキュリティ装置、セキュリティ装置における動作方法、及びプログラムに関する。
近年、企業を狙ったサーバ攻撃方法も日々進化しており、ファイアウォールのみで攻撃に対処することが難しくなっている。日々進化するサーバ攻撃に対処するために、UTM(Unified Threat Management)をセキュリティ対策として導入をする企業が増加している。
しかしながら、UTMを有するセキュリティ装置(UTM装置とも呼ぶ)はユーザ数やセッション数が多い場所では負荷が高くなり、処理性能などが低下しやすい。また、UTMでは、一部機能ではサーバへ問い合わせることで結果が得られることがあるが、処理性能が低下している中では問合せに時間がかかることが多い。そのため、タイムアウトが発生しやすく、再送パケットが送られる回数が多くなる。
関連技術として、特許文献1は、情報処理装置から他の装置への無線通信を中継する無線通信装置を開示する。特許文献1に記載の無線通信装置は、情報処理装置から他の装置に送信される複数のパケットを、FIFO(First-In First-Out)形式の送信バッファに一時的に保持する。無線通信装置は、送信バッファに保持されるパケットを順次に他の装置側に送信し、送信したパケットに対する確認応答を受信する。
特許文献1において、無線通信装置は、送信バッファに入力されたパケットが再送パケットであるか否かを判断する。特許文献1において、再送パケットとは、情報処理装置が他の装置から受信したパケットの再送要求に応じて送信するパケットを意味する。無線通信装置は、入力されたパケットが再送パケットであり、かつ送信バッファに同じパケットが存在している場合、入力されたパケットを破棄する。また、無線通信装置は、送信バッファから他の装置に出力されたパケットが再送パケットである場合、そのパケットに対する確認応答があるまで、パケットを送信バッファに維持する。
特開2010-56940号公報
UTMを有する装置を稼働させた場合、通信量や利用するUTMの機能に応じて負荷は異なるものの、通信量が多くなるほど装置負荷が高くなる。装置負荷が高い場合、UTMなど様々な機能の処理速度が低下する。処理速度が低下することで端末への応答が遅くなり、端末からタイムアウトに起因する再送パケットがUTMを有する装置へ送られてくる。しかし、処理速度が低下している装置では、再送パケットは装置内のキューへ積まれ続けたままタイムアウトを迎える。その後、端末から同様の再送パケットが再度送られるため、更なる通信速度の低下が発生し、或いは、UTMの処理が遅延する。
特許文献1は、無線通信装置において、送信バッファに入力されたパケットが再送パケットであり、かつ送信バッファに同じ再送パケットが存在している場合、入力された再送パケットを破棄することを開示する。しかしながら、特許文献1は、情報処理装置が他の装置から受信したパケットの再送要求に応じて送信する再送パケットを破棄することを開示するものの、セキュリティ装置における上記問題を解決するための手段を開示しない。
本開示は、上記事情に鑑み、セキュリティ処理を実施する装置における処理能力の低下を軽減可能なセキュリティシステム、セキュリティ装置、セキュリティ装置における動作方法、及びプログラムを提供することを目的とする。
上記目的を達成するために、本開示は、ユーザ装置からパケットを受信する受信手段と、前記受信されたパケットに基づいて問合せパケットを生成し、該生成した問合せパケットをサーバへ送信する問合せ手段と、前記サーバから問合せパケットに対する回答パケットを受信し、該受信した回答パケットに基づいて応答パケットを生成する応答パケット生成手段と、前記応答パケットを前記ユーザ装置に送信する応答パケット送信手段と、前記受信手段が前記パケットを受信した場合、該受信されたパケットが再送パケットであるか否かを判定する判定手段と、前記判定手段が前記受信されたパケットが再送パケットではないと判定した場合、前記受信されたパケットをキューに格納するパケット格納手段と、前記判定手段が前記受信されたパケットが再送パケットであると判定した場合、前記キューに格納されるパケットを、前記受信されたパケットで置き換える置換手段とを備え、前記応答パケット送信手段は、前記回答パケットを、前記キューに格納されるパケットに対する応答として前記ユーザ装置に送信する、セキュリティ装置を提供する。
本開示は、セキュリティ装置と、前記セキュリティ装置から問合せパケットを受信し、問合せパケットに対する回答パケットを前記セキュリティ装置に送信するサーバを有し、前記セキュリティ装置は、ユーザ装置からパケットを受信する受信手段と、前記受信されたパケットに基づいて問合せパケットを生成し、該生成した問合せパケットをサーバへ送信する問合せ手段と、前記サーバから前記回答パケットを受信し、該受信した回答パケットに基づいて応答パケットを生成する応答パケット生成手段と、前記応答パケットを前記ユーザ装置に送信する応答パケット送信手段と、前記受信手段が前記パケットを受信した場合、該受信されたパケットが再送パケットであるか否かを判定する判定手段と、前記判定手段が前記受信されたパケットが再送パケットではないと判定した場合、前記受信されたパケットをキューに格納するパケット格納手段と、前記判定手段が前記受信されたパケットが再送パケットであると判定した場合、前記キューに格納されるパケットを、前記受信されたパケットで置き換える置換手段とを備え、前記応答パケット送信手段は、前記回答パケットを、前記キューに格納されるパケットに対する応答として前記ユーザ装置に送信する、セキュリティシステムを提供する。
本開示は、ユーザ装置からパケットを受信し、前記受信されたパケットが再送パケットであるか否かを判定し、前記受信されたパケットが再送パケットではないと判定された場合、前記受信されたパケットをキューに格納し、前記受信されたパケットが再送パケットであると判定された場合、前記キューに格納されるパケットを、前記受信されたパケットで置き換え、前記受信されたパケットに基づいて問合せパケットを生成し、該生成した問合せパケットをサーバへ送信し、前記サーバから問合せパケットに対する回答パケットを受信し、該受信した回答パケットに基づいて応答パケットを生成し、前記応答パケットを、前記キューに格納されるパケットに対する応答として前記ユーザ装置に送信することを含む、セキュリティ装置における動作方法を提供する。
