JP4162210B2 - セッション追跡を利用する動的パケットフィルター - Google Patents
セッション追跡を利用する動的パケットフィルター Download PDFInfo
- Publication number
- JP4162210B2 JP4162210B2 JP2002588042A JP2002588042A JP4162210B2 JP 4162210 B2 JP4162210 B2 JP 4162210B2 JP 2002588042 A JP2002588042 A JP 2002588042A JP 2002588042 A JP2002588042 A JP 2002588042A JP 4162210 B2 JP4162210 B2 JP 4162210B2
- Authority
- JP
- Japan
- Prior art keywords
- session
- socket
- database
- packet
- hash
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Communication Control (AREA)
Description
本発明は、一般にデータ通信システムに関し、特に、セッション追跡を利用してパケットを許可するか拒否するか(許否)について決定する動的パケットフィルターに関する。
近年、世界はインターネットの爆発的な成長を経験した。ユーザーの数が限りなく増えつつあるように見える間にも、年を追ってはるかに多くのホストが加えらている。インターネットは、リモート・コンピュータ・ログイン、ファイル転送、ワールド・ワイド・ウエブ(WWW)ブラウジング、電子メールなどを含めて、異なる技術を用いた通信を可能にする。様々な種類の通信に対処するために、種々のプロトコルが作られてインターネット上で使用されている。例えば、ファイル転送のためのファイル転送プロトコル(FTP)、ウエブトラヒックのためのハイパーテキスト・マークアップ言語(HTML)などがある。一般に、インターネット通信に関係したプロトコルは、伝送制御プロトコル/インターネット・プロトコル(TCP/IP)一式の傘下で分類される。TCP/IP一式は、OSI通信スタックの種々のレイヤのプロトコルを含んだプロトコルからなる。
本発明は、ハードウエア、ソフトウエア又はその両方の組合わせにて実現し得る新規かつ有用な動的パケットフィルターを提供する。本発明は、インターネットへの接続に適応した携帯電話や無線接続PDAなどのような携帯式コンピュータ装置において使用するのに適したハードウエアベースのファイアウォールに組み込むことができる。
ここでは、単なる例として添付図面に関して本発明を説明する。
図1は、WAN又はインターネットとの関連において本発明の動的パケットフィルターのいくつかの適用例を示すブロック図であり;
図2は、本発明の動的パケットフィルターをさらに詳細に示したブロック図であり;
図3は、本発明の主フィルタープロセッサ法を示すフローチャートであり;
図4は、一致が見つかった場合の本発明の主フィルタープロセッサ法を示す状態遷移図であり;
図5は、一致が見つからなかった場合の本発明の主フィルタープロセッサ法を示す状態遷移図であり;
図6は、入力パケットに関連したセッションを決めるハッシング技術を示す図であり;
図7は、本発明のセッション認識プロセスのハッシング方法を示すフローチャートであり;
図8は、本発明のセッション認識プロセスのホールサーチ方法を示すフローチャートであり;
図9は、TCPセッションのパケットフローを示す図であり;
図10は、TCPセッションを開く際の3−ウエイハンドシェイクを示す状態遷移図であり;
図11Aと図11Bは、TCPセッションを閉じる際の4−ウエイハンドシェイクを示す状態遷移図であり;
図12は、ARPセッションのパケットフローを示す図であり;
図13は、ICMPエコーセッションのパケットフローを示す図であり;
図14は、ICMPメッセージ/エラーセッションのパケットフローを示す図であり;
図15は、主フィルタープロセッサによる規則のチェック中に行われるシーケンス番号のウインドウ追跡を示す図であり;
図16は、主フィルタープロセッサによる規則チェック中に行われる肯定応答シーケンス番号のウインドウ追跡を示す図であり;
図17は、セッションの古さを追跡するのに用いられる最長時間未使用のリンクリスト構造を示す図であり;
図18は、入力パケットに関連したセッションを認識したときLRUリンクリストを更新する方法を示すフローチャートであり;
図19は、本発明のセッション管理モジュールの処理を示すフローチャートであり;
図20は、セッションを開くために本発明のセッション管理モジュールにより実行される処理を示すフローチャートであり;
図21は、セッションを閉じるために本発明のセッション管理モジュールにより実行される処理を示すフローチャートであり;
図22は、セッションに対するファミリーポインタを示す図であり;
図23は、複数のセッション間のファミリー関係の例を示す図であり;
図24は、本発明のセッション追跡方法を用いて動的パケットフィルタリングを実行するのに適応したプラットフォームに対するコンピュータ処理システムの例を示すブロック図である。
全体を通して用いられる表記
この文書全体を通して以下の表記を用いる。
用語 定義
ADSL 非対称デジタル加入者回線
ARP アドレス絞り込みプロトコル
ASIC 特定用途向け集積回路
CPU 中央演算処理装置
DAT デジタルオーディオテープ
DSL デジタル加入者回線
DSP デジタル・シグナル・プロセッサ
DVD デジタル多用途ディスク
EEPROM 電気的消去・プログラム可能型読取専用メモリ
EEROM 電気的消去・書込み可能PROM
EPROM 消去可能プログラム可能読取専用メモリ
FPGA フィールド・プログラマブル・ゲート・アレイ
FTP ファイル転送プロトコル
HDSL 高ビットレート・デジタル加入者回線
HTML ハイパーテキスト・マークアップ言語
IAB インターネット・アーキテクチャ委員会
ICMP インターネット・コントロール・メッセージ・プロトコル
IP インターネット・プロトコル
ISP インターネット・サービス・プロバイダ
LAN ローカルエリア・ネットワーク
LRU 最長時間未使用(Least Recently Used)
NIC ネットワーク・インターフェース・カード
OSI 開放型システム間相互接続
PC パーソナル・コンピュータ
PDA パーソナル・デジタル・アシスタント
PDU プロトコル・データ・ユニット
RAM ランダムアクセスメモリ
ROM 読み出し専用メモリ
TCP 伝送制御プロトコル
UDP ユーザー・データグラム・プロトコル
VDSL 超高ビットレート・デジタル加入者回線
WAN 広域ネットワーク
WWW ワールドワイドウエブ
本発明は、ハードウエア、ソフトウエア、又はその両方の組合わせにて実現し得る新規かつ有用な動的パケットフィルターを提供する。本発明は、インターネットへの接続に適応した携帯電話や無線接続PDAなどの携帯型コンピュータ装置において使用するのに適したハードウエアベースのファイアウォールに組み込むことができる。
以下、主フィルター処理について詳細に説明する。図3は、本発明の主フィルタープロセッサ方法を示したフローチャートである。動的フィルターは、3段階でパケットデータを処理するように構成される。第一段階では、パケットに関連したセッションデータがセッションデータベースから読み出され、第二段階では、そのデータが処理され、第三段階では、処理結果がセッションデータベースの元の位置に書き込まれる。処理段階中に、セッション状態が所定の規則に対して追跡され、パケットの許否が決められる。
以下、セッション認識プロセスを詳細に説明する。図6は、入力パケットに関連したセッションを決めるハッシング技術の説明図である。各々のセッションは固有のソケットに対応する。セッションは、受信パケットのソケットと、セッションデータベースに記憶され前に開かれたセッションに関連するソケットとを比較することにより識別される。セッションの認識を速めるため、セッションレコードへのハッシュポインタをセッションデータベースに記憶し、かつ受信ソケットに対応したセッションの素早い検索が可能なハッシュテーブルが用いられる。
第1表:ホールテーブルフィールド
───────────────────────────────────
フィールド 説明
───────────────────────────────────
