JP4063771B2 - ルータ - Google Patents

ルータ Download PDF

Info

Publication number
JP4063771B2
JP4063771B2 JP2004001363A JP2004001363A JP4063771B2 JP 4063771 B2 JP4063771 B2 JP 4063771B2 JP 2004001363 A JP2004001363 A JP 2004001363A JP 2004001363 A JP2004001363 A JP 2004001363A JP 4063771 B2 JP4063771 B2 JP 4063771B2
Authority
JP
Japan
Prior art keywords
packet
registered
time
unit
source address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2004001363A
Other languages
English (en)
Other versions
JP2005197959A (ja
Inventor
利光 松浦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Platforms Ltd
Original Assignee
NEC AccessTechnica Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC AccessTechnica Ltd filed Critical NEC AccessTechnica Ltd
Priority to JP2004001363A priority Critical patent/JP4063771B2/ja
Publication of JP2005197959A publication Critical patent/JP2005197959A/ja
Application granted granted Critical
Publication of JP4063771B2 publication Critical patent/JP4063771B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、第1ネットワークからのパケットを第2ネットワークに転送するルータに関する。
コンピュータウイルスをネットワーク上にばらまくために、多量のパケットを送信する端末(異常端末)が存在する。異常端末からの多量のパケットが第1ネットワーク{例示;LAN(Local Area Network)}からルータを介して第2ネットワーク{例示;WAN(Wide Area Network)}に転送される場合、コンピュータウイルスが第2ネットワーク上に拡散されてしまう。
ルータは、通常、パケットフィルタリング機能を有し、このパケットフィルタリング機能は、特定条件に一致するパケットをフィルタリングするものである。特定条件として、例えば、事前に送信元アドレスと宛先アドレスとをデータベースに登録しておき、データベースに登録された送信元アドレスと宛先アドレスとに基づいて、フィルタリングしている。このようなルータとして、特許文献1には、不正なパケットを破棄しても、不正なパケットによる伝送媒体の占有を防止するパケットフィルタ機能付きルータ装置が記載されている。しかしながら、異常端末から第1ネットワークに送信された多量のパケットが特定条件に一致するパケットである場合、コンピュータウイルスがルータを介して第2ネットワーク上に拡散されてしまう。
パケットの転送に関する技術として、特許文献2には、攻撃パケットによる攻撃を防御する侵入検知・防御装置が記載されている。また、特許文献3には、不正アクセスに関わるパケットの転送を効率よく禁止することが可能なパケット転送装置が記載されている。また、特許文献4には、外部ネットワークから企業内情報ネットワークへの不正アクセスを検出し、不正パケットの送信元探知を可能とするネットワーク監視システムが記載されている。
特開平9−270813号公報 特開2003−99339号公報 特開2003−179647号公報 特開2000−261483号公報
本発明の課題は、異常端末からの多量のパケットの通過を防止することができるルータを提供することにある。
本発明の他の課題は、記憶容量を低減することができるルータを提供することにある。
本発明の更に他の課題は、異常端末のユーザを特定することができるルータを提供することにある。
以下に、[発明を実施するための最良の形態]で使用する番号・符号を用いて、課題を解決するための手段を説明する。これらの番号・符号は、[特許請求の範囲]の記載と[発明を実施するための最良の形態]の記載との対応関係を明らかにするために付加されたものであるが、[特許請求の範囲]に記載されている発明の技術的範囲の解釈に用いてはならない。
本発明のルータは、第1ネットワークからのパケットを受信する第1インタフェース部(1/5)と、パケットの転送の可否を判定するフィルタ処理部(6)と、パケットの転送が許可されたとき、パケットを第2ネットワークに送信する第2インタフェース部(5/1)とを具備する。パケットは、送信元アドレスと宛先アドレスとを含む。フィルタ処理部(6)は、第1所定時間において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数が設定数以下である場合、パケットの転送を許可し、上記数が設定数を超えた場合、パケットを破棄する。
異常端末は、コンピュータウイルスを他のネットワーク(第2ネットワーク)上にばらまくために、多量のパケットを送信する。このため、異常端末から送信される多量のパケットの宛先アドレスは異なる傾向にある。本発明のルータによれば、第1所定時間において、異なる宛先アドレスと同一の送信元アドレス(異常端末のアドレス)とを有するパケットの数が設定数を超えた場合、パケットを破棄するため、異常端末(同一の送信元アドレス)からの多量のパケットの通過を防止することができる。
本発明のルータにおいて、フィルタ処理部(6)は、テーブル(11、12、21、22)と、不特定パケット配送判定部(7)と、不正パケット防止部(9)とを具備する。不特定パケット配送判定部(7)は、同一の送信元アドレスをテーブル(11、12、21、22)に登録する。
不特定パケット配送判定部(7)は、第1所定時間において、上記数が設定数以下である場合、パケットの転送を許可し、上記数が設定数を超えた場合、パケットの転送の拒否を表す不許可情報を同一の送信元アドレスに対応付けてテーブル(11、12、21、22)に登録する。
不正パケット防止部(9)は、テーブル(11、12、21、22)を参照して、不許可情報に基づいてパケットを破棄する。
本発明のルータによれば、第1所定時間において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数が設定数を超えた場合、不許可情報を同一の送信元アドレス(異常端末のアドレス)に対応付けてテーブル(11、12、21、22)に登録するため、異常端末(同一の送信元アドレス)から多量のパケットが再度送信されても、テーブル(11、12、21、22)を参照して、異常端末(同一の送信元アドレス)からの多量のパケットの通過を防止することができる。
本発明の第1の態様に係るルータにおいて、テーブル(11、12)には、同一の送信元アドレスに対応付けられて、登録数と登録宛先アドレスと登録時刻とが登録される。登録時刻は、登録宛先アドレスがテーブル(11、12)に登録されたときの時刻である。
不特定パケット配送判定部(7)は、テーブル(11、12)を参照して、登録時刻から第2所定時間が経過したときに、第2所定時間が経過した登録時刻と、第2所定時間が経過した登録時刻に対応する登録宛先アドレスとを消去し、上記消去された登録宛先アドレスに対応する登録数から、上記消去された登録宛先アドレスの数だけ減算する。第2所定時間は、第1所定時間よりも長い。
不特定パケット配送判定部(7)は、第1所定時間において、上記異なる宛先アドレスのうち、登録宛先アドレスに一致しない宛先アドレスを同一の送信元アドレスに対応付けてテーブル(11、12)に登録し、現在の時刻を登録時刻として上記一致しない宛先アドレスに対応付けてテーブル(11、12)に登録し、上記一致しない宛先アドレスの数を登録数に加算して上記数として同一の送信元アドレスに対応付けてテーブル(11、12)に登録する。
本発明の第1の態様に係るルータによれば、テーブル(11、12)を用いて同一の送信元アドレスと宛先アドレス(登録宛先アドレス)とを管理する場合、第2所定時間が経過した情報(登録宛先アドレス、登録時刻)をテーブル(11、12)から消去することが好ましい。このため、本発明の第1の態様に係るルータによれば、第1所定時間において異常端末(同一の送信元アドレス)から送信された多量のパケットの通過を防止することができる上に、テーブル(11、12)に登録される記憶容量が従来(例示;特許文献1)よりも低減される。
本発明の第1の態様に係るルータにおいて、不特定パケット配送判定部(7)は、テーブル(11、12)を参照して、第1所定時間において、上記異なる宛先アドレスのうちの登録宛先アドレスに一致する宛先アドレスに対応する登録時刻を現在の時刻に更新する。
本発明の第1の態様に係るルータによれば、テーブル(11、12)を用いて同一の送信元アドレスと宛先アドレス(登録宛先アドレス)とを管理する場合、同一の送信元アドレスから送信された多量のパケットの宛先アドレスのうちの登録宛先アドレスに一致する宛先アドレスに対応する登録時刻を現在の時刻に更新することが好ましい。
本発明の第2の態様に係るルータにおいて、テーブル(21、22)には、同一の送信元アドレスに対応付けられて、ハッシュ登録数と登録ハッシュ値と登録時刻とが登録される。登録時刻は、登録ハッシュ値がテーブル(21、22)に登録されたときの時刻である。
不特定パケット配送判定部(7)は、テーブル(21、22)を参照して、登録時刻から第2所定時間が経過したときに、第2所定時間が経過した登録時刻と、第2所定時間が経過した登録時刻に対応する登録ハッシュ値とを消去し、上記消去された登録ハッシュ値に対応するハッシュ値登録数から、上記消去された登録ハッシュ値の数だけ減算する。第2所定時間は、第1所定時間よりも長い。
不特定パケット配送判定部(7)は、第1所定時間において、上記異なる宛先アドレスに基づいてハッシュ値を算出し、上記算出されたハッシュ値のうち、登録ハッシュ値に一致しないハッシュ値を同一の送信元アドレスに対応付けてテーブル(21、22)に登録し、現在の時刻を登録時刻として上記一致しないハッシュ値に対応付けてテーブル(21、22)に登録し、上記一致しないハッシュ値の数をハッシュ登録数に加算して上記数として同一の送信元アドレスに対応付けてテーブル(21、22)に登録する。
本発明の第2の態様に係るルータによれば、テーブル(21、22)を用いて同一の送信元アドレスとハッシュ値(登録ハッシュ値)とを管理する場合、第2所定時間が経過した情報(登録ハッシュ値、登録時刻)をテーブル(21、22)から消去することが好ましい。ハッシュ値(登録ハッシュ値)がテーブル(21、22)に登録される記憶容量は、宛先アドレス(登録宛先アドレス)がテーブル(21、22)に登録される記憶容量よりも小さい。このため、本発明の第2の態様に係るルータによれば、第1所定時間において異常端末(同一の送信元アドレス)から送信された多量のパケットの通過を防止することができる上に、テーブル(21、22)に登録される記憶容量が本発明の第1の態様に係るルータにおけるテーブル(11、12)の記憶容量よりも低減される。