本開示は、ユーザ装置からパケットを受信し、前記受信されたパケットが再送パケットであるか否かを判定し、前記受信されたパケットが再送パケットではないと判定された場合、前記受信されたパケットをキューに格納し、前記受信されたパケットが再送パケットであると判定された場合、前記キューに格納されるパケットを、前記受信されたパケットで置き換え、前記受信されたパケットに基づいて問合せパケットを生成し、該生成した問合せパケットをサーバへ送信し、前記サーバから問合せパケットに対する回答パケットを受信し、該受信した回答パケットに基づいて応答パケットを生成し、前記応答パケットを、前記キューに格納されるパケットに対する応答として前記ユーザ装置に送信する処理をセキュリティ装置に実施させるためのプログラムを提供する。
本開示に係るセキュリティシステム、セキュリティ装置、セキュリティ装置における動作方法、及びプログラムは、セキュリティ処理を実施する装置における処理能力の低下を軽減可能することができる。
本開示に係るセキュリティシステムを概略的に示すブロック図。 本開示の一実施形態に係るセキュリティシステムを示すブロック図。 UTM装置の構成例を示すブロック図。 パケット情報DBに記憶される情報の一例を示す図。 UTM装置における動作手順を示すフローチャート。 コンピュータ装置の構成例を示すブロック図。
本開示の実施の形態の説明に先立って、本開示の概要を説明する。図1は、本開示に係るセキュリティシステムを概略的に示す。セキュリティシステム10は、セキュリティ装置20と、サーバ40とを有する。セキュリティ装置20は、受信手段21、判定手段22、パケット格納手段23、キュー24、置換手段25、問合せ手段26、応答パケット生成手段27、及び応答パケット送信手段28を有する。
受信手段21は、ユーザ装置30からパケットを受信する。問合せ手段26は、受信手段21が受信したパケットに基づいて問合せパケットを生成し、生成した問合せパケットをサーバ40へ送信する。応答パケット生成手段27は、サーバ40から問合せパケットに対する回答パケットを受信し、受信した回答パケットに基づいて応答パケットを生成する。応答パケット送信手段28は、回答パケットをユーザ装置30に送信する。
判定手段22は、受信手段21がユーザ装置30からパケットを受信した場合、受信されたパケットが再送パケットであるか否かを判定する。パケット格納手段23は、判定手段22が受信されたパケットが再送パケットではないと判定した場合、受信されたパケットをキュー24に格納する。置換手段25は、判定手段22が受信されたパケットが再送パケットであると判定した場合、キュー24に格納されるパケットを、受信されたパケットで置き換える。応答パケット送信手段28は、応答パケット生成手段27が生成した回答パケットを、キュー24に格納されるパケットに対する応答としてユーザ装置30に送信する。
本開示では、置換手段25は、ユーザ装置30から受信されたパケットが再送パケットであると判定された場合、キュー24に格納されるパケットを、再送パケットで置き換える。このようにすることで、セキュリティ装置20は、再送パケットがキュー24に滞留することを抑制することができる。セキュリティ装置20は、不要なパケットの滞留を抑制することで、処理負荷を軽減することができ、セキュリティ装置の処理能力の低下を軽減することができる。
以下、図面を参照し、本開示の実施の形態を詳細に説明する。図2は、本開示の一実施形態に係るセキュリティシステムを示す。セキュリティシステム100は、UTM装置110、及び問合せサーバ150を有する。セキュリティシステム100は、図1に示されるセキュリティシステム10に対応する。UTM装置110は、図1に示されるセキュリティ装置20に対応する。問合せサーバ(UTMサーバ)150は、図1に示されるサーバ40に対応する。
UTM装置110は、セキュリティ処理を実施するセキュリティ装置である。UTM装置110は、例えばサーバ又はPC(Personal Computer)などのコンピュータ装置として構成される。UTM装置110は、LAN(Local Area Network)又はインタネットなどのネットワークを介して1以上のユーザ装置130に接続される。ユーザ装置130は、例えばPC、タブレット、又はスマートフォンなどのユーザが使用する情報処理装置として構成される。ユーザ装置130は、図1に示されるユーザ装置30に対応する。
UTM装置110は、ユーザ装置130からパケットを受信し、受信したパケットに対してUTM処理を行う。UTM処理は、問合せサーバ150への問合せを伴う処理を含む。UTM装置110は、問合せサーバ150への問合せが必要な場合、問合せパケットを問合せサーバ150に送信する。問合せサーバ150は、受信した問合せパケットに対して処理を行い、回答パケットをUTM装置110に送信する。UTM装置110は、回答パケットに基づく応答パケットを、ユーザ装置130に送信する。
なお、UTM装置110は、ユーザ装置130から、問合せサーバ150への問い合わせを伴わないパケットも受信し得る。UTM装置110は、そのようなパケットを受信した場合、問合せサーバ150への問い合わせを伴わないUTM処理を実施する。UTM装置110は、問合せサーバ150への問い合わせを伴わないUTM処理では、装置内に記憶するパターンファイルなどを用いて応答パケットを生成する。そのような、問合せサーバ150への問い合わせを伴わないUTM処理は、一般的なUTM装置において実施されるUTM処理と同様よく、以下において、詳細な説明は省略する。
図3は、UTM装置110の構成例を示す。UTM装置110は、パケット受信部111、再送パケット判定部112、パケット格納部113、待機キュー114、パケット情報登録部115、再送パケットDB(Database)116、パケット置換部117、問合せ部118、応答パケット生成部119、及び応答パケット送信部1120を有する。UTM装置110内の各部の機能は、例えば1以上のプロセッサがプログラムに従って処理を実行され得る。