LAN ホールがLAN側から閉じられると期待される、すなわちLAN
からのパケットがこのホールタイプと一致すると仮定される。
WAN ホールがWAN側から閉じられると期待される、すなわちWAN
からのパケットがこのホールタイプと一致すると仮定される。
EH 既存のホール。このフィールドの数は、このタイプを有して現在
開かれている既存のホール数を表す。
PEHT 前に存在したホールタイプ。既存ホールの二重リンクリストにお
ける前のホールタイプへのポインタ。
NEHT 次に存在するホールタイプ。既存ホールの二重リンクリストにお
ける次のホールタイプへのポインタ。
───────────────────────────────────
以下、セッションデータベース64(図2)について詳細に説明する。上述したように、セッションデータベースは、複数のセッションに対してセッション関係データを記憶する機能を有する。セッションデータベースの大きさは、運用及びシステム要求に依存して変わり得る。データベースの各レコードを作るフィールドを次の第2表に載せる。
第2表:セッションデータベースレコードフィールド
───────────────────────────────────
フィールド フィールドの説明 長さ
番号 (ビット)
───────────────────────────────────
1 ローカルIPアドレス 32
2 リモートIPアドレス 32
3 プロトコル 8
4 ローカルポート/ICMPシーケンス番号/IP識別 16
5 リモートポート/タイプおよびコード/ヌル 16
6 次のハッシュポインタ 16
7 前のハッシュポインタ 16
8 次のLRUポインタ 16
9 前のLRUポインタ 16
10 子の数 16
11 セッションステータス 16
12 ローカルMACアドレス 48
13 LAN ACK上(above) 変化 8
14 LANシーケンス上変化 8
15 WAN ACK上変化 8
16 WANシーケンス上変化 8
17 LAN ACK下(below) 変化 8
18 LANシーケンス下変化 8
19 WAN ACK下変化 8
20 WANシーケンス下変化 8
21 LANシーケンスおよびACK変化しきい値 32
22 WANシーケンスおよびACK変化しきい値 32
23 期待されるLAN ACK 32
24 期待されるWAN ACK 32
25 最大LANシーケンス 32
26 最大WANシーケンス 32
27 最大LANウインドウサイズ 32
28 最大WANウインドウサイズ 32
29 接続状態 32
30 タイムスタンプ 32
31 LAN初期シーケンス 32
32 WAN初期シーケンス 32
33 親セッションポインタ 16
34 第1子ポインタ 16
35 次の兄弟ポインタ 16
36 前の兄弟ポインタ 16
───────────────────────────────────
第3表:セッションステータスビット
───────────────────────────────────
ビット名 説明
───────────────────────────────────
USD セッションレコードが使用されているか否か(すなわち有効か
否か)を示す
STR どちらの側がセッションを開始したかを示す、すなわちLAN
かWANか
HSH このセッションがハッシュリンクリスト中の最初のものである
ことを示す
NAT このセッションがネットワークアドレス変換(NAT)セッシ
ョンであるか否かを示す
ARP アドレス絞り込みプロトコル(ARP)NATセッションを示
す
FRG セッションが細分化(fragmented)されたIPセッションである
ことを示す
UCM このセッションがCPUによりマーク(marked)されたこと、す
なわち、このマークされたセッションに属する各パケットにつ
きステータスビットによりCPUが通知されることを示す
FRE ファミリ関係が存在することを示す
HLD タイムアウト等に関わらずセッションが閉じられ得ないことを
示す
PSV 受動セッション、すなわちタイムスタンプの更新がなく、パケ
ットはこのセッションを通過することができないことを示す
NOC セッションの閉鎖の通知、すなわち割り込みの発生を示す
SBP セッションバイパス、すなわち動的フィルタリングがなく、タ
イムスタンプの更新のみあることを示す
CSH セッションを生かしつつ(すなわち、LRU及び入ってくるパ
ケットのタイムスアンプを更新するが、それを許可しない)、
このセッションの総てのトラヒックを止めることを示す
───────────────────────────────────
次のフラグ、すなわちUCM、FRE、HLD、PSV、NOC、SBP、CSHが、CPUにより設定され、動的フィルターにより使用される。
上述したように、主フィルター処理は、一旦セッションが認識され且つ受信パケットに関連したセッションデータがセッションデータベースから読み出されると規則チェックを実行する実体である。本発明のハードウエア手段によると、TCPが最も複雑である場合、動的基礎にてチェックされる各プロトコルに対して別々の回路が設けられる。ソフトウエア手段は、動的規則チェッキングを行うためにアプリケーションコードを利用する。
本発明によると、主フィルター処理は、TCP/IPセッションのシーケンス番号を追跡する。図15は、主フィルタープロセッサによる規則チェック中に実行されるシーケンス番号のウインドウ追跡の説明図である。シーケンス番号の追跡は、TCPヘッダー中のバッファサイズのフィールドを用いて「TCP接続の開設」状態180中にて主フィルター処理によって実行される。x軸がLANシーケンス番号を表していると仮定すると、垂直の破線で示されているように、最大LANシーケンス番号からバイトで表された最大WANウインドウサイズ240が減じられ、かつ最大LANシーケンス番号に加えられる。初期LANシーケンス番号は、x軸の左端に示されている。許可されるLANシーケンス範囲242が示されている。
本発明によると、セッション管理モジュールは、最長時間未使用の順番にてセッションを記憶すべくリンクリストを維持する機能を有する。セッション管理モジュールは、セッションデータベースの維持及び制御に関係したいくつかの機能を実行する。セッション管理モジュールは、CPUからの命令に応じて、セッションデータベース中に記憶されたセッションのタイムスタンプの有効性をチェック(すなわちエージ測定)するよう機能する。エージ測定を実行する命令が受信されると、セッションデータベース中の各レコードのタイムスタンプフィールドが調査され、期限が切れたレコードが閉じられる。古くなり且つ何らかの理由で正常に閉じられなかったセッションを廃棄する(flush) ために、エージ測定がセッションについて行われる。例えば、セッションは、もしそれが規則に違反したパケットに対応するならば、エージオーバーし得る。
別の実施態様では、コンピュータは、本発明の動的パケットフィルター方法を実施するソフトウエアを実行する機能を有する。図24は、本発明のセッション追跡方法を用いて動的パケットフィルタリングを実行するプラットフォームのコンピュータ処理システムの例を示すブロック図である。本システムは、PDA、携帯電話、ケーブルモデム、ブロードバンドモデム、ラップトップ、PC、ネットワーク送信若しくは交換装置、ネットワーク装置、又は他の有線若しくは無線通信装置などの通信装置内に組み込むことができる。この通信装置は、ハードウエア及び/又はソフトウエアの任意の組合わせを用いて構成し得る。
12 PDA
14、20、28 ファイアウォール
16、22、30 動的フィルター
18 ケーブル・プラグ・アダプタ
24 ブロードバンドモデム
26、32 LAN
31 コンピュータ
40 動的フィルター
42 ホスト装置/CPU
46 ヘッダー復号器
47 バス
48 バス・インターフェース
50 バッファ/レジスタ
51 静的フィルター
52 セッション認識モジュール
53 コンテンツ・サーチ・ユニット
54 主フィルター処理モジュール
56 セッション管理モジュール
60 ハッシュテーブル
62 ホールテーブル
64 セッションデータベース
Claims (38)
- 各セッションがソケットに対応している複数のセッションに対して、セッションに関係したデータを記憶するセッションデータベースを設けるステップ;
前記セッションデータベースに前に記憶されていないソケットを受信すると、新しいセッションを開くステップ;
受信パケットに関連したセッションをその関連ソケットに従って認識するステップ;