本発明の第2の態様に係るルータにおいて、不特定パケット配送判定部(7)は、テーブル(21、22)を参照して、第1所定時間において、上記算出されたハッシュ値のうちの登録ハッシュ値に一致するハッシュ値に対応する登録時刻を現在の時刻に更新する。
本発明の第2の態様に係るルータによれば、テーブル(11、12)を用いて同一の送信元アドレスとハッシュ値(登録ハッシュ値)とを管理する場合、同一の送信元アドレスから送信された多量のパケットの宛先アドレスに基づいて計算されたハッシュ値のうちの登録ハッシュ値に一致するハッシュ値に対応する登録時刻を現在の時刻に更新することが好ましい。
本発明のルータは、更に、管理者に利用される警報器(8)を具備する。
不特定パケット配送判定部(7)は、テーブル(11、12、21、22)を参照して、第1所定時間において、上記数が設定数を超えた場合、不許可情報を同一の送信元アドレスに対応付けてテーブル(11、12、21、22)に登録すると共に、パケットの転送が拒否された旨を表す警報情報を警報器(8)に出力する。警報情報は、同一の送信元アドレスを含む。
警報器(8)は、警報情報に基づいて、パケットの転送が拒否された旨を管理者に通知する。
本発明のルータによれば、第1所定時間において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数が設定数を超えた場合、同一の送信元アドレス(異常端末のアドレス)を含む警報情報を管理者に通知するため、異常端末(同一の送信元アドレス)のユーザを特定することができる。即ち、管理者は、直ちに、異常端末のユーザを把握することができ、異常端末のユーザに警告状を通達したり、取締機関(例示;警察)に通報することができる。
警報器(8)は、警報情報を表示する表示部を含む。
本発明のルータによれば、異常端末(同一の送信元アドレス)のユーザを特定するために、警報情報が表示されることが好ましい。
第1ネットワークと第1インタフェース部(1)は、LAN(Local Area Network)に適用される。第2ネットワークと第2インタフェース部(5)は、WAN(Wide Area Network)に適用される。
第1ネットワークと第1インタフェース部(5)は、WAN(Wide Area Network)に適用される。第2ネットワークと第2インタフェース部(1)は、LAN(Local Area Network)に適用される。
以上の説明により、本発明のルータは、異常端末からの多量のパケットの通過を防止することができる。
本発明のルータは、記憶容量を低減することができる。
本発明のルータは、異常端末のユーザを特定することができる。
添付図面を参照して、本発明によるルータを実施するための最良の形態を以下に説明する。
(第1実施形態)
図1は、本発明の第1実施形態に係るルータの構成を示すブロック図である。本発明の第1実施形態に係るルータは、コンピュータであるLAN(Local Area Network)インタフェース部1、LANフィルタインタフェース部2、配送処理部3、WAN(Wide Area Network)フィルタインタフェース部4、WANインタフェース部5、フィルタ処理部6と、警報器であるアラーム表示部8とを具備する。フィルタ処理部6は、パケットフィルタリング機能を有する。LANインタフェース部1は、LANとLANフィルタインタフェース部2とに接続されている。LANフィルタインタフェース部2は、配送処理部3とフィルタ処理部6とに接続されている。WANフィルタインタフェース部4は、配送処理部3とフィルタ処理部6とに接続されている。WANインタフェース部5は、WANとWANフィルタインタフェース部4とに接続されている。フィルタ処理部6は、アラーム表示部8に接続されている。
LANインタフェース部1は、LANからのパケットを受信してLANフィルタインタフェース部2に転送する。パケットのヘッダは、送信元アドレスと宛先アドレスとを含む。
LANインタフェース部1は、LANフィルタインタフェース部2から受け取ったパケットをLANに転送する。
LANフィルタインタフェース部2は、LANインタフェース部1からパケットを受け取ったとき、LANインタフェース部1からのパケットであることを表す情報をパケットに付加してフィルタ処理部6に出力する。LANフィルタインタフェース部2は、フィルタ処理部6からパケットを受け取った場合、受け取ったパケットを配送処理部3に転送する。
LANフィルタインタフェース部2は、配送処理部3からパケットを受け取ったとき、配送処理部3からのパケットであることを表す情報をパケットに付加してフィルタ処理部6に出力する。LANフィルタインタフェース部2は、フィルタ処理部6からパケットを受け取った場合、受け取ったパケットをLANインタフェース部1に転送する。
配送処理部3は、LANフィルタインタフェース部2からパケットを受け取り、受け取ったパケットの宛先アドレスに従って、予め決められた配送経路にパケットを受け渡す。予め決められた配送経路として、受け取ったパケットの宛先アドレスがLANに適用される場合、配送処理部3は、受け取ったパケットをLANフィルタインタフェース部2に転送する。予め決められた配送経路として、受け取ったパケットの宛先アドレスがWANに適用される場合、配送処理部3は、受け取ったパケットをWANフィルタインタフェース部4に転送する。
配送処理部3は、WANフィルタインタフェース部4からパケットを受け取り、受け取ったパケットの宛先アドレスに従って、予め決められた配送経路にパケットを受け渡す。予め決められた配送経路として、受け取ったパケットの宛先アドレスがLANに適用される場合、配送処理部3は、受け取ったパケットをLANフィルタインタフェース部2に転送する。予め決められた配送経路として、受け取ったパケットの宛先アドレスがWANに適用される場合、配送処理部3は、受け取ったパケットをWANフィルタインタフェース部4に転送する。
WANフィルタインタフェース部4は、WANインタフェース部5からパケットを受け取ったとき、WANインタフェース部5からのパケットであることを表す情報をパケットに付加してフィルタ処理部6に出力する。WANフィルタインタフェース部4は、フィルタ処理部6からパケットを受け取った場合、受け取ったパケットを配送処理部3に転送する。
WANフィルタインタフェース部4は、配送処理部3からパケットを受け取ったとき、配送処理部3からのパケットであることを表す情報をパケットに付加してフィルタ処理部6に出力する。WANフィルタインタフェース部4は、フィルタ処理部6からパケットを受け取った場合、受け取ったパケットをWANインタフェース部5に転送する。
WANインタフェース部5は、WANからのパケットを受信してWANフィルタインタフェース部4に転送する。
WANインタフェース部5は、WANフィルタインタフェース部4から受け取ったパケットをWANに送信する。
フィルタ処理部6は、不特定パケット配送判定部7と、不正パケット防止部9と、記憶部10とを具備する。記憶部10には、LAN用テーブル11と、WAN用テーブル12とが格納されている。LAN用テーブル11とWAN用テーブル12との詳細は後述する。
不特定パケット配送判定部7は、LANフィルタインタフェース部2からパケットを受け取り、LAN用テーブル11を参照する。不特定パケット配送判定部7は、単位時間(第1所定時間)において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数が設定数以下である場合、パケットをLANフィルタインタフェース部2に出力する(返す)。不特定パケット配送判定部7は、単位時間において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数が設定数を超えた場合、パケットの転送の拒否を表す不許可情報をLAN用テーブル11に登録して、その不許可情報をLANフィルタインタフェース部2と不正パケット防止部9とに出力する。このとき、不特定パケット配送判定部7は、パケットの転送が拒否された旨を表す警報情報をアラーム表示部8に出力する。この警報情報は、同一の送信元アドレスを含む。
不特定パケット配送判定部7は、WANフィルタインタフェース部4からパケットを受け取り、WAN用テーブル12を参照する。不特定パケット配送判定部7は、単位時間において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数が設定数以下である場合、パケットをWANフィルタインタフェース部4に出力する(返す)。不特定パケット配送判定部7は、単位時間において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数が設定数を超えた場合、パケットの転送の拒否を表す不許可情報をWAN用テーブル12に登録してWANフィルタインタフェース部4と不正パケット防止部9とに出力する。このとき、不特定パケット配送判定部7は、パケットの転送が拒否された旨を表す警報情報をアラーム表示部8に出力する。この警報情報は、同一の送信元アドレスを含む。
不正パケット防止部9は、LAN用テーブル11を参照して、不許可情報に基づいて、LANフィルタインタフェース部2からのパケットを破棄する。
不正パケット防止部9は、WAN用テーブル12を参照して、不許可情報に基づいて、WANフィルタインタフェース部4からのパケットを破棄する。
異常端末は、コンピュータウイルスを他のネットワーク上にばらまくために、多量のパケットを送信する。このため、異常端末から送信される多量のパケットの宛先アドレスは異なる傾向にある。本発明のルータによれば、単位時間(第1所定時間)において、異なる宛先アドレスと同一の送信元アドレス(異常端末のアドレス)とを有するパケットの数が設定数を超えた場合、パケットを破棄するため、異常端末(同一の送信元アドレス)からの多量のパケットの通過を防止することができる。
アラーム表示部8は、ネットワーク(LAN、WAN、本発明のルータ)の管理者に利用される。アラーム表示部8は、不特定パケット配送判定部7からの警報情報に基づいて、パケットの転送が拒否された旨を管理者に通知する。アラーム表示部8が通知する手段としては、LED表示、アラーム音、ディスプレイ表示、メール通知が例示される。例えば、アラーム表示部8が表示部を備える場合、アラーム表示部8は、不特定パケット配送判定部7からの警報情報(同一の送信元アドレス)を表示部に表示する(ディスプレイ表示する)。
本発明のルータによれば、単位時間(第1所定時間)において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数が設定数を超えた場合、同一の送信元アドレス(異常端末のアドレス)を含む警報情報を管理者に通知するため、異常端末(同一の送信元アドレス)のユーザを特定することができる。即ち、管理者は、直ちに、異常端末のユーザを把握することができ、異常端末のユーザに警告状を通達したり、取締機関(例示;警察)に通報することができる。