パケット受信部111は、ユーザ装置130からパケットを受信する。問合せ部118は、受信されたパケットに基づいて問合せパケットを生成し、生成した問合せパケットを問合せサーバ150に送信する。パケット受信部111は、図1に示される受信手段21に対応する。問合せ部118は、図1に示される問合せ手段26に対応する。
応答パケット生成部119は、問合せサーバ150から問合せパケットに対する回答パケットを受信する。応答パケット生成部119は、受信した回答パケットに基づいて応答パケットを生成する。応答パケット送信部120は、ユーザ装置130に応答パケットを送信する。応答パケット生成部119は、図1に示される応答パケット生成手段27に対応する。応答パケット送信部120は、図1に示される応答パケット送信手段28に対応する。
再送パケット判定部112は、パケット受信部111が受信したパケットが、再送パケットであるか否かを判定する。再送パケット判定部112は、例えば、あるユーザ装置130から、既に受信され、かつ応答パケットの送信が完了してないパケットと同じデータのパケットが受信された場合、そのパケットは再送パケットであると判定する。再送パケット判定部112は、図1に示される判定手段22に対応する。
パケット格納部113は、再送パケット判定部112において受信されたパケットが再送パケットではないと判定された場合、待機キュー114に受信されたパケットを格納する。待機キュー114には、応答パケット生成部119が問合せサーバ150から回答パケットを受信するまで、受信されたパケットが格納される。待機キュー114に格納されるパケットは、問合せサーバ150へ問合せ済みのパケットと、未問い合わせのパケットとを含み得る。パケット格納部113は、図1に示されるパケット格納手段23に対応する。待機キュー114は、図1に示されるキュー24に対応する。
パケット情報DB116は、待機キュー114に記憶されるパケットの情報を記憶するデータベースである。パケット情報登録部(情報登録手段)115は、再送パケット判定部112で受信されたパケットが再送パケットではないと判定された場合、受信されたパケットの情報をパケット情報DB116に登録する。
パケット情報登録部115は、例えば、受信されたパケットのデータ部分を所定のハッシュ関数を用いてハッシュ化する。パケット情報登録部115は、受信されたパケットの送信先を示す情報、送信元を示す情報、及びハッシュ化されたハッシュ値を、再送パケットDB116に登録する。パケットの送信先を示す情報は、例えば、パケットの送信先のアドレス情報とポート番号とを含む。パケットの受信先を示す情報は、パケットの送信元のアドレス情報とポート番号とを含む。
図4は、パケット情報DB116に記憶される情報の一例を示す。パケット情報DB116は、再送パケットではないと判定されたパケット、別の言い方をすると待機キュー114(図3を参照)に格納されるパケットの情報を記憶する。パケット情報DB116は、各パケットについて、例えば、送信先IP(Internet Protocol)アドレス、送信先ポート番号、送信元IPアドレス、送信元ポート番号、及びデータのハッシュ値を記憶する。
本実施形態において、再送パケット判定部112は、再送パケットDB116を参照し、パケット受信部111が受信したパケットが、再送パケットであるか否かを判定する。再送パケット判定部112は、受信されたパケットの情報と、再送パケットDB116に記憶されている情報とを比較する。再送パケット判定部112は、受信されたパケットの情報と一致する情報が再送パケットDB116に記憶されている場合、受信されたパケットは再送パケットであると判定する。再送パケット判定部112は、受信されたパケットの情報と一致する情報が再送パケットDB116に記憶されていない場合、受信されたパケットは再送パケットではないと判定する。
例えば、再送パケット判定部112は、受信されたパケットのデータ部分を所定のハッシュ関数を用いてハッシュ値に変換する。再送パケット判定部112は、再送パケットDB116から、送信先IPアドレス、送信先ポート番号、送信元IPアドレス、送信元ポート番号、及びデータのハッシュ値の情報を取得する。再送パケット判定部112は、受信されたパケットの送信先IPアドレス、送信先ポート番号、送信元IPアドレス、送信元ポート番号、及びデータのハッシュ値と、再送パケットDB116から取得したそれらの情報とを比較する。再送パケット判定部112は、受信されたパケットの情報と、再送パケットDB116から取得した情報とが一致する場合、受信されたパケットと同一のパケットが待機キュー114に既に格納されていると判断する。その場合、再送パケット判定部112は、受信されたパケットは再送パケットであると判定する。
パケット置換部117は、再送パケット判定部112において受信されたパケットが再送パケットであると判定された場合、待機キュー114に格納されるパケットを、受信されたパケットで置き換える。例えば、再送パケット判定部112は、受信されたパケットが再送パケットであると判定した場合、待機キュー114に格納されるパケットのうち、受信されたパケットと同じ情報を有するパケットを特定する。再送パケット判定部112は、特定したパケットの情報をパケット置換部117に通知する。パケット置換部117は、待機キュー114上に存在する、受信されたパケットと同じ情報を有するパケットを削除し、受信されたパケット(再送パケット)で置き換える。パケット置換部117は、図1に示される置換手段25に対応する。
本実施形態において、問合せ部118は、再送パケット判定部112で受信されたパケットが再送パケットではないと判定された場合、問合せパケットを生成し、生成した問合せパケットを問合せサーバ150に送信する。問合せ部118は、再送パケット判定部112で受信されたパケットが再送パケットではないと判定された場合は、新たに問合せパケットを送信しない。