前記受信パケットに対応したセッションデータを複数の所定規則に従って処理して処理結果を生成するステップ;及び
前記処理結果に従って前記受信パケットを許可するか又は拒否するかを決定するステップ
を含む、入力パケットストリームのフィルタリング方法であって、
最長時間未使用(LRU)二重リンクリストを設定し維持するステップをさらに含み、このリストは先頭と末尾を有し、最短時間未使用のセッションは末尾に記憶され、最長時間未使用のセッションは先頭に記憶され、
複数のレコードを含んだホールテーブルを設定するステップをさらに含み、その各レコードは不完全なソケット情報の固有の部分集合を表し、前記セッションを認識するステップがホールテーブルを調べることによりホールセッションを認識することを含むことを特徴とするフィルタリング方法。 - 前記処理結果に従って前記セッションデータベースの内容を更新するステップをさらに含む、請求項1に記載の方法。
- 前記決定ステップが、もし受信パケットが前記複数の所定規則のいずれにも違反していないならば前記受信パケットを許可することを含む、請求項1に記載の方法。
- 前記決定ステップが、もし受信パケットが前記複数の所定規則の1以上に違反しているならば前記受信パケットを拒否することを含む、請求項1に記載の方法。
- 前記セッションデータベースから未使用のセッションを除去するステップをさらに含む、請求項1に記載の方法。
- 前記LRUリストがいっぱいの場合、先頭のセッションが削除されて新しいセッションが末尾に加えられる、請求項1に記載の方法。
- 関連するタイムスタンプが所定のしきい値を越えたセッションを除去するステップをさらに含む、請求項1に記載の方法。
- 新しいセッションを開く前記ステップが、
前記セッションデータベース中に前記新しいセッションに関係したセッションデータを記憶するステップ;
前記新しいセッションに関連したソケットについてハッシュ値を計算するステップ;及び
ハッシュテーブル中に前記ハッシュ値を記憶するステップ
を含む、請求項1に記載の方法。 - セッションを認識する前記ステップが、
認識されるセッションに関連したソケットについてハッシュ値を計算するステップ;
ハッシュ結果をインデックスとして用いてハッシュテーブル内のハッシュポインタを探すステップ;
前記ハッシュポインタに従って前記セッションデータベースからソケットデータを検索するステップ;及び
もし検索されたソケットが受信セッションに関連したソケットに一致するならば前記セッションを認識するステップ
を含む、請求項1に記載の方法。 - 前記セッションデータを処理する前記ステップが、もしセッションが伝送制御プロトコル(TCP)の開設セッションを含むならば伝送制御プロトコル(TCP)開設のハンドシェイクの状態を追跡することを含む、請求項1に記載の方法。
- 前記セッションデータを処理する前記ステップが、もしセッションが伝送制御プロトコル(TCP)の閉鎖セッションを含むならば伝送制御プロトコル(TCP)閉鎖のハンドシェイクの状態を追跡することを含む、請求項1に記載の方法。
- 前記セッションデータを処理する前記ステップが、もし前記セッションが伝送制御プロトコル(TCP)セッションを含むならばウインドウに対して前記セッションのシーケンスと肯定応答を追跡することを含む、請求項1に記載の方法。
- 通信セッションの状態をモニターする方法であって、
各セッションがソケットに対応した複数のセッションに対して、セッションに関係するデータを記憶するセッションデータベースを設けるステップ;
受信パケットに関連したソケットについての第1ハッシュ計算に従ってセッションを認識するステップ;
前記受信パケットに関連した部分ソケットについての第2ハッシュ計算に従ってホールセッションを認識するステップ;
認識されたセッションか又は認識されたホールセッションのどちらかに関連した前記セッションデータを前記セッションデータベースから読み出すステップ;
前記セッションの接続状態を追跡し、複数の規則に基づいて前記状態をチェックして前記受信パケットの許否を決定するステップ;及び
更新されたセッションデータを元の前記セッションデータベースに書き込むステップ
を含む前記方法において、
最長時間未使用(LRU)二重リンクリストを設定し維持するステップをさらに含み、このリストが先頭と末尾を有し、最短時間未使用のセッションが末尾に記憶され、最長時間未使用のセッションが先頭に記憶されることを特徴とする方法。 - 前記許否を決定するステップが、もし前記受信パケットが前記複数の規則のいずれにも違反していないならば前記受信パケットを許可することを含む、請求項13に記載の方法。
- 前記許否を決定するステップが、もし前記受信パケットが前記複数の規則の1以上に違反しているならば前記受信パケットを拒否することを含む、請求項13に記載の方法。
- 前記セッションデータベースから未使用のセッションを除去するステップをさらに含む、請求項13に記載の方法。
- 関連のタイムスタンプが所定のしきい値を越えたセッションを除去するステップをさらに含む、請求項13に記載の方法。
- 新しいセッションを開く前記ステップが、
前記セッションデータベース中に前記新しいセッションに関係したセッションデータを記憶するステップ;
前記新しいセッションに関連したソケットについてハッシュ値を計算するステップ;及び
ハッシュテーブル中に前記ハッシュ値を記憶するステップ
を含む、請求項13に記載の方法。 - セッションを認識する前記ステップが、
認識されるセッションに関連したソケットについて前記第1ハッシュ値を計算するステップ;
前記第1ハッシュの結果をインデックスとして用いてハッシュテーブル中のハッシュポインタを探すステップ;
前記ハッシュポインタに従って前記セッションデータベースからソケットデータを検索するステップ;及び
もし検索したソケットが受信されたセッションに関連のソケットに一致するならば前記セッションを認識するステップ
を含む、請求項13に記載の方法。 - ホールセッションを認識する前記ステップが、
認識されるセッションに関連した前記部分ソケットについて前記第2ハッシュ値を計算するステップ;
前記第2ハッシュの結果をインデックスとして用いてハッシュテーブル中のハッシュポインタを探すステップ;
前記ハッシュポインタに従って前記セッションデータベースから部分ソケットデータを検索するステップ;及び
もし検索したソケットが受信されたセッションに関連する部分ソケットに一致するならば前記ホールセッションを認識するステップ
を含む、請求項13に記載の方法。 - 前記接続状態を追跡する前記ステップが、もしセッションが伝送制御プロトコル(TCP)の開設セッションを含むならば伝送制御プロトコル(TCP)開設のハンドシェイクを追跡することを含む、請求項13に記載の方法。
- 前記接続状態を追跡する前記ステップが、もしセッションが伝送制御プロトコル(TCP)の閉鎖セッションを含むならば伝送制御プロトコル(TCP)閉鎖のハンドシェイクを追跡することを含む、請求項13に記載の方法。
- 前記接続状態を追跡する前記ステップが、もし前記セッションが伝送制御プロトコル(TCP)セッションを含むならばウインドウに対して前記セッションのシーケンスと肯定応答を追跡することを含む、請求項13に記載の方法。
- 各セッションがソケットに対応した複数のセッションに対して、セッションに関係したデータを記憶するセッションデータベース;
前記セッションデータベースにおいて関連ソケットが受信パケットのソケットと一致するセッションをサーチするセッション認識モジュール;
前記セッションデータベースにおけるセッションの追加、削除及び修正を含めて、前記セッションデータベースを維持するセッション管理モジュール;及び
受信パケットに対応したセッションの接続状態を追跡し、複数の規則に基づいて前記接続状態をチェックして前記受信パケットの許否を決定する機能を有する主フィルターモジュール
を備えた、入力パケットストリームをフィルタリングするための動的フィルターであって、
前記セッション管理モジュールが、最長時間未使用(LRU)二重リンクリストを設定及び維持し、このリストは先頭と末尾を有し、その末尾には最短時間未使用のセッションが記憶され、その先頭には最長時間未使用のセッションが記憶され、
複数のレコードからなるホールテーブルをさらに含み、その各レコードが不完全なソケット情報の固有の部分集合を表し、前記セッション認識モジュールはまたホールテーブルを調べることによりホールセッションを認識することを特徴とする動的フィルター。 - 前記主フィルターが、前記受信パケットの許否の決定後に修正されたセッションデータを元の前記セッションデータベースに書き込む、請求項24に記載の動的フィルター。