図2は、本発明の第1実施形態に係るルータが第1インタフェース部によりパケットを受信して第2インタフェース部によりパケットを送信するときの動作を示すフローチャートである。ここで、第1インタフェース部がLANインタフェース部1である場合、第1インタフェース部に接続された第1フィルタインタフェース部がLANフィルタインタフェース部2であり、第2インタフェース部がWANインタフェース部5である場合、第2インタフェース部に接続された第2フィルタインタフェース部がWANフィルタインタフェース部4である。また、第1インタフェース部がWANインタフェース部5である場合、第1インタフェース部に接続された第1フィルタインタフェース部がWANフィルタインタフェース部4であり、第2インタフェース部がLANインタフェース部1である場合、第2インタフェース部に接続された第2フィルタインタフェース部がLANフィルタインタフェース部2である。
以下の説明では、第1インタフェース部をLANインタフェース部1とし、第1フィルタインタフェース部をLANフィルタインタフェース部2とし、第2インタフェース部をWANインタフェース部5とし、第2フィルタインタフェース部をWANフィルタインタフェース部4とする。
第1インタフェース部(LANインタフェース部1)は、LANからのパケットを受信して第1フィルタインタフェース部(LANフィルタインタフェース部2)に転送する(ステップS1)。
第1フィルタインタフェース部(LANフィルタインタフェース部2)は、LANインタフェース部1からパケットを受け取り、受け取ったパケットについてフィルタ処理部6に必要な情報(送信元アドレス、宛先アドレス)の解析を行う。LANフィルタインタフェース部2は、解析の結果、LANインタフェース部1からのパケットであることを表す情報をパケットに付加してフィルタ処理部6に出力する(ステップS2)。
フィルタ処理部6の不特定パケット配送判定部7は、LANフィルタインタフェース部2からのパケットを受け取り、LAN用テーブル11を参照して、LANフィルタインタフェース部2からのパケットの転送を許可するか否かを判定する(ステップS3)。
不特定パケット配送判定部7は、ステップS3にてLANフィルタインタフェース部2からのパケットの転送を許可するか否かを判定した結果、単位時間において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数が設定数を超えた場合、不許可情報をLAN用テーブル11に登録してLANフィルタインタフェース部2と不正パケット防止部9とに出力し、警報情報をアラーム表示部8に出力する(ステップS3−不許可)。不正パケット防止部9は、LAN用テーブル11を参照して、不許可情報に基づいて、LANフィルタインタフェース部2からのパケットを破棄する(ステップS4)。その後、本発明の第1実施形態に係るルータは、第1インタフェース部(LANインタフェース部1)によりパケットの受信を行う(ステップS1を実行する)。
不特定パケット配送判定部7は、ステップS3にてLANフィルタインタフェース部2からのパケットの転送を許可するか否かを判定した結果、単位時間において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数が設定数以下である場合、パケットをLANフィルタインタフェース部2に返す(ステップS3−許可)。LANフィルタインタフェース部2は、フィルタ処理部6からのパケットを配送処理部3に転送する。
配送処理部3は、LANフィルタインタフェース部2からのパケットを受け取り、そのパケットの宛先アドレスに従って、受け取ったパケットを第2フィルタインタフェース部(WANフィルタインタフェース部4)に転送する(ステップS5)。
第2フィルタインタフェース部(WANフィルタインタフェース部4)は、配送処理部3からパケットを受け取り、受け取ったパケットについてフィルタ処理部6に必要な情報(送信元アドレス、宛先アドレス)の解析を行う。WANフィルタインタフェース部4は、解析の結果、配送処理部3からのパケットであることを表す情報をパケットに付加してフィルタ処理部6に出力する(ステップS6)。
フィルタ処理部6の不特定パケット配送判定部7は、WANフィルタインタフェース部4からのパケットを受け取り、WAN用テーブル12を参照して、WANフィルタインタフェース部4からのパケットの転送を許可するか否かを判定する(ステップS7)。
不特定パケット配送判定部7は、ステップS7にてWANフィルタインタフェース部4からのパケットの転送を許可するか否かを判定した結果、単位時間において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数が設定数を超えた場合、不許可情報をWAN用テーブル12に登録してWANフィルタインタフェース部4と不正パケット防止部9とに出力し、警報情報をアラーム表示部8に出力する(ステップS7−不許可)。不正パケット防止部9は、WAN用テーブル12を参照して、不許可情報に基づいて、WANフィルタインタフェース部4からのパケットを破棄する(ステップS9)。その後、本発明の第1実施形態に係るルータは、第1インタフェース部(LANインタフェース部1)によりパケットの受信を行う(ステップS1を実行する)。
不特定パケット配送判定部7は、ステップS7にてWANフィルタインタフェース部4からのパケットの転送を許可するか否かを判定した結果、単位時間において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数が設定数以下である場合、パケットをWANフィルタインタフェース部4に返す(ステップS7−許可)。WANフィルタインタフェース部4は、フィルタ処理部6からのパケットを第2インタフェース部(LANインタフェース部5)に転送する。
第2インタフェース部(LANインタフェース部5)は、第2フィルタインタフェース部(WANフィルタインタフェース部4)からのパケットをWANに送信する。その後、本発明の第1実施形態に係るルータは、第1インタフェース部(LANインタフェース部1)によりパケットの受信を行う(ステップS1を実行する)。
本発明のルータによれば、上述のように、単位時間(第1所定時間)において、異なる宛先アドレスと同一の送信元アドレス(異常端末のアドレス)とを有するパケットの数が設定数を超えた場合、パケットを破棄する。このため、異常端末(同一の送信元アドレス)から第1ネットワーク(LAN)に送信された多量のパケット(コンピュータウイルス)が第2ネットワーク(WAN)上に拡散されることを防止することができる。
図3は、本発明の第1実施形態に係るルータにおけるLAN用テーブル11、WAN用テーブル12に登録される情報を示す。LAN用テーブル11、WAN用テーブル12には、送信元アドレスと判定情報と、登録数と、登録宛先アドレスと、登録時刻とが対応付けられて登録される。登録時刻は、登録宛先アドレスがLAN用テーブル11、WAN用テーブル12に登録されたときの時刻である。
例えば、LANフィルタインタフェース部2からのパケットの送信元アドレスがLAN用テーブル11に登録されていないものとする。
この場合、前述のステップS3にて、不特定パケット配送判定部7は、LANフィルタインタフェース部2からのパケットを受け取り、送信元アドレスをLAN用テーブル11に登録する。不特定パケット配送判定部7は、単位時間において、LANフィルタインタフェース部2からのパケットの宛先アドレスを登録宛先アドレスとして同一の送信元アドレスに対応付けてLAN用テーブル11に登録し、現在の時刻を登録時刻として上記の登録宛先アドレス(登録された宛先アドレス)に対応付けてLAN用テーブル11に登録する。また、不特定パケット配送判定部7は、単位時間において、登録宛先アドレスの数を登録数(即ち、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数)として同一の送信元アドレスに対応付けてLAN用テーブル11に登録する。
このように、不特定パケット配送判定部7は、単位時間において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数をカウントする。
例えば、LANフィルタインタフェース部2からのパケットの送信元アドレスがLAN用テーブル11に登録されていて、この送信元アドレスに対応付けられて判定情報(許可情報又は不許可情報)、登録数、登録宛先アドレス、登録時刻が対応付けられてLAN用テーブル11に登録されているものとする。
この場合、不特定パケット配送判定部7は、LAN用テーブル11を参照して、登録時刻から設定単位時間(第2所定時間)が経過したか否かを調べる。設定単位時間(第2所定時間)は、上記の単位時間(第1所定時間)よりも長い。不特定パケット配送判定部7は、LAN用テーブル11を参照して、登録時刻から設定単位時間が経過したときに、設定単位時間が経過した登録時刻と、設定単位時間が経過した登録時刻に対応する登録宛先アドレスとを消去し、上記消去された登録宛先アドレスに対応する登録数から、上記消去された登録宛先アドレスの数だけ減算する。
前述のステップS3にて、不特定パケット配送判定部7は、LANフィルタインタフェース部2からのパケットを受け取り、LAN用テーブル11を参照する。不特定パケット配送判定部7は、単位時間において、LANフィルタインタフェース部2からのパケットの宛先アドレスが登録宛先アドレスに一致しない場合、その宛先アドレス(一致しない宛先アドレス)を登録宛先アドレスとして同一の送信元アドレスに対応付けてLAN用テーブル11に登録し、現在の時刻を登録時刻として上記の一致しない宛先アドレスに対応付けてLAN用テーブル11に登録する。また、不特定パケット配送判定部7は、単位時間において、上記の一致しない宛先アドレスの数を上記の登録数に加算した数を、新たな登録数(即ち、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数)として、同一の送信元アドレスに対応付けてLAN用テーブル11に登録する。また、不特定パケット配送判定部7は、単位時間において、LANフィルタインタフェース部2からのパケットの宛先アドレスが登録宛先アドレスに一致する場合、その登録宛先アドレスに対応する登録時刻を現在の時刻に更新する。
このように、不特定パケット配送判定部7は、単位時間において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数をカウントする。
不特定パケット配送判定部7は、LAN用テーブル11を参照して、単位時間において、登録数が設定数を超えた場合、不許可情報を同一の送信元アドレスに対応付けてLAN用テーブル11に登録してLANフィルタインタフェース部2と不正パケット防止部9とに出力し、警報情報をアラーム表示部8に出力する。この場合、前述のステップS4にて、不正パケット防止部9は、LAN用テーブル11を参照して、同一の送信元アドレスに対応付けられた不許可情報に基づいて、LANフィルタインタフェース部2からのパケット(同一の送信元アドレスを含む)を破棄する。
不特定パケット配送判定部7は、LAN用テーブル11を参照して、単位時間において、登録数が設定数以下である場合、パケットの転送の許可を表す許可情報を同一の送信元アドレスに対応付けてLAN用テーブル11に登録し、パケットをLANフィルタインタフェース部2に返す。この場合、LANフィルタインタフェース部2は、フィルタ処理部6からのパケットを配送処理部3に転送する。