また、本実施形態において、応答パケット送信部120は、応答パケット生成部119が生成した応答パケットを、待機キュー114に格納されるパケットに対する応答して、ユーザ装置130に送信する。応答パケット送信部120は、パケット置換部117が待機キュー114に格納されるパケットを再送パケットで置換した場合、応答パケットを、再送パケットに対する応答としてユーザ装置130に送信する。
図5は、UTM装置110における動作手順(セキュリティ装置における動作方法)を示す。パケット受信部111は、ユーザ装置130からパケットを受信する(ステップS1)。再送パケット判定部112は、ステップS1で受信されたパケットが、再送パケットであるか否かを判定する(ステップS2)。再送パケット判定部112は、ステップS2では、例えばステップS1で受信されたパケットのデータ部分をハッシュ値に変換する。再送パケット判定部112は、再送パケットDB116に、受信されたパケットの送信元、送信先、及びデータ部分のハッシュ値と一致する情報が記憶されているか否かを判断する。再送パケット判定部112は、再送パケットDB116に、受信されたパケットの送信元、送信先、及びデータ部分のハッシュ値と一致する情報が記憶されている場合、受信されたパケットを再送パケットであると判定する。
パケット情報登録部115は、ステップS2で受信されたパケットが再送パケットではないと判定された場合、再送パケットDB116に、ステップS1で受信されたパケットの情報を登録する(ステップS3)。また、パケット格納部113は、ステップS2で受信されたパケットが再送パケットではないと判定された場合、待機キュー114に、ステップS1で受信されたパケットを格納する(ステップS4)。問合せ部118は、ステップS1で受信されたパケットに対する問合せパケットを生成し、生成した問合せパケットを問合せサーバ150に送信する(ステップS5)。
パケット置換部117は、ステップS2で受信されたパケットが再送パケットであると判定された場合、待機キュー114に記憶されるパケットを、ステップS1で受信されたパケット(再送パケット)で置き換える(ステップS6)。パケット置換部117は、ステップS6では、待機キュー114において、送信元、送信先、及びデータ部分がステップS1で受信されるパケットのそれらと同じパケットを検索し、検索されたパケットをステップS1で受信されたパケットで置き換える。
応答パケット生成部119は、問合せサーバ150から回答パケットを受信する(ステップS7)。応答パケット生成部119は、既存のUTM動作に従って、受信した回答パケットに基づいて応答パケットを生成する(ステップS8)。応答パケット送信部120は、応答パケットを、ステップS1で受信されたパケットの送信元のユーザ装置130に送信する(ステップS9)。応答パケット送信部120は、ステップS9では、ステップS8で生成された応答パケットを、待機キュー114に格納されるパケットに対する応答として、ユーザ装置130に送信する。
続いて、UTM装置110が問合せサーバ150に問合せパケットを送信する場合の処理の流れを説明する。UTM装置110のパケット受信部111は、ステップS1において、ユーザ装置130からパケットを受信する。再送パケット判定部112は、ユーザ装置130からデータ部分が同じパケットが既に受信されていない場合、ステップS2において、受信されたパケットは再送パケットではないと判定する。
受信されたパケットが再送パケットではないと判定された場合、パケット情報登録部115は、ステップS3において、再送パケットDB116にステップS1で受信されたパケットの情報を登録する。また、パケット格納部113は、ステップS4において、待機キュー114に、ステップS1で受信されたパケットを格納する。問合せ部118は、ステップS5において、問合せパケットを問合せサーバ150に送信する。問合せパケットの送信後、応答パケット生成部119は、問合せサーバ150から回答パケットが送信されるまで待機する。
次いで、UTM装置110がユーザ装置130から再送パケットを受信した場合の処理の流れを説明する。UTM装置110が問合せサーバ150に問合せパケットを送信した後、ユーザ装置130から送信されたパケットがタイムアウトし、ユーザ装置130が再送パケットを送信したとする。パケット受信部111は、ステップS1で、再送パケットを受信する。再送パケット判定部112は、ステップS2で、再送パケットDB116を参照し、過去に受信され応答待機中であるパケットに、ステップS1で受信された再送パケットと同一のパケットが含まれるか否かを判定する。ユーザ装置130が再送パケットを送信した場合、再送パケットと同一の情報が、再送パケットDB116に記憶されている。その場合、再送パケット判定部112は、ステップS1で受信されたパケットは再送パケットであると判定する。
パケット置換部117は、ステップS6において、待機キュー114に格納される、過去に受信され応答待機中であるパケットを削除し、新たに受信された再送パケットで置き換える。ステップS2で受信されたパケットが再送パケットであると判定された場合、問合せ部118は、新たな問合せパケットを生成しない。応答パケット生成部119は、置き換え前のパケットに対して生成された問合せパケットに対する回答パケットの受信を待機する。
問合せサーバ150は、回答パケットを生成し、UTM装置110に送信する。応答パケット生成部119は、ステップS7において回答パケットを受信し、ステップS8において応答パケットを生成する。応答パケット送信部120は、ステップS9において、応答パケットをユーザ装置130に送信する。応答パケット送信部120は、ユーザ装置130が再送パケットを送信した場合、応答パケットを、ステップS6で置き換えられた最新の再送パケットに対する応答として、ユーザ装置130に送信する。