- 前記主フィルターが、もし前記受信パケットが前記複数の規則のいずれにも違反していないならば前記受信パケットを許可する、請求項24に記載の動的フィルター。
- 前記主フィルターが、もし前記受信パケットが前記複数の規則の1以上に違反しているならば前記受信パケットを拒否する、請求項24に記載の動的フィルター。
- 前記セッション管理モジュールが、前記セッションデータベースから未使用のセッションを除去する、請求項24に記載の動的フィルター。
- 前記セッション管理モジュールが、関連するタイムスタンプが所定のしきい値を越えたセッションを除去する、請求項24に記載の動的フィルター。
- 前記セッション管理モジュールが、セッション開設手段を備え、該手段が、
前記セッションデータベースにおいて前記新しいセッションに関係したセッションデータを記憶し;
前記新しいセッションに関連したソケットについてハッシュ値を計算し;そして
ハッシュテーブル中に前記ハッシュ値を記憶する、
請求項24に記載の動的フィルター。 - 前記セッション認識モジュールが、
認識されるセッションに関連するソケットについてハッシュ値を計算し;
ハッシュ結果をインデックスとして用いてハッシュテーブル中のハッシュポインタを探し;
前記ハッシュポインタに従って前記セッションデータベースからソケットデータを検索し;かつ
もし検索したソケットが受信セッションに関連したソケットに一致するならば前記セッションを認識する手段
を備える、請求項24に記載の動的フィルター。 - 前記主フィルターが、もしセッションが伝送制御プロトコル(TCP)開設セッションを含むならば伝送制御プロトコル(TCP)開設のハンドシェイクの状態を追跡するための手段をさらに備える、請求項24に記載の動的フィルター。
- 前記主フィルターが、もしセッションが伝送制御プロトコル(TCP)閉鎖セッションを含むならば伝送制御プロトコル(TCP)閉鎖のハンドシェイクの状態を追跡するための手段を備える、請求項24に記載の動的フィルター。
- 前記主フィルターが、もし前記セッションが伝送制御プロトコル(TCP)セッションを含むならばウインドウに対して前記セッションのシーケンスと肯定応答を追跡するための手段を備える、請求項24に記載の動的フィルター。
- 前記動的フィルターが、フィールドプログラマブルゲートアレイ(FPGA)にて実現される、請求項24に記載の動的フィルター。
- 前記動的フィルターが、特定用途向け集積回路(ASIC)にて実現される、請求項24に記載の動的フィルター。
- デジタルコンピュータ装置であって、
前記装置を広域ネットワーク(WAN)に接続する通信手段;
揮発性メモリと1以上のアプリケーションプログラムを記憶するのに適応した不揮発性メモリとを含んだメモリ手段;
前記1以上のアプリケーションプログラムを実行するために前記メモリ手段と前記通信手段に接続されたプロセッサ;及び
入力パケットストリームをフィルタリングするための動的フィルター
を備え、該動的フィルターが、
各セッションがソケットに対応した複数のセッションに対して、セッションに関係したデータを記憶するセッションデータベース;
前記セッションデータベースにおいて、関連ソケットが受信パケットのソケットに一致するセッションをサーチするセッション認識モジュール;
前記セッションデータベースにおけるセッションの追加、削除及び変更を含めて前記セッションデータベースを維持するセッション管理モジュール;及び
受信パケットに対応するセッションの接続状態を追跡し、複数の規則に基づいて前記接続状態をチェックして前記受信パケットの許否を決定する機能を有する主フィルターモジュール
を備え、前記セッション管理モジュールが、最長時間未使用(LRU)二重リンクリストを設定及び維持し、このリストは先頭と末尾を有し、その末尾には最短時間未使用のセッションが記憶され、その先頭には最長時間未使用のセッションが記憶され、
複数のレコードからなるホールテーブルをさらに含み、その各レコードが不完全なソケット情報の固有の部分集合を表し、前記セッション認識モジュールはまたホールテーブルを調べることによりホールセッションを認識することを特徴とする前記デジタルコンピュータ装置。 - コンピュータ読出し可能な記憶媒体であって、その上に具現化されたコンピュータプログラムを有し、適切にプログラミングされたシステムに複数のストリングをサーチさせ、該サーチは、前記プログラムが前記システム上にて実行される際に以下のステップ、すなわち
各セッションがソケットに対応した複数のセッションに対して、セッションに関係したデータを記憶するセッションデータベースを設けるステップ;
前記セッションデータベース中に前に記憶されていないソケットを受信すると新しいセッションを開くステップ;
受信パケットに関連したセッションをその関連ソケットに従って認識するステップ;
前記受信パケットに対応したセッションデータを複数の所定規則に従って処理して処理結果を生成するステップ;及び
前記処理結果に従って前記受信パケットの許否を決定するステップ
を実施することにより行われる前記コンピュータ読出し可能な記憶媒体において、
前記サーチでは、最長時間未使用(LRU)二重リンクリストを設定し維持するステップをさらに含み、このリストは先頭と末尾を有し、最短時間未使用のセッションは末尾に記憶され、最長時間未使用のセッションは先頭に記憶され、
複数のレコードを含んだホールテーブルを設定するステップをさらに含み、その各レコードは不完全なソケット情報の固有の部分集合を表し、前記セッションを認識するステップがホールテーブルを調べることによりホールセッションを認識することを含むことを特徴とする前記コンピュータ読出し可能な記憶媒体。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/851,768 US6816455B2 (en) | 2001-05-09 | 2001-05-09 | Dynamic packet filter utilizing session tracking |
PCT/IB2002/001603 WO2002091700A2 (en) | 2001-05-09 | 2002-05-10 | Dynamic packet filter utilizing session tracking |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2004538678A JP2004538678A (ja) | 2004-12-24 |
JP2004538678A5 JP2004538678A5 (ja) | 2005-12-22 |
JP4162210B2 true JP4162210B2 (ja) | 2008-10-08 |
Family
ID=25311632
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002588042A Expired - Fee Related JP4162210B2 (ja) | 2001-05-09 | 2002-05-10 | セッション追跡を利用する動的パケットフィルター |
Country Status (12)
Country | Link |
---|---|
US (1) | US6816455B2 (ja) |
EP (1) | EP1386464B1 (ja) |
JP (1) | JP4162210B2 (ja) |
KR (1) | KR100876935B1 (ja) |
CN (1) | CN100550889C (ja) |
AT (1) | ATE381839T1 (ja) |
AU (1) | AU2002302873A1 (ja) |
BR (1) | BRPI0209463B1 (ja) |
CA (1) | CA2445751C (ja) |
DE (1) | DE60224177T2 (ja) |
ES (1) | ES2302809T3 (ja) |
WO (1) | WO2002091700A2 (ja) |
Families Citing this family (158)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6430188B1 (en) * | 1998-07-08 | 2002-08-06 | Broadcom Corporation | Unified table for L2, L3, L4, switching and filtering |