例えば、WANフィルタインタフェース部4からのパケットの送信元アドレスがWAN用テーブル12に登録されていないものとする。
この場合、前述のステップS7にて、不特定パケット配送判定部7は、WANフィルタインタフェース部4からのパケットを受け取り、送信元アドレスをWAN用テーブル12に登録する。不特定パケット配送判定部7は、単位時間において、WANフィルタインタフェース部4からのパケットの宛先アドレスを登録宛先アドレスとして同一の送信元アドレスに対応付けてWAN用テーブル12に登録し、現在の時刻を登録時刻として上記の登録宛先アドレス(登録された宛先アドレス)に対応付けてWAN用テーブル12に登録する。また、不特定パケット配送判定部7は、単位時間において、登録宛先アドレスの数を登録数(即ち、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数)として同一の送信元アドレスに対応付けてWAN用テーブル12に登録する。
このように、不特定パケット配送判定部7は、単位時間において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数をカウントする。
例えば、WANフィルタインタフェース部4からのパケットの送信元アドレスがWAN用テーブル12に登録されていて、この送信元アドレスに対応付けられて判定情報(許可情報又は不許可情報)、登録数、登録宛先アドレス、登録時刻が対応付けられてWAN用テーブル12に登録されているものとする。
この場合、不特定パケット配送判定部7は、WAN用テーブル12を参照して、登録時刻から設定単位時間が経過したか否かを調べる。設定単位時間は、上記の単位時間よりも長い。不特定パケット配送判定部7は、WAN用テーブル12を参照して、登録時刻から設定単位時間が経過したときに、設定単位時間が経過した登録時刻と、設定単位時間が経過した登録時刻に対応する登録宛先アドレスとを消去し、上記消去された登録宛先アドレスに対応する登録数から、上記消去された登録宛先アドレスの数だけ減算する。
前述のステップS7にて、不特定パケット配送判定部7は、WANフィルタインタフェース部4からのパケットを受け取り、WAN用テーブル12を参照する。不特定パケット配送判定部7は、単位時間において、WANフィルタインタフェース部4からのパケットの宛先アドレスが登録宛先アドレスに一致しない場合、その宛先アドレスを登録宛先アドレスとして同一の送信元アドレスに対応付けてWAN用テーブル12に登録し、現在の時刻を登録時刻として上記の一致しない宛先アドレスに対応付けてWAN用テーブル12に登録する。また、不特定パケット配送判定部7は、単位時間において、上記の一致しない宛先アドレスの数を上記の登録数に加算した数を、新たな登録数(即ち、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数)として、同一の送信元アドレスに対応付けてWAN用テーブル12に登録する。また、不特定パケット配送判定部7は、単位時間において、WANフィルタインタフェース部4からのパケットの宛先アドレスが登録宛先アドレスに一致する場合、その登録宛先アドレスに対応する登録時刻を現在の時刻に更新する。
このように、不特定パケット配送判定部7は、単位時間において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数をカウントする。
不特定パケット配送判定部7は、WAN用テーブル12を参照して、単位時間において、登録数が設定数を超えた場合、不許可情報を同一の送信元アドレスに対応付けてWAN用テーブル12に登録してWANフィルタインタフェース部4と不正パケット防止部9とに出力し、警報情報をアラーム表示部8に出力する。この場合、前述のステップS8にて、不正パケット防止部9は、WAN用テーブル12を参照して、同一の送信元アドレスに対応付けられた不許可情報に基づいて、WANフィルタインタフェース部4からのパケット(同一の送信元アドレスを含む)を破棄する。
不特定パケット配送判定部7は、WAN用テーブル12を参照して、単位時間において、登録数が設定数以下である場合、パケットの転送の許可を表す許可情報を同一の送信元アドレスに対応付けてWAN用テーブル12に登録し、パケットをWANフィルタインタフェース部4に返す。この場合、WANフィルタインタフェース部4は、フィルタ処理部6からのLANインタフェース部5に転送する。
本発明の第1実施形態に係るルータの不特定パケット配送判定部7の動作(前述のステップS3、S7)として、LAN用テーブル11の参照動作(前述のステップS3)について、図4〜図6を用いて説明する。WAN用テーブル12の参照動作(前述のステップS7)については、図4〜図6を用いて説明されるLAN用テーブル11をWAN用テーブル12に置き換え、図4〜図6を用いて説明されるLANフィルタインタフェース部2をWANフィルタインタフェース部4に置き換えばよい。
図6は、本発明の第1実施形態に係るルータにおけるLAN用テーブル11に登録された情報の一例を示す。図4は、本発明の第1実施形態に係るルータの不特定パケット配送判定部7の単位時間毎の動作を示すフローチャートである。いま、LAN用テーブル11には、送信元アドレス13と、判定情報14と、登録数15と、登録宛先アドレス16−1〜16−m(mは1以上の整数)と、登録時刻17−1〜17−mとが対応付けられて登録されているものとする。
不特定パケット配送判定部7は、LAN用テーブル11を参照する(ステップS11)。不特定パケット配送判定部7は、LAN用テーブル11に登録された全ての登録時刻を参照していない場合(ステップS12−NO)、LAN用テーブル11に登録された登録時刻17−i(i=1、2、…、m)が設定単位時間を経過したか否かを調べる(ステップS13)。ステップS13において、不特定パケット配送判定部7は、現在の時刻から登録時刻までの時間を計算し、計算した時間が設定単位時間を超える場合、登録時刻が設定単位時間を経過したものと判断する。
例えば、登録時刻17−iが登録時刻17−mであり、不特定パケット配送判定部7は、LAN用テーブル11に登録された登録時刻17−mが設定単位時間を経過した場合(ステップS13−YES)、登録時刻17−mと、登録時刻17−mに対応する登録宛先アドレス16−mとを消去し、登録宛先アドレス16−mに対応する登録数15から“1”をデクリメントする(ステップS15)。その後、不特定パケット配送判定部7は、再度、LAN用テーブル11を参照する(ステップS11を実行する)。
例えば、登録時刻17−iが登録時刻17−1であり、不特定パケット配送判定部7は、LAN用テーブル11に登録された登録時刻17−1が設定単位時間を経過していない場合(ステップS13−NO)、再度、LAN用テーブル11を参照する(ステップS11を実行する)。
不特定パケット配送判定部7は、LAN用テーブル11に登録された全ての登録時刻を参照した場合(ステップS12−YES)、終了する。
本発明の第1実施形態に係るルータによれば、テーブル(LAN用テーブル11、WAN用テーブル12)を用いて同一の送信元アドレスと宛先アドレス(登録宛先アドレス)とを管理する場合、設定単位時間(第2所定時間)が経過した情報(登録宛先アドレス、登録時刻)をテーブル(LAN用テーブル11、WAN用テーブル12)から消去することが好ましい。このため、本発明の第1実施形態に係るルータによれば、単位時間(第1所定時間)において異常端末(同一の送信元アドレス)から送信された多量のパケットの通過を防止することができる上に、テーブル(LAN用テーブル11、WAN用テーブル12)に登録される記憶容量が従来(例示;特許文献1)よりも低減される。
図5は、本発明の第1実施形態に係るルータの不特定パケット配送判定部7の動作(前述のステップS3)を示すフローチャートである。いま、LAN用テーブル11には、送信元アドレス13と、判定情報14と、登録数15と、登録宛先アドレス16−1〜16−(m−1)と、登録時刻17−1〜17−(m−1)とが対応付けられて登録されているものとする。
不特定パケット配送判定部7は、LANフィルタインタフェース部2からのパケットを受け取り、パケットの送信元アドレス13によりLAN用テーブル11を参照する(ステップS21)。
不特定パケット配送判定部7は、LAN用テーブル11を参照した結果、送信元アドレス13に対応する判定情報14が不許可情報を表すか否かを調べる(ステップS22)。
送信元アドレス13に対応する判定情報14が不許可情報を表す場合(ステップS22−YES)、不特定パケット配送判定部7は、LANフィルタインタフェース部2からのパケットの返信として、不許可情報をLANフィルタインタフェース部2に出力し(返し)、不許可情報を不正パケット防止部9に出力し、警報情報をアラーム表示部8に出力する(ステップS30)。
送信元アドレス13に対応する判定情報14が許可情報を表す場合(ステップS22−NO)、不特定パケット配送判定部7は、単位時間において、LANフィルタインタフェース部2からのパケットの宛先アドレスと一致する登録宛先アドレスが送信元アドレス13に対応付けてLAN用テーブル11に登録されているか否かを調べる(ステップS23)。
単位時間において、LANフィルタインタフェース部2からのパケットの宛先アドレスが、送信元アドレス13に対応する登録宛先アドレス16−1に一致する(ステップS24−YES)。この場合、不特定パケット配送判定部7は、登録宛先アドレス16−1に対応する登録時刻17−1を現在の時刻に更新し(ステップS31)、LANフィルタインタフェース部2からのパケットの返信として、LANフィルタインタフェース部2から受け取ったパケットをLANフィルタインタフェース部2に返す(ステップS32)。
単位時間において、LANフィルタインタフェース部2からのパケットの宛先アドレスが、送信元アドレス13に対応する登録宛先アドレス16−1〜16−(m−1)に一致しない(ステップS24−NO)。この場合、不特定パケット配送判定部7は、上記の一致しない宛先アドレスを登録宛先アドレス16−mとして同一の送信元アドレス13に対応付けてLAN用テーブル11に登録し、現在の時刻を登録時刻17−mとして登録宛先アドレス16−mに対応付けてLAN用テーブル11に登録する(ステップS25)。不特定パケット配送判定部7は、LAN用テーブル11を参照して、単位時間において、登録宛先アドレス16−mに対応する登録数15に“1”をインクリメントする(ステップS26)。次に、不特定パケット配送判定部7は、LAN用テーブル11を参照して、単位時間において、登録数15が設定数を超えるか否かを調べる(ステップS27)。
登録数15が設定数以下である場合(ステップS27−NO)、不特定パケット配送判定部7は、LANフィルタインタフェース部2からのパケットの返信として、LANフィルタインタフェース部2から受け取ったパケットをLANフィルタインタフェース部2に返す(ステップS32)。