本実施形態では、再送パケット判定部112は、ユーザ装置130から受信されたパケットが、再送パケットであるか否かを判定する。パケット置換部117は、受信されたパケットが再送パケットであると判定された場合、待機キュー114に格納されるパケットを、再送パケットで置き換える。本実施形態において、UTM装置110は、例えば、負荷が高くなり、UTM装置110での処理能力が低下してユーザ装置130が複数回再送パケットを送信した場合、待機キュー114に格納される再送パケットを、最新のパケットに置き換える。このようにすることで、UTM装置110において、同一の再送パケットが待機キュー114に滞留し、或いは待機キュー114に蓄積することを防止することができる。本実施形態は、待機キュー114内に不要なパケットが滞留することを抑制できるため、UTM装置110の処理性能低下を軽減することができる。また、本実施形態において、UTM装置110は、再送パケットを受信するたびに問合せを行われない。このため、本実施形態は、通信網の負荷を軽減することができる。
本実施形態において、応答パケット生成部119は、1つのユーザ装置130がデータ部分が同じパケットを複数回送信する場合でも、最初に受信されたパケットに対する回答パケットを問合せサーバ150から受信し、応答パケットを生成する。応答パケット送信部120は、過去に問い合わされた問合せパケットに対する回答パケットを、最新の再送パケットに対する応答パケットとして送信することができる。このため、本実施形態は、パケットロスを防止することができる。また、UTM装置110は、最新の再送パケットに対する応答パケットを迅速にユーザ装置130に送信することができ、ユーザ装置130におけるタイムアウトを抑制することができる。
引き続き、UTM装置110のハードウェア構成を説明する。図6は、UTM装置110として用いられ得るコンピュータ装置の構成例を示す。コンピュータ装置500は、制御部(CPU:Central Processing Unit)510、記憶部520、ROM(Read Only Memory)530、RAM(Random Access Memory)540、通信インタフェース(IF:Interface)550、及びユーザインタフェース560を有する。
通信インタフェース550は、有線通信手段又は無線通信手段などを介して、コンピュータ装置500と通信ネットワークとを接続するためのインタフェースである。ユーザインタフェース560は、例えばディスプレイなどの表示部を含む。また、ユーザインタフェース560は、キーボード、マウス、及びタッチパネルなどの入力部を含む。
記憶部520は、各種のデータを保持できる補助記憶装置である。記憶部520は、必ずしもコンピュータ装置500の一部である必要はなく、外部記憶装置であってもよいし、ネットワークを介してコンピュータ装置500に接続されたクラウドストレージであってもよい。
ROM530は、不揮発性の記憶装置である。ROM530には、例えば比較的容量が少ないフラッシュメモリなどの半導体記憶装置が用いられる。CPU510が実行するプログラムは、記憶部520又はROM530に格納され得る。記憶部520及びROM530の少なくとも一方は、例えばUTM装置110内の各部の機能を実現するためのプログラムを記憶する。
上記プログラムは、様々なタイプの非一時的なコンピュータ可読媒体を用いて格納され、コンピュータ装置500に供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記憶媒体を含む。非一時的なコンピュータ可読媒体の例は、例えばフレキシブルディスク、磁気テープ、又はハードディスクなどの磁気記録媒体、例えば光磁気ディスクなどの光磁気記録媒体、CD(compact disc)、又はDVD(digital versatile disk)などの光ディスク媒体、及び、マスクROM、PROM(programmable ROM)、EPROM(erasable PROM)、フラッシュROM、又はRAMなどの半導体メモリを含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体を用いてコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバなどの有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
RAM540は、揮発性の記憶装置である。RAM540には、DRAM(Dynamic Random Access Memory)又はSRAM(Static Random Access Memory)などの各種半導体メモリデバイスが用いられる。RAM540は、データなどを一時的に格納する内部バッファとして用いられ得る。CPU510は、記憶部520又はROM530に格納されたプログラムをRAM540に展開し、実行する。CPU510がプログラムを実行することで、UTM装置110内の各部の機能が実現され得る。待機キュー114及び再送パケットDB116(図3を参照)は、記憶部520、及びRAM540の少なくとも一方を用いて実現され得る。
以上、本開示の実施形態を詳細に説明したが、本開示は、上記した実施形態に限定されるものではなく、本開示の趣旨を逸脱しない範囲で上記実施形態に対して変更や修正を加えたものも、本開示に含まれる。
例えば、上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
[付記1]
ユーザ装置からパケットを受信する受信手段と、
前記受信されたパケットに基づいて問合せパケットを生成し、該生成した問合せパケットをサーバへ送信する問合せ手段と、
前記サーバから問合せパケットに対する回答パケットを受信し、該受信した回答パケットに基づいて応答パケットを生成する応答パケット生成手段と、
前記応答パケットを前記ユーザ装置に送信する応答パケット送信手段と、
前記受信手段が前記パケットを受信した場合、該受信されたパケットが再送パケットであるか否かを判定する判定手段と、
前記判定手段が前記受信されたパケットが再送パケットではないと判定した場合、前記受信されたパケットをキューに格納するパケット格納手段と、