US7272571B2 (en) * | 2000-07-07 | 2007-09-18 | Mars Incorporated | Method and apparatus for effective distribution and delivery of goods ordered on the World-Wide-Web |
US7224801B2 (en) * | 2000-12-27 | 2007-05-29 | Logitech Europe S.A. | Wireless secure device |
GB2371186A (en) * | 2001-01-11 | 2002-07-17 | Marconi Comm Ltd | Checking packets |
GB2376854A (en) * | 2001-06-19 | 2002-12-24 | Hewlett Packard Co | Centralised security service for ISP environment |
JP4145032B2 (ja) * | 2001-08-07 | 2008-09-03 | 富士通株式会社 | 無線lanシステム |
JP2003087693A (ja) * | 2001-09-11 | 2003-03-20 | Sony Corp | 情報処理装置および方法、並びにプログラム |
US7400579B2 (en) * | 2001-09-28 | 2008-07-15 | Intel Corporation | Method and apparatus for per-call filtering of H.323 packets |
US7216161B1 (en) * | 2001-11-08 | 2007-05-08 | Cisco Technology, Inc. | Maintaining internet access while moving from port to port |
US7813346B1 (en) | 2001-11-21 | 2010-10-12 | Juniper Networks, Inc. | Filter-based forwarding in a network |
ATE273591T1 (de) * | 2001-12-18 | 2004-08-15 | Stonesoft Corp | Prüfung der konfiguration einer firewall |
US6957281B2 (en) * | 2002-01-15 | 2005-10-18 | Intel Corporation | Ingress processing optimization via traffic classification and grouping |
US7145911B2 (en) * | 2002-03-05 | 2006-12-05 | Hewlett-Packard Company | Method and system for parallel hash transformation for an address input |
US7085271B2 (en) * | 2002-03-14 | 2006-08-01 | Hewlett-Packard Development Company, L.P. | Method and system for performing flow based hash transformation to generate hash pointers for a network device |
US7126948B2 (en) * | 2002-03-21 | 2006-10-24 | Hewlett-Packard Development Company, L.P. | Method and system for performing a hash transformation to generate a hash pointer for an address input by using rotation |
US7216260B2 (en) * | 2002-03-27 | 2007-05-08 | International Business Machines Corporation | Method, system and program product for dynamically detecting errant data sequences and performing corresponding actions |
TW588532B (en) * | 2002-03-29 | 2004-05-21 | Realtek Semiconductor Corp | Management device and method of NAT/NAPT session |
US7299264B2 (en) * | 2002-05-07 | 2007-11-20 | Hewlett-Packard Development Company, L.P. | System and method for monitoring a connection between a server and a passive client device |
US7167980B2 (en) * | 2002-05-30 | 2007-01-23 | Intel Corporation | Data comparison process |
US7363488B2 (en) * | 2002-08-07 | 2008-04-22 | Honeywell International Inc. | Method and apparatus for prefiltering received messages in a security system |
US7600008B1 (en) * | 2002-10-16 | 2009-10-06 | Juniper Networks, Inc. | Systems and methods for harvesting expired sessions |
US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
US7353538B2 (en) * | 2002-11-08 | 2008-04-01 | Federal Network Systems Llc | Server resource management, analysis, and intrusion negation |
JP2004179877A (ja) * | 2002-11-26 | 2004-06-24 | Sony Corp | 情報処理装置、および情報処理方法、並びにコンピュータ・プログラム |
KR100542090B1 (ko) | 2002-12-16 | 2006-01-11 | 한국전자통신연구원 | 무선 통신 시스템에서의 오류 제어 방법, 매체 접속 제어프레임 설계 방법 및 단말기 등록 방법과 기록 매체 |
US7483972B2 (en) * | 2003-01-08 | 2009-01-27 | Cisco Technology, Inc. | Network security monitoring system |
US20040143751A1 (en) * | 2003-01-17 | 2004-07-22 | Cyrus Peikari | Protection of embedded processing systems with a configurable, integrated, embedded firewall |
US8244853B1 (en) * | 2003-03-03 | 2012-08-14 | Vmware, Inc. | Method and system for non intrusive application interaction and dependency mapping |
US8296452B2 (en) * | 2003-03-06 | 2012-10-23 | Cisco Technology, Inc. | Apparatus and method for detecting tiny fragment attacks |