登録数15が設定数を超えた場合(ステップS27−YES)、不特定パケット配送判定部7は、不許可情報を送信元アドレス13に対応付けてLAN用テーブル11に登録する(ステップS28)。このとき、不特定パケット配送判定部7は、LANフィルタインタフェース部2からのパケットの返信として、不許可情報をLANフィルタインタフェース部2に出力し(返し)、不許可情報を不正パケット防止部9に出力し、警報情報(送信元アドレス13を含む)をアラーム表示部8に出力する(ステップS29)。
本発明の第1実施形態に係るルータによれば、単位時間(第1所定時間)において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数が設定数を超えた場合、不許可情報を同一の送信元アドレス(異常端末のアドレス)に対応付けてテーブル(LAN用テーブル11、WAN用テーブル12)に登録する。このため、本発明の第1実施形態に係るルータによれば、異常端末(同一の送信元アドレス)から多量のパケットが再度送信されても、テーブル(LAN用テーブル11、WAN用テーブル12)を参照して、異常端末(同一の送信元アドレス)からの多量のパケットの通過を防止することができる。
本発明の第1実施形態に係るルータによれば、テーブル(LAN用テーブル11、WAN用テーブル12)に登録される記憶容量を低減するために、同一の送信元アドレスから送信された多量のパケットの宛先アドレスのうちの登録宛先アドレスに一致する宛先アドレスに対応する登録時刻を現在の時刻に更新することが好ましい。また、上述のように、設定単位時間(第2所定時間)が経過した情報(登録宛先アドレス、登録時刻)をテーブル(LAN用テーブル11、WAN用テーブル12)から消去することが好ましい。
(第2実施形態)
本発明の第2実施形態に係るルータでは、宛先アドレスに代えて、宛先アドレスによるハッシュ値をテーブル(LAN用テーブル、WAN用テーブル)に登録する。これにより、テーブル(LAN用テーブル、WAN用テーブル)に登録される記憶容量が、本発明の第1実施形態に係るルータにおけるテーブル(LAN用テーブル11、WAN用テーブル12)の記憶容量よりも低減される。第2実施形態では、前述の第1実施形態と重複する説明を省略する。
図7は、本発明の第2実施形態に係るルータの構成を示すブロック図である。フィルタ処理部6の記憶部10には、LAN用テーブル21と、WAN用テーブル22とが格納されている。LAN用テーブル21とWAN用テーブル22との詳細は後述する。不特定パケット配送判定部7は、前述のLAN用テーブル11に代えて、LAN用テーブル21を参照する。不特定パケット配送判定部7は、前述のWAN用テーブル12に代えて、WAN用テーブル22を参照する。
図8は、本発明の第2実施形態に係るルータにおけるLAN用テーブル21、WAN用テーブル22に登録される情報を示す。LAN用テーブル21、WAN用テーブル22には、送信元アドレスと判定情報と、ハッシュ登録数と、登録ハッシュ値と、登録時刻とが対応付けられて登録される。登録時刻は、登録ハッシュ値がLAN用テーブル21、WAN用テーブル22に登録されたときの時刻である。
例えば、LANフィルタインタフェース部2からのパケットの送信元アドレスがLAN用テーブル21に登録されていないものとする。
この場合、前述のステップS3にて、不特定パケット配送判定部7は、LANフィルタインタフェース部2からのパケットを受け取り、送信元アドレスをLAN用テーブル21に登録する。不特定パケット配送判定部7は、単位時間において、LANフィルタインタフェース部2からのパケットの宛先アドレスに基づいてハッシュ値を算出し、算出されたハッシュ値を登録ハッシュ値として同一の送信元アドレスに対応付けてLAN用テーブル21に登録し、現在の時刻を登録時刻として上記の登録ハッシュ値(登録されたハッシュ値)に対応付けてLAN用テーブル21に登録する。また、不特定パケット配送判定部7は、単位時間において、登録ハッシュ値の数をハッシュ登録数(即ち、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数)として同一の送信元アドレスに対応付けてLAN用テーブル21に登録する。
このように、不特定パケット配送判定部7は、単位時間において、異なる宛先アドレス(ハッシュ値)と同一の送信元アドレスとを有するパケットの数をカウントする。
例えば、LANフィルタインタフェース部2からのパケットの送信元アドレスがLAN用テーブル21に登録されていて、この送信元アドレスに対応付けられて判定情報(許可情報又は不許可情報)、登録数、登録宛先アドレス、登録時刻が対応付けられてLAN用テーブル21に登録されているものとする。
この場合、不特定パケット配送判定部7は、LAN用テーブル21を参照して、登録時刻から設定単位時間が経過したか否かを調べる。設定単位時間は、上記の単位時間よりも長い。不特定パケット配送判定部7は、LAN用テーブル21を参照して、登録時刻から設定単位時間が経過したときに、設定単位時間が経過した登録時刻と、設定単位時間が経過した登録時刻に対応する登録ハッシュ値とを消去し、上記消去された登録ハッシュ値に対応する登録数から、上記消去された登録ハッシュ値の数だけ減算する。
前述のステップS3にて、不特定パケット配送判定部7は、LANフィルタインタフェース部2からのパケットを受け取り、LAN用テーブル21を参照する。不特定パケット配送判定部7は、単位時間において、LANフィルタインタフェース部2からのパケットの宛先アドレスに基づいてハッシュ値を算出し、算出されたハッシュ値が登録ハッシュ値に一致しない場合、そのハッシュ値(一致しないハッシュ値)を登録ハッシュ値として同一の送信元アドレスに対応付けてLAN用テーブル21に登録し、現在の時刻を登録時刻として上記の一致しないハッシュ値に対応付けてLAN用テーブル21に登録する。また、不特定パケット配送判定部7は、単位時間において、上記の一致しないハッシュ値の数を上記のハッシュ登録数に加算した数を、新たなハッシュ登録数(即ち、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数)として、同一の送信元アドレスに対応付けてLAN用テーブル21に登録する。また、不特定パケット配送判定部7は、単位時間において、LANフィルタインタフェース部2からのパケットの宛先アドレスに基づいてハッシュ値を算出し、算出されたハッシュ値が登録ハッシュ値に一致する場合、その登録ハッシュ値に対応する登録時刻を現在の時刻に更新する。
このように、不特定パケット配送判定部7は、単位時間において、異なる宛先アドレス(ハッシュ値)と同一の送信元アドレスとを有するパケットの数をカウントする。
不特定パケット配送判定部7は、LAN用テーブル21を参照して、単位時間において、ハッシュ登録数が設定数を超えた場合、不許可情報を同一の送信元アドレスに対応付けてLAN用テーブル21に登録してLANフィルタインタフェース部2と不正パケット防止部9とに出力し、警報情報をアラーム表示部8に出力する。この場合、前述のステップS4にて、不正パケット防止部9は、LAN用テーブル21を参照して、同一の送信元アドレスに対応付けられた不許可情報に基づいて、LANフィルタインタフェース部2からのパケット(同一の送信元アドレスを含む)を破棄する。
不特定パケット配送判定部7は、LAN用テーブル21を参照して、単位時間において、ハッシュ登録数が設定数以下である場合、パケットの転送の許可を表す許可情報を同一の送信元アドレスに対応付けてLAN用テーブル21に登録し、パケットをLANフィルタインタフェース部2に返す。この場合、LANフィルタインタフェース部2は、フィルタ処理部6からのパケットを配送処理部3に転送する。
例えば、WANフィルタインタフェース部4からのパケットの送信元アドレスがWAN用テーブル22に登録されていないものとする。
この場合、前述のステップS7にて、不特定パケット配送判定部7は、WANフィルタインタフェース部4からのパケットを受け取り、送信元アドレスをWAN用テーブル22に登録する。不特定パケット配送判定部7は、単位時間において、WANフィルタインタフェース部4からのパケットの宛先アドレスに基づいてハッシュ値を算出し、算出されたハッシュ値を登録ハッシュ値として同一の送信元アドレスに対応付けてWAN用テーブル22に登録し、現在の時刻を登録時刻として上記の登録ハッシュ値(登録されたハッシュ値)に対応付けてWAN用テーブル22に登録する。また、不特定パケット配送判定部7は、単位時間において、登録ハッシュ値の数をハッシュ登録数(即ち、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数)として同一の送信元アドレスに対応付けてWAN用テーブル22に登録する。
このように、不特定パケット配送判定部7は、単位時間において、異なる宛先アドレス(ハッシュ値)と同一の送信元アドレスとを有するパケットの数をカウントする。
例えば、WANフィルタインタフェース部4からのパケットの送信元アドレスがWAN用テーブル22に登録されていて、この送信元アドレスに対応付けられて判定情報(許可情報又は不許可情報)、登録数、登録宛先アドレス、登録時刻が対応付けられてWAN用テーブル22に登録されているものとする。
この場合、不特定パケット配送判定部7は、WAN用テーブル22を参照して、登録時刻から設定単位時間が経過したか否かを調べる。設定単位時間は、上記の単位時間よりも長い。不特定パケット配送判定部7は、WAN用テーブル22を参照して、登録時刻から設定単位時間が経過したときに、設定単位時間が経過した登録時刻と、設定単位時間が経過した登録時刻に対応する登録ハッシュ値とを消去し、上記消去された登録ハッシュ値に対応する登録数から、上記消去された登録ハッシュ値の数だけ減算する。
前述のステップS7にて、不特定パケット配送判定部7は、WANフィルタインタフェース部4からのパケットを受け取り、WAN用テーブル22を参照する。不特定パケット配送判定部7は、単位時間において、WANフィルタインタフェース部4からのパケットの宛先アドレスに基づいてハッシュ値を算出し、算出されたハッシュ値が登録ハッシュ値に一致しない場合、そのハッシュ値(一致しないハッシュ値)を登録ハッシュ値として同一の送信元アドレスに対応付けてWAN用テーブル22に登録し、現在の時刻を登録時刻として上記の一致しないハッシュ値に対応付けてWAN用テーブル22に登録する。また、不特定パケット配送判定部7は、単位時間において、上記の一致しないハッシュ値の数を上記のハッシュ登録数に加算した数を、新たなハッシュ登録数(即ち、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数)として、同一の送信元アドレスに対応付けてWAN用テーブル22に登録する。また、不特定パケット配送判定部7は、単位時間において、WANフィルタインタフェース部4からのパケットの宛先アドレスに基づいてハッシュ値を算出し、算出されたハッシュ値が登録ハッシュ値に一致する場合、その登録ハッシュ値に対応する登録時刻を現在の時刻に更新する。
このように、不特定パケット配送判定部7は、単位時間において、異なる宛先アドレス(ハッシュ値)と同一の送信元アドレスとを有するパケットの数をカウントする。
不特定パケット配送判定部7は、WAN用テーブル22を参照して、単位時間において、ハッシュ登録数が設定数を超えた場合、不許可情報を同一の送信元アドレスに対応付けてWAN用テーブル22に登録してWANフィルタインタフェース部4と不正パケット防止部9とに出力し、警報情報をアラーム表示部8に出力する。この場合、前述のステップS8にて、不正パケット防止部9は、WAN用テーブル22を参照して、同一の送信元アドレスに対応付けられた不許可情報に基づいて、WANフィルタインタフェース部4からのパケット(同一の送信元アドレスを含む)を破棄する。