前記判定手段が前記受信されたパケットが再送パケットであると判定した場合、前記キューに格納されるパケットを、前記受信されたパケットで置き換える置換手段とを備え、
前記応答パケット送信手段は、前記回答パケットを、前記キューに格納されるパケットに対する応答として前記ユーザ装置に送信する、セキュリティ装置。
[付記2]
前記問合せ手段は、前記判定手段が前記受信されたパケットが再送パケットではないと判定した場合に前記問合せパケットを生成し、該生成した問合せパケットをサーバへ送信する付記1に記載のセキュリティ装置。
[付記3]
前記キューには、前記サーバから前記応答パケットが受信されるまで、前記パケットが格納される付記1又は2に記載のセキュリティ装置。
[付記4]
前記受信されたパケットの情報を、前記キューに登録されるパケットの情報を記憶するデータベースに登録する情報登録手段を更に有し、
前記判定手段は、前記受信手段が前記パケットを受信した場合、前記データベースを参照し、前記受信されたパケットが再送パケットであるか否かを判定する付記1から3何れか1つに記載のセキュリティ装置。
[付記5]
前記情報登録手段は、前記判定手段が前記受信されたパケットが再送パケットではないと判定した場合、前記受信されたパケットの情報を前記データベースに登録する付記4に記載のセキュリティ装置。
[付記6]
前記判定手段は、前記受信されたパケットの情報と前記データベースに記憶されている情報とを比較し、前記受信されたパケットの情報と一致する情報が前記データベースに記憶されている場合、前記受信されたパケットは再送パケットであると判定する付記4又は5に記載のセキュリティ装置。
[付記7]
前記情報登録手段は、前記受信されたパケットの送信先を示す情報と、前記受信されたパケットの送信元を示す情報と、前記受信されたパケットのデータ部分をハッシュ化した値とを、前記受信されたパケットの情報として前記データベースに登録する付記4から6何れか1つに記載のセキュリティ装置。
[付記8]
前記受信されたパケットの送信先を示す情報は、前記送信先のアドレス情報とポート番号とを含み、前記受信されたパケットの送信元を示す情報は、前記送信元のアドレス情報とポート番号とを含む付記7に記載のセキュリティ装置。
[付記9]
セキュリティ装置と、
前記セキュリティ装置から問合せパケットを受信し、問合せパケットに対する回答パケットを前記セキュリティ装置に送信するサーバを有し、
前記セキュリティ装置は、
ユーザ装置からパケットを受信する受信手段と、
前記受信されたパケットに基づいて問合せパケットを生成し、該生成した問合せパケットをサーバへ送信する問合せ手段と、
前記サーバから前記回答パケットを受信し、該受信した回答パケットに基づいて応答パケットを生成する応答パケット生成手段と、
前記応答パケットを前記ユーザ装置に送信する応答パケット送信手段と、
前記受信手段が前記パケットを受信した場合、該受信されたパケットが再送パケットであるか否かを判定する判定手段と、
前記判定手段が前記受信されたパケットが再送パケットではないと判定した場合、前記受信されたパケットをキューに格納するパケット格納手段と、
前記判定手段が前記受信されたパケットが再送パケットであると判定した場合、前記キューに格納されるパケットを、前記受信されたパケットで置き換える置換手段とを備え、
前記応答パケット送信手段は、前記回答パケットを、前記キューに格納されるパケットに対する応答として前記ユーザ装置に送信する、セキュリティシステム。
[付記10]
前記問合せ手段は、前記判定手段が前記受信されたパケットが再送パケットではないと判定した場合に前記問合せパケットを生成し、該生成した問合せパケットをサーバへ送信する付記9に記載のセキュリティシステム。
[付記11]
前記キューには、前記サーバから前記応答パケットが受信されるまで、前記パケットが格納される付記9又は10に記載のセキュリティシステム。
[付記12]
ユーザ装置からパケットを受信し、
前記受信されたパケットが再送パケットであるか否かを判定し、
前記受信されたパケットが再送パケットではないと判定された場合、前記受信されたパケットをキューに格納し、
前記受信されたパケットが再送パケットであると判定された場合、前記キューに格納されるパケットを、前記受信されたパケットで置き換え、
前記受信されたパケットに基づいて問合せパケットを生成し、該生成した問合せパケットをサーバへ送信し、
前記サーバから問合せパケットに対する回答パケットを受信し、該受信した回答パケットに基づいて応答パケットを生成し、
前記応答パケットを、前記キューに格納されるパケットに対する応答として前記ユーザ装置に送信することを含む、セキュリティ装置における動作方法。
[付記13]
ユーザ装置からパケットを受信し、
前記受信されたパケットが再送パケットであるか否かを判定し、
前記受信されたパケットが再送パケットではないと判定された場合、前記受信されたパケットをキューに格納し、
前記受信されたパケットが再送パケットであると判定された場合、前記キューに格納されるパケットを、前記受信されたパケットで置き換え、
前記受信されたパケットに基づいて問合せパケットを生成し、該生成した問合せパケットをサーバへ送信し、
前記サーバから問合せパケットに対する回答パケットを受信し、該受信した回答パケットに基づいて応答パケットを生成し、
前記応答パケットを、前記キューに格納されるパケットに対する応答として前記ユーザ装置に送信する処理をセキュリティ装置に実施させるためのプログラム。
10:セキュリティシステム
20:セキュリティ装置
21:受信手段
22:判定手段
23:パケット格納手段
24:キュー
25:置換手段
26:問合せ手段
27:応答パケット生成手段
28:応答パケット送信手段
30:ユーザ装置
40:サーバ
100:セキュリティシステム
110:UTM装置
111:パケット受信部
112:再送パケット判定部
113:パケット格納部
114:待機キュー
115:パケット情報登録部
116:再送パケットDB
117:パケット置換部
118:問合せ部
119:応答パケット生成部
120:応答パケット送信部
130:ユーザ装置
150:問合せサーバ