US7325002B2 (en) * | 2003-04-04 | 2008-01-29 | Juniper Networks, Inc. | Detection of network security breaches based on analysis of network record logs |
JP4196732B2 (ja) | 2003-05-26 | 2008-12-17 | 日本電気株式会社 | データ転送装置及びプログラム |
US7660794B2 (en) * | 2003-06-03 | 2010-02-09 | Hewlett-Packard Development Company, L.P. | Method and program product for reducing database walk frequency while repetitively accessing a firewall connection and rule database |
US7620808B2 (en) * | 2003-06-19 | 2009-11-17 | Nokia Corporation | Security of a communication system |
US6985920B2 (en) * | 2003-06-23 | 2006-01-10 | Protego Networks Inc. | Method and system for determining intra-session event correlation across network address translation devices |
US7620070B1 (en) | 2003-06-24 | 2009-11-17 | Nvidia Corporation | Packet processing with re-insertion into network interface circuitry |
US7913294B1 (en) * | 2003-06-24 | 2011-03-22 | Nvidia Corporation | Network protocol processing for filtering packets |
US7286476B2 (en) * | 2003-08-01 | 2007-10-23 | F5 Networks, Inc. | Accelerating network performance by striping and parallelization of TCP connections |
US7644365B2 (en) | 2003-09-12 | 2010-01-05 | Cisco Technology, Inc. | Method and system for displaying network security incidents |
US20050079858A1 (en) * | 2003-10-09 | 2005-04-14 | Rosen Eric C. | Method and apparatus for restricting media communication in a communication network |
US20050108434A1 (en) * | 2003-11-13 | 2005-05-19 | Witchey Nicholas J. | In-band firewall for an embedded system |
US7844731B1 (en) * | 2003-11-14 | 2010-11-30 | Symantec Corporation | Systems and methods for address spacing in a firewall cluster |
US7389532B2 (en) * | 2003-11-26 | 2008-06-17 | Microsoft Corporation | Method for indexing a plurality of policy filters |
US7634655B2 (en) * | 2004-02-13 | 2009-12-15 | Microsoft Corporation | Efficient hash table protection for data transport protocols |
US7490350B1 (en) * | 2004-03-12 | 2009-02-10 | Sca Technica, Inc. | Achieving high assurance connectivity on computing devices and defeating blended hacking attacks |
US7840763B2 (en) * | 2004-03-12 | 2010-11-23 | Sca Technica, Inc. | Methods and systems for achieving high assurance computing using low assurance operating systems and processes |
US7650635B2 (en) * | 2004-04-07 | 2010-01-19 | Cisco Technology, Inc. | Method and apparatus for preventing network attacks by authenticating internet control message protocol packets |
US20070274307A1 (en) * | 2004-04-15 | 2007-11-29 | Shuichi Karino | Cluster System, Cluster Member, And Program |
US7422152B2 (en) | 2004-05-13 | 2008-09-09 | Cisco Technology, Inc. | Methods and devices for providing scalable RFID networks |
EP1762075B1 (en) * | 2004-05-20 | 2011-06-29 | Computer Associates Think, Inc. | Systems and methods for detecting denial of service attacks |
KR100619031B1 (ko) * | 2004-06-11 | 2006-08-31 | 삼성전자주식회사 | 부가 데이터의 인터랙티브한 이용방법 및 장치, 그에 따른수신장치 |
US8155117B2 (en) * | 2004-06-29 | 2012-04-10 | Qualcomm Incorporated | Filtering and routing of fragmented datagrams in a data network |
US7933985B2 (en) * | 2004-08-13 | 2011-04-26 | Sipera Systems, Inc. | System and method for detecting and preventing denial of service attacks in a communications system |
US8582567B2 (en) * | 2005-08-09 | 2013-11-12 | Avaya Inc. | System and method for providing network level and nodal level vulnerability protection in VoIP networks |
US9531873B2 (en) * | 2004-08-13 | 2016-12-27 | Avaya Inc. | System, method and apparatus for classifying communications in a communications system |
US20090094671A1 (en) * | 2004-08-13 | 2009-04-09 | Sipera Systems, Inc. | System, Method and Apparatus for Providing Security in an IP-Based End User Device |
US7865944B1 (en) * | 2004-09-10 | 2011-01-04 | Juniper Networks, Inc. | Intercepting GPRS data |