不特定パケット配送判定部7は、WAN用テーブル22を参照して、単位時間において、ハッシュ登録数が設定数以下である場合、パケットの転送の許可を表す許可情報を同一の送信元アドレスに対応付けてWAN用テーブル22に登録し、パケットをWANフィルタインタフェース部4に返す。この場合、WANフィルタインタフェース部4は、フィルタ処理部6からのLANインタフェース部5に転送する。
本発明の第2実施形態に係るルータの不特定パケット配送判定部7の動作(前述のステップS3、S7)として、LAN用テーブル21の参照動作(前述のステップS3)について、図9〜図11を用いて説明する。不特定パケット配送判定部7の動作(前述のステップS3、S7)として、WAN用テーブル22の参照動作(前述のステップS7)については、図9〜図11を用いて説明されるLAN用テーブル21をWAN用テーブル22に置き換え、図9〜図11を用いて説明されるLANフィルタインタフェース部2をWANフィルタインタフェース部4に置き換えばよい。
図11は、本発明の第2実施形態に係るルータにおけるLAN用テーブル21に登録された情報の一例を示す。図9は、本発明の第2実施形態に係るルータの不特定パケット配送判定部7の単位時間毎の動作を示すフローチャートである。いま、LAN用テーブル21には、送信元アドレス23と、判定情報24と、ハッシュ登録数25と、登録ハッシュ値26−1〜26−n(nは1以上の整数)と、登録時刻27−1〜27−nとが対応付けられて登録されているものとする。nは、前述のmと同じでもよいし異なっていてもよい。
不特定パケット配送判定部7は、LAN用テーブル21を参照する(ステップS41)。不特定パケット配送判定部7は、LAN用テーブル21に登録された全ての登録時刻を参照していない場合(ステップS42−NO)、LAN用テーブル21に登録された登録時刻が設定単位時間を経過したか否かを調べる(ステップS43)。ステップS43において、不特定パケット配送判定部7は、現在の時刻から登録時刻までの時間を計算し、計算した時間が設定単位時間を超える場合、登録時刻が設定単位時間を経過したものと判断する。
例えば、登録時刻27−iが登録時刻27−nであり、不特定パケット配送判定部7は、LAN用テーブル21に登録された登録時刻27−nが設定単位時間を経過した場合(ステップS43−YES)、登録時刻27−nと、登録時刻27−nに対応する登録ハッシュ値26−nとを消去し(ステップS44)、登録ハッシュ値26−nに対応するハッシュ登録数25から“1”をデクリメントする(ステップS45)。その後、不特定パケット配送判定部7は、再度、LAN用テーブル21を参照する(ステップS41を実行する)。
例えば、登録時刻27−iが登録時刻27−1であり、不特定パケット配送判定部7は、LAN用テーブル21に登録された登録時刻27−1が設定単位時間を経過していない場合(ステップS43−NO)、再度、LAN用テーブル21を参照する(ステップS41を実行する)。
不特定パケット配送判定部7は、LAN用テーブル21に登録された全ての登録時刻を参照した場合(ステップS42−YES)、終了する。
本発明の第2実施形態に係るルータによれば、テーブル(LAN用テーブル21、WAN用テーブル22)を用いて同一の送信元アドレスとハッシュ値(登録ハッシュ値)とを管理する場合、設定単位時間(第2所定時間)が経過した情報(登録ハッシュ値、登録時刻)をテーブル(LAN用テーブル21、WAN用テーブル22)から消去することが好ましい。このため、本発明の第2実施形態に係るルータによれば、単位時間(第1所定時間)において異常端末(同一の送信元アドレス)から送信された多量のパケットの通過を防止することができる上に、テーブル(LAN用テーブル21、WAN用テーブル22)に登録される記憶容量が、本発明の第1実施形態に係るルータにおけるテーブル(LAN用テーブル11、WAN用テーブル12)の記憶容量よりも低減される。
図10は、本発明の第2実施形態に係るルータの不特定パケット配送判定部7の動作(前述のステップS3)を示すフローチャートである。いま、LAN用テーブル21には、送信元アドレス23と、判定情報24と、ハッシュ登録数25と、登録ハッシュ値26−1〜26−(n−1)と、登録時刻27−1〜27−(n−1)とが対応付けられて登録されているものとする。
不特定パケット配送判定部7は、LANフィルタインタフェース部2からのパケットを受け取り、パケットの送信元アドレス23によりLAN用テーブル21を参照する(ステップS51)。
不特定パケット配送判定部7は、LAN用テーブル21を参照した結果、送信元アドレス23に対応する判定情報24が不許可情報を表すか否かを調べる(ステップS52)。
送信元アドレス13に対応する判定情報24が不許可情報を表す場合(ステップS52−YES)、不特定パケット配送判定部7は、LANフィルタインタフェース部2からのパケットの返信として、不許可情報をLANフィルタインタフェース部2に出力し(返し)、不許可情報を不正パケット防止部9に出力し、警報情報をアラーム表示部8に出力する(ステップS61)。
送信元アドレス23に対応する判定情報24が許可情報を表す場合(ステップS52−NO)、不特定パケット配送判定部7は、単位時間において、LANフィルタインタフェース部2からのパケットの宛先アドレスからハッシュ値を算出(生成)する(ステップS53)。不特定パケット配送判定部7は、単位時間において、算出されたハッシュ値と一致する登録ハッシュ値が送信元アドレス23に対応付けてLAN用テーブル21に登録されているか否かを調べる(ステップS54)。
単位時間において、算出されたハッシュ値が、送信元アドレス23に対応する登録ハッシュ値26−1に一致する(ステップS55−YES)。この場合、不特定パケット配送判定部7は、登録ハッシュ値26−1に対応する登録時刻27−1を現在の時刻に更新し(ステップS62)、LANフィルタインタフェース部2からのパケットの返信として、LANフィルタインタフェース部2から受け取ったパケットをLANフィルタインタフェース部2に返す(ステップS63)。
単位時間において、算出されたハッシュ値が、送信元アドレス23に対応する登録ハッシュ値26−1〜26−(n−1)に一致しない(ステップS55−NO)。この場合、不特定パケット配送判定部7は、上記の一致しないハッシュ値を登録ハッシュ値26−nとして同一の送信元アドレス23に対応付けてLAN用テーブル21に登録し、現在の時刻を登録時刻27−nとして登録ハッシュ値26−nに対応付けてLAN用テーブル21に登録する(ステップS56)。不特定パケット配送判定部7は、LAN用テーブル21を参照して、単位時間において、登録ハッシュ値26−nに対応するハッシュ登録数25に“1”をインクリメントする(ステップS57)。次に、不特定パケット配送判定部7は、LAN用テーブル21を参照して、単位時間において、ハッシュ登録数25が設定数を超えるか否かを調べる(ステップS58)。
ハッシュ登録数25が設定数以下である場合(ステップS58−NO)、不特定パケット配送判定部7は、LANフィルタインタフェース部2からのパケットの返信として、LANフィルタインタフェース部2から受け取ったパケットをLANフィルタインタフェース部2に返す(ステップS63)。
ハッシュ登録数25が設定数を超えた場合(ステップS58−YES)、不特定パケット配送判定部7は、不許可情報を送信元アドレス23に対応付けてLAN用テーブル21に登録する(ステップS59)。このとき、不特定パケット配送判定部7は、LANフィルタインタフェース部2からのパケットの返信として、不許可情報をLANフィルタインタフェース部2に出力し(返し)、不許可情報を不正パケット防止部9に出力し、警報情報(送信元アドレス13を含む)をアラーム表示部8に出力する(ステップS60)。
本発明の第2実施形態に係るルータによれば、単位時間(第1所定時間)において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数が設定数を超えた場合、不許可情報を同一の送信元アドレス(異常端末のアドレス)に対応付けてテーブル(LAN用テーブル21、WAN用テーブル22)に登録する。このため、本発明の第2実施形態に係るルータによれば、異常端末(同一の送信元アドレス)から多量のパケットが再度送信されても、テーブル(LAN用テーブル21、WAN用テーブル22)を参照して、異常端末(同一の送信元アドレス)からの多量のパケットの通過を防止することができる。
本発明の第2実施形態に係るルータによれば、テーブル(LAN用テーブル21、WAN用テーブル22)に登録される記憶容量を低減するために、同一の送信元アドレスから送信された多量のパケットの宛先アドレスに基づいて計算されたハッシュ値のうちの登録ハッシュ値に一致するハッシュ値に対応する登録時刻を現在の時刻に更新することが好ましい。また、上述のように、設定単位時間(第2所定時間)が経過した情報(登録ハッシュ値、登録時刻)をテーブル(LAN用テーブル21、WAN用テーブル22)から消去することが好ましい。
図1は、本発明のルータの構成を示すブロック図である。(第1実施形態) 図2は、本発明のルータが第1インタフェース部によりパケットを受信して第2インタフェース部によりパケットを送信するときの動作を示すフローチャートである。(第1実施形態、第2実施形態) 図3は、本発明のルータにおけるLAN用テーブル、WAN用テーブルに登録される情報を示す。(第1実施形態) 図4は、本発明のルータの不特定パケット配送判定部の単位時間毎の動作を示すフローチャートである。(第1実施形態) 図5は、本発明のルータの不特定パケット配送判定部の動作(ステップS3)を示すフローチャートである。(第1実施形態) 図6は、本発明のルータにおけるLAN用テーブルに登録された情報の一例を示す。(第1実施形態) 図7は、本発明のルータの構成を示すブロック図である。(第2実施形態) 図8は、本発明のルータにおけるLAN用テーブル、WAN用テーブルに登録される情報を示す。(第2実施形態) 図9は、本発明のルータの不特定パケット配送判定部の単位時間毎の動作を示すフローチャートである。(第2実施形態) 図10は、本発明のルータの不特定パケット配送判定部の動作(ステップS3)を示すフローチャートである。(第2実施形態) 図11は、本発明のルータにおけるLAN用テーブルに登録された情報の一例を示す。(第2実施形態)
符号の説明
1 LANインタフェース部
2 LANフィルタインタフェース部
3 配送処理部
4 WANフィルタインタフェース部
5 WANインタフェース部
6 フィルタ処理部
7 不特定パケット配送判定部
8 アラーム表示部
9 不正パケット防止部
10 記憶部
11 LANテーブル
12 WANテーブル
13 送信元アドレス
14 判定情報
15 登録数
16−1〜16−m 登録宛先アドレス
17−1〜17−m 登録時刻
21 LANテーブル
22 WANテーブル
23 送信元アドレス
24 判定情報
25 ハッシュ登録数
26−1〜26−n 登録ハッシュ値
27−1〜27−n 登録時刻