Claims (10)

  1. ユーザ装置からパケットを受信する受信手段と、
    前記受信されたパケットに基づいて問合せパケットを生成し、該生成した問合せパケットをサーバへ送信する問合せ手段と、
    前記サーバから問合せパケットに対する回答パケットを受信し、該受信した回答パケットに基づいて応答パケットを生成する応答パケット生成手段と、
    前記応答パケットを前記ユーザ装置に送信する応答パケット送信手段と、
    前記受信手段が前記パケットを受信した場合、該受信されたパケットが再送パケットであるか否かを判定する判定手段と、
    前記判定手段が前記受信されたパケットが再送パケットではないと判定した場合、前記受信されたパケットをキューに格納するパケット格納手段と、
    前記判定手段が前記受信されたパケットが再送パケットであると判定した場合、前記キューに格納されるパケットを、前記受信されたパケットで置き換える置換手段とを備え、
    前記応答パケット送信手段は、前記回答パケットを、前記キューに格納されるパケットに対する応答として前記ユーザ装置に送信する、セキュリティ装置。
  2. 前記問合せ手段は、前記判定手段が前記受信されたパケットが再送パケットではないと判定した場合に前記問合せパケットを生成し、該生成した問合せパケットをサーバへ送信する請求項1に記載のセキュリティ装置。
  3. 前記キューには、前記サーバから前記応答パケットが受信されるまで、前記パケットが格納される請求項1又は2に記載のセキュリティ装置。
  4. 前記受信されたパケットの情報を、前記キューに登録されるパケットの情報を記憶するデータベースに登録する情報登録手段を更に有し、
    前記判定手段は、前記受信手段が前記パケットを受信した場合、前記データベースを参照し、前記受信されたパケットが再送パケットであるか否かを判定する請求項1から3何れか1項に記載のセキュリティ装置。
  5. 前記情報登録手段は、前記判定手段が前記受信されたパケットが再送パケットではないと判定した場合、前記受信されたパケットの情報を前記データベースに登録する請求項4に記載のセキュリティ装置。
  6. 前記判定手段は、前記受信されたパケットの情報と前記データベースに記憶されている情報とを比較し、前記受信されたパケットの情報と一致する情報が前記データベースに記憶されている場合、前記受信されたパケットは再送パケットであると判定する請求項4又は5に記載のセキュリティ装置。
  7. 前記情報登録手段は、前記受信されたパケットの送信先を示す情報と、前記受信されたパケットの送信元を示す情報と、前記受信されたパケットのデータ部分をハッシュ化した値とを、前記受信されたパケットの情報として前記データベースに登録する請求項4から6何れか1項に記載のセキュリティ装置。
  8. セキュリティ装置と、
    前記セキュリティ装置から問合せパケットを受信し、問合せパケットに対する回答パケットを前記セキュリティ装置に送信するサーバを有し、
    前記セキュリティ装置は、
    ユーザ装置からパケットを受信する受信手段と、
    前記受信されたパケットに基づいて問合せパケットを生成し、該生成した問合せパケットをサーバへ送信する問合せ手段と、
    前記サーバから前記回答パケットを受信し、該受信した回答パケットに基づいて応答パケットを生成する応答パケット生成手段と、
    前記応答パケットを前記ユーザ装置に送信する応答パケット送信手段と、
    前記受信手段が前記パケットを受信した場合、該受信されたパケットが再送パケットであるか否かを判定する判定手段と、
    前記判定手段が前記受信されたパケットが再送パケットではないと判定した場合、前記受信されたパケットをキューに格納するパケット格納手段と、
    前記判定手段が前記受信されたパケットが再送パケットであると判定した場合、前記キューに格納されるパケットを、前記受信されたパケットで置き換える置換手段とを備え、
    前記応答パケット送信手段は、前記回答パケットを、前記キューに格納されるパケットに対する応答として前記ユーザ装置に送信する、セキュリティシステム。
  9. ユーザ装置からパケットを受信し、
    前記受信されたパケットが再送パケットであるか否かを判定し、
    前記受信されたパケットが再送パケットではないと判定された場合、前記受信されたパケットをキューに格納し、
    前記受信されたパケットが再送パケットであると判定された場合、前記キューに格納されるパケットを、前記受信されたパケットで置き換え、
    前記受信されたパケットに基づいて問合せパケットを生成し、該生成した問合せパケットをサーバへ送信し、
    前記サーバから問合せパケットに対する回答パケットを受信し、該受信した回答パケットに基づいて応答パケットを生成し、
    前記応答パケットを、前記キューに格納されるパケットに対する応答として前記ユーザ装置に送信することを含む、セキュリティ装置における動作方法。
  10. ユーザ装置からパケットを受信し、
    前記受信されたパケットが再送パケットであるか否かを判定し、
    前記受信されたパケットが再送パケットではないと判定された場合、前記受信されたパケットをキューに格納し、
    前記受信されたパケットが再送パケットであると判定された場合、前記キューに格納されるパケットを、前記受信されたパケットで置き換え、
    前記受信されたパケットに基づいて問合せパケットを生成し、該生成した問合せパケットをサーバへ送信し、
    前記サーバから問合せパケットに対する回答パケットを受信し、該受信した回答パケットに基づいて応答パケットを生成し、
    前記応答パケットを、前記キューに格納されるパケットに対する応答として前記ユーザ装置に送信する処理をセキュリティ装置に実施させるためのプログラム。
JP2021023187A 2021-02-17 2021-02-17 セキュリティシステム、セキュリティ装置、方法、及びプログラム Pending JP2022125546A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021023187A JP2022125546A (ja) 2021-02-17 2021-02-17 セキュリティシステム、セキュリティ装置、方法、及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021023187A JP2022125546A (ja) 2021-02-17 2021-02-17 セキュリティシステム、セキュリティ装置、方法、及びプログラム