JP2006121667A (ja) * | 2004-09-27 | 2006-05-11 | Matsushita Electric Ind Co Ltd | パケット受信制御装置及びパケット受信制御方法 |
US7620071B2 (en) * | 2004-11-16 | 2009-11-17 | Intel Corporation | Packet coalescing |
US7509431B2 (en) * | 2004-11-17 | 2009-03-24 | Cisco Technology, Inc. | Performing message and transformation adapter functions in a network element on behalf of an application |
US7664879B2 (en) | 2004-11-23 | 2010-02-16 | Cisco Technology, Inc. | Caching content and state data at a network element |
US7694334B2 (en) * | 2004-12-03 | 2010-04-06 | Nokia Corporation | Apparatus and method for traversing gateway device using a plurality of batons |
US7987272B2 (en) | 2004-12-06 | 2011-07-26 | Cisco Technology, Inc. | Performing message payload processing functions in a network element on behalf of an application |
US7725934B2 (en) | 2004-12-07 | 2010-05-25 | Cisco Technology, Inc. | Network and application attack protection based on application layer message inspection |
US7496750B2 (en) * | 2004-12-07 | 2009-02-24 | Cisco Technology, Inc. | Performing security functions on a message payload in a network element |
US8082304B2 (en) | 2004-12-10 | 2011-12-20 | Cisco Technology, Inc. | Guaranteed delivery of application layer messages by a network element |
US7606267B2 (en) | 2004-12-10 | 2009-10-20 | Cisco Technology, Inc. | Reducing the sizes of application layer messages in a network element |
US7876777B2 (en) * | 2004-12-30 | 2011-01-25 | Honeywell International Inc. | Multiple protocol decoder |
US7551567B2 (en) * | 2005-01-05 | 2009-06-23 | Cisco Technology, Inc. | Interpreting an application message at a network element using sampling and heuristics |
US7796603B1 (en) | 2005-01-14 | 2010-09-14 | Acme Packet, Inc. | Method and system for controlling media sessions in networks that use communication protocols with distinct signaling and media channels |
US8249076B1 (en) * | 2005-01-14 | 2012-08-21 | Acme Packet, Inc. | Method, system and architecture for validating media sessions in networks that use communication protocols with distinct signaling and media channels |
US7698416B2 (en) | 2005-01-25 | 2010-04-13 | Cisco Technology, Inc. | Application layer message-based server failover management by a network element |
JP4170299B2 (ja) * | 2005-01-31 | 2008-10-22 | 独立行政法人 宇宙航空研究開発機構 | 通信状態遷移モニタ方法及びこれを利用した通信状態遷移モニタ装置 |
US7860006B1 (en) * | 2005-04-27 | 2010-12-28 | Extreme Networks, Inc. | Integrated methods of performing network switch functions |
US7668969B1 (en) | 2005-04-27 | 2010-02-23 | Extreme Networks, Inc. | Rule structure for performing network switch functions |
US7761619B2 (en) * | 2005-05-13 | 2010-07-20 | Microsoft Corporation | Method and system for parallelizing completion event processing |
US20060259570A1 (en) * | 2005-05-13 | 2006-11-16 | Microsoft Corporation | Method and system for closing an RDMA connection |
US7706314B2 (en) * | 2005-05-20 | 2010-04-27 | Cisco Technology, Inc. | Approach for implementing IPsec in performance enhancing proxy (PEP) environments |
US7725595B1 (en) * | 2005-05-24 | 2010-05-25 | The United States Of America As Represented By The Secretary Of The Navy | Embedded communications system and method |
US7881291B2 (en) * | 2005-05-26 | 2011-02-01 | Alcatel Lucent | Packet classification acceleration using spectral analysis |
US7345585B2 (en) | 2005-08-01 | 2008-03-18 | Cisco Technology, Inc. | Network based device for providing RFID middleware functionality |
US7882262B2 (en) | 2005-08-18 | 2011-02-01 | Cisco Technology, Inc. | Method and system for inline top N query computation |
US7818786B2 (en) * | 2005-08-19 | 2010-10-19 | Electronics And Telecommunications Research Institute | Apparatus and method for managing session state |