Claims (8)

  1. 第1ネットワークからのパケットを受信する第1インタフェース部と、
    前記パケットの転送の可否を判定するフィルタ処理部と、
    前記パケットの転送が許可されたとき、前記パケットを第2ネットワークに送信する第2インタフェース部と
    を具備し、
    前記パケットは、送信元アドレスと宛先アドレスとを含み、
    前記フィルタ処理部は、
    テーブルと、
    前記同一の送信元アドレスを前記テーブルに登録する不特定パケット配送判定部と、
    不正パケット防止部と
    を具備し、
    前記不特定パケット配送判定部は、第1所定時間において、異なる宛先アドレスと同一の送信元アドレスとを有する前記パケットの数としてパケット数が設定数以下である場合、前記パケットの転送を許可し、前記パケット数が前記設定数を超えた場合、前記パケットの転送の拒否を表す不許可情報を前記同一の送信元アドレスに対応付けて前記テーブルに登録し、
    前記不正パケット防止部は、前記テーブルを参照して、前記不許可情報に基づいて前記パケットを破棄し、
    前記テーブルには、前記同一の送信元アドレスに対応付けられて、更に、登録数と登録宛先アドレスと登録時刻とが登録され、前記登録時刻は、前記登録宛先アドレスが前記テーブルに登録されたときの時刻であり、
    前記不特定パケット配送判定部は、前記テーブルを参照して、前記登録時刻から第2所定時間が経過したときに、前記第2所定時間が経過した前記登録時刻と、前記第2所定時間が経過した前記登録時刻に対応する前記登録宛先アドレスとを消去し、前記消去された登録宛先アドレスに対応する前記登録数から、前記消去された登録宛先アドレスの数だけ減算し、
    前記第2所定時間は、前記第1所定時間よりも長く、
    前記不特定パケット配送判定部は、前記第1所定時間において、前記異なる宛先アドレスのうち、前記登録宛先アドレスに一致しない宛先アドレスを前記同一の送信元アドレスに対応付けて前記テーブルに登録し、現在の時刻を前記登録時刻として前記一致しない宛先アドレスに対応付けて前記テーブルに登録し、前記一致しない宛先アドレスの数を前記登録数に加算して前記パケット数として前記同一の送信元アドレスに対応付けて前記テーブルに登録する
    ルータ。
  2. 請求項に記載のルータにおいて、
    前記不特定パケット配送判定部は、前記テーブルを参照して、前記第1所定時間において、前記異なる宛先アドレスのうちの前記登録宛先アドレスに一致する宛先アドレスに対応する前記登録時刻を前記現在の時刻に更新する
    ルータ。
  3. 第1ネットワークからのパケットを受信する第1インタフェース部と、
    前記パケットの転送の可否を判定するフィルタ処理部と、
    前記パケットの転送が許可されたとき、前記パケットを第2ネットワークに送信する第2インタフェース部と
    を具備し、
    前記パケットは、送信元アドレスと宛先アドレスとを含み、
    前記フィルタ処理部は、
    テーブルと、
    前記同一の送信元アドレスを前記テーブルに登録する不特定パケット配送判定部と、
    不正パケット防止部と
    を具備し、
    前記不特定パケット配送判定部は、第1所定時間において、異なる宛先アドレスと同一の送信元アドレスとを有する前記パケットの数としてパケット数が設定数以下である場合、前記パケットの転送を許可し、前記パケット数が前記設定数を超えた場合、前記パケットの転送の拒否を表す不許可情報を前記同一の送信元アドレスに対応付けて前記テーブルに登録し、
    前記不正パケット防止部は、前記テーブルを参照して、前記不許可情報に基づいて前記パケットを破棄し、
    前記テーブルには、前記同一の送信元アドレスに対応付けられて、更に、ハッシュ登録数と登録ハッシュ値と登録時刻とが登録され、前記登録時刻は、前記登録ハッシュ値が前記テーブルに登録されたときの時刻であり、
    前記不特定パケット配送判定部は、前記テーブルを参照して、前記登録時刻から第2所定時間が経過したときに、前記第2所定時間が経過した前記登録時刻と、前記第2所定時間が経過した前記登録時刻に対応する前記登録ハッシュ値とを消去し、前記消去された登録ハッシュ値に対応する前記ハッシュ登録数から、前記消去された登録ハッシュ値の数だけ減算し、
    前記第2所定時間は、前記第1所定時間よりも長く、
    前記不特定パケット配送判定部は、前記第1所定時間において、前記異なる宛先アドレスに基づいてハッシュ値を算出し、前記算出されたハッシュ値のうち、前記登録ハッシュ値に一致しないハッシュ値を前記同一の送信元アドレスに対応付けて前記テーブルに登録し、現在の時刻を前記登録時刻として前記一致しないハッシュ値に対応付けて前記テーブルに登録し、前記一致しないハッシュ値の数を前記ハッシュ登録数に加算して前記パケット数として前記同一の送信元アドレスに対応付けて前記テーブルに登録する
    ルータ。
  4. 請求項に記載のルータにおいて、
    前記不特定パケット配送判定部は、前記テーブルを参照して、前記第1所定時間において、前記算出されたハッシュ値のうちの前記登録ハッシュ値に一致するハッシュ値に対応する前記登録時刻を前記現在の時刻に更新する
    ルータ。
  5. 請求項のいずれか一項に記載のルータにおいて、
    更に、
    管理者に利用される警報器を具備し、
    前記不特定パケット配送判定部は、前記テーブルを参照して、前記第1所定時間において、前記パケット数が前記設定数を超えた場合、前記不許可情報を前記同一の送信元アドレスに対応付けて前記テーブルに登録すると共に、前記パケットの転送が拒否された旨を表す警報情報を前記警報器に出力し、
    前記警報情報は、前記同一の送信元アドレスを含み、
    前記警報器は、前記警報情報に基づいて、前記パケットの転送が拒否された旨を前記管理者に通知する
    ルータ。
  6. 請求項に記載のルータにおいて、
    前記警報器は、前記警報情報を表示する表示部を含む
    ルータ。
  7. 請求項1〜のいずれか一項に記載のルータにおいて、
    前記第1ネットワークと前記第1インタフェース部は、LAN(Local Area Network)に適用され、
    前記第2ネットワークと前記第2インタフェース部は、WAN(Wide Area Network)に適用される
    ルータ。
  8. 請求項1〜のいずれか一項に記載のルータにおいて、
    前記第1ネットワークと前記第1インタフェース部は、WAN(Wide Area Network)に適用され、
    前記第2ネットワークと前記第2インタフェース部は、LAN(Local Area Network)に適用される
    ルータ。
JP2004001363A 2004-01-06 2004-01-06 ルータ Expired - Lifetime JP4063771B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004001363A JP4063771B2 (ja) 2004-01-06 2004-01-06 ルータ