Publications (1)

Publication Number Publication Date
JP2022125546A true JP2022125546A (ja) 2022-08-29

Family

ID=83058474

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021023187A Pending JP2022125546A (ja) 2021-02-17 2021-02-17 セキュリティシステム、セキュリティ装置、方法、及びプログラム

Country Status (1)

Country Link
JP (1) JP2022125546A (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6700871B1 (en) * 1999-05-04 2004-03-02 3Com Corporation Increased throughput across data network interface by dropping redundant packets
JP2008048326A (ja) * 2006-08-21 2008-02-28 Fujitsu Ltd 無線受信装置
JP2017212696A (ja) * 2016-05-27 2017-11-30 日本電信電話株式会社 端末隔離通知システム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6700871B1 (en) * 1999-05-04 2004-03-02 3Com Corporation Increased throughput across data network interface by dropping redundant packets
JP2008048326A (ja) * 2006-08-21 2008-02-28 Fujitsu Ltd 無線受信装置
JP2017212696A (ja) * 2016-05-27 2017-11-30 日本電信電話株式会社 端末隔離通知システム

Similar Documents

Publication Publication Date Title
US8799507B2 (en) Longest prefix match searches with variable numbers of prefixes
CN109547580B (zh) 一种处理数据报文的方法和装置
JP2022552986A (ja) 情報送信方法、装置、読み取り可能な記憶媒体及び電子装置
US20200382578A1 (en) Communication Method, System and Apparatus
US20150215236A1 (en) Method and apparatus for locality sensitive hash-based load balancing
US10178033B2 (en) System and method for efficient traffic shaping and quota enforcement in a cluster environment
CN101789905A (zh) 防止未知组播攻击cpu的方法和设备
CN110430135B (zh) 一种报文处理方法和装置
US10587515B2 (en) Stateless information centric forwarding using dynamic filters
CN102932269A (zh) 负载均衡的实现方法和装置
JP2021039802A (ja) データ処理システム、及びデータ処理方法
JP6886874B2 (ja) エッジ装置、データ処理システム、データ送信方法、及びプログラム
CN110545230B (zh) 用于转发vxlan报文的方法和装置
JPWO2014155617A1 (ja) 通信装置、通信方法、及び通信プログラム
WO2022057131A1 (zh) 数据拥塞处理方法、装置、计算机设备和存储介质
US11063863B2 (en) Systems and methods for transmitting and receiving interest messages
US11444882B2 (en) Methods for dynamically controlling transmission control protocol push functionality and devices thereof
US8819107B2 (en) Relay apparatus, recording medium storing a relay program, and a relay method
JP2022125546A (ja) セキュリティシステム、セキュリティ装置、方法、及びプログラム
EP3408989B1 (en) Detecting malware on spdy connections
US11330074B2 (en) TCP (transmission control protocol) fast open for classification acceleration of cache misses in a network processor
CN106209666A (zh) 一种基于负载均衡器的链路复用方法及系统
US20240348643A1 (en) Server connection resets based on domain name server (dns) information
US9729445B2 (en) Communication device and communication control method
US12079136B1 (en) Cache look up during packet processing by uniformly caching non-uniform lengths of payload data in a dual-stage cache of packet processors

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220603

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230427

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230509

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20231107