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004001363A JP4063771B2 (ja) 2004-01-06 2004-01-06 ルータ

Publications (2)

Publication Number Publication Date
JP2005197959A JP2005197959A (ja) 2005-07-21
JP4063771B2 true JP4063771B2 (ja) 2008-03-19

Family

ID=34816898

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004001363A Expired - Lifetime JP4063771B2 (ja) 2004-01-06 2004-01-06 ルータ

Country Status (1)

Country Link
JP (1) JP4063771B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012178792A (ja) * 2011-02-28 2012-09-13 Nec Access Technica Ltd ルータ装置、ノード管理方法およびノード管理プログラム
JP6949466B2 (ja) * 2016-08-24 2021-10-13 Necプラットフォームズ株式会社 中継装置、通信システム、中継方法、及び中継用プログラム
JP7277168B2 (ja) * 2019-02-20 2023-05-18 キヤノン株式会社 リソースサービスシステム、及び、制御方法
CN111935108B (zh) * 2020-07-24 2023-02-28 杭州安恒信息技术股份有限公司 云数据安全访问控制方法、装置、电子装置及存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001057554A (ja) * 1999-08-17 2001-02-27 Yoshimi Baba クラッカー監視システム
TW453072B (en) * 1999-08-18 2001-09-01 Alma Baba Technical Res Lab Co System for montoring network for cracker attacic
JP2002124996A (ja) * 2000-10-13 2002-04-26 Yoshimi Baba 高速パケット取得エンジン・セキュリティ
JP3760919B2 (ja) * 2003-02-28 2006-03-29 日本電気株式会社 不正アクセス防止方法、装置、プログラム

Also Published As

Publication number Publication date
JP2005197959A (ja) 2005-07-21

Similar Documents

Publication Publication Date Title
AU2021209277B2 (en) Efficient packet capture for cyber threat analysis
US7401145B2 (en) In-line mode network intrusion detect and prevent system and method thereof
US7904942B2 (en) Method of updating intrusion detection rules through link data packet
US20070022468A1 (en) Packet transmission equipment and packet transmission system
JP4774307B2 (ja) 不正アクセス監視装置及びパケット中継装置
JPWO2005036831A1 (ja) フレーム中継装置
US10193890B2 (en) Communication apparatus to manage whitelist information
US7684339B2 (en) Communication control system
US20050180421A1 (en) Source address-fabricated packet detection unit, source address-fabricated packet detection method, and source address-fabricated packet detection program
CN109005175A (zh) 网络防护方法、装置、服务器及存储介质
CN112583850B (zh) 网络攻击防护方法、装置及系统
JP2008054204A (ja) 接続装置及び端末装置及びデータ確認プログラム
JP4063771B2 (ja) ルータ
JP2003099339A (ja) 侵入検知・防御装置及びプログラム
JP5153779B2 (ja) 1つまたは複数のパケット・ネットワーク内で望まれないトラフィックの告発をオーバーライドする方法および装置
JP2013134711A (ja) 医療クラウドシステム
KR101088867B1 (ko) 네트워크 스위치 및 그 네트워크 스위치의 보안공지방법
JP4014599B2 (ja) 送信元アドレス偽装パケット検出装置、送信元アドレス偽装パケット検出方法、送信元アドレス偽装パケット検出プログラム
US8646081B1 (en) Method and system to detect a security event in a packet flow and block the packet flow at an egress point in a communication network
JP2007336220A (ja) パケット制御装置、パケット制御方法およびパケット制御プログラム
Cisco Configuring IP Permit List
Cisco Configuring IP Permit List
JP2003283555A (ja) 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム
JP2007142841A (ja) 攻撃パケット迂回システム、方法、およびトンネル機能付きルータ
JP2007228449A (ja) パケット中継装置、パケット中継方法及びパケット中継プログラム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070910

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071108

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20071129

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071225

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4063771

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110111

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110111

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120111

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130111

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130111

Year of fee payment: 5

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term