US20070130367A1 (en) * | 2005-11-18 | 2007-06-07 | Vivek Kashyap | Inbound connection prioritization |
US7649886B2 (en) * | 2005-11-21 | 2010-01-19 | Motorola, Inc. | Method and system for processing incoming packets in a communication network |
CN1980178A (zh) * | 2005-12-03 | 2007-06-13 | 鸿富锦精密工业(深圳)有限公司 | 网络装置及其转发多播封包的方法 |
US8274979B2 (en) * | 2005-12-30 | 2012-09-25 | Telecom Italia S.P.A. | Method and system for secure communication between a public network and a local network |
US7650367B2 (en) * | 2006-01-13 | 2010-01-19 | Tekelec | Methods, systems, and computer program products for detecting and restoring missing or corrupted data in a distributed, scalable, redundant measurement platform database |
JP4137948B2 (ja) * | 2006-02-14 | 2008-08-20 | 日本電信電話株式会社 | パケット通過制御装置及びパケット通過制御方法 |
US20070195776A1 (en) * | 2006-02-23 | 2007-08-23 | Zheng Danyang R | System and method for channeling network traffic |
US8233388B2 (en) * | 2006-05-30 | 2012-07-31 | Cisco Technology, Inc. | System and method for controlling and tracking network content flow |
KR100834570B1 (ko) | 2006-06-23 | 2008-06-02 | 한국전자통신연구원 | 실시간 상태 기반 패킷 검사 방법 및 이를 위한 장치 |
WO2008002590A2 (en) * | 2006-06-29 | 2008-01-03 | Sipera Systems, Inc. | System, method and apparatus for protecting a network or device against high volume attacks |
WO2008008863A2 (en) | 2006-07-12 | 2008-01-17 | Sipera Systems, Inc. | System, method and apparatus for troubleshooting an ip network |
CN101485140B (zh) * | 2006-07-12 | 2013-12-18 | 艾利森电话股份有限公司 | 用于控制设备的方法、设备和计算机程序产品 |
CN101115055B (zh) * | 2006-07-24 | 2010-05-12 | 上海贝尔阿尔卡特股份有限公司 | 通信网络中报告隧道数据包中各级错误的装置及方法 |
US8751866B2 (en) * | 2006-09-28 | 2014-06-10 | International Business Machines Corporation | Autonomic fault isolation in a highly interconnected system |
US7646728B2 (en) * | 2006-10-13 | 2010-01-12 | SafeMedia Corp. | Network monitoring and intellectual property protection device, system and method |
US8302179B2 (en) * | 2006-12-13 | 2012-10-30 | Avaya Inc. | Embedded firewall at a telecommunications endpoint |
US8145746B1 (en) | 2007-02-09 | 2012-03-27 | Juniper Networks, Inc. | Using the TCP window size for identifying packets and debugging |
US8477804B2 (en) * | 2007-03-02 | 2013-07-02 | Hitachi, Ltd. | ICMP translator |
US7894358B2 (en) * | 2007-03-15 | 2011-02-22 | Cisco Technology, Inc. | Detection of heavy users of network resources |
US8935669B2 (en) * | 2007-04-11 | 2015-01-13 | Microsoft Corporation | Strategies for performing testing in a multi-user environment |
CN101296221B (zh) * | 2007-04-29 | 2012-01-11 | 中兴通讯股份有限公司 | 媒体接入控制层的数据处理方法 |
KR100894908B1 (ko) | 2007-05-15 | 2009-04-30 | 고려대학교 산학협력단 | 인터넷 기반 음성 서비스에서 비정상 패킷을 탐지하는 방법및 컴퓨터로 읽을 수 있는 매체 |
US20080307093A1 (en) * | 2007-06-07 | 2008-12-11 | Samsung Electronics Co., Ltd. | Method and system for managing resource consumption by transport control protocol connections |
JP4900119B2 (ja) * | 2007-08-01 | 2012-03-21 | ヤマハ株式会社 | ネットワーク機器 |
TW200930056A (en) * | 2007-12-26 | 2009-07-01 | Altek Corp | Handshake dual-processor architecture of digital cameras |
US8503886B1 (en) * | 2008-01-03 | 2013-08-06 | Nextel Communications Inc. | Systems and methods for visual light communication |
JP5035068B2 (ja) * | 2008-03-28 | 2012-09-26 | 富士通株式会社 | サービス処理状況分析プログラム、サービス処理状況分析装置、およびサービス処理状況分析方法 |
US8315256B2 (en) * | 2008-04-17 | 2012-11-20 | Gigamon Llc | State-based filtering on a packet switch appliance |
US9071974B2 (en) | 2008-06-29 | 2015-06-30 | Oceans Edge, Inc. | Mobile telephone firewall and compliance enforcement system and method |
US20100005263A1 (en) * | 2008-07-04 | 2010-01-07 | Huawei Technologies Co., Ltd. | Information backup method, firewall and network system |
US7817631B1 (en) | 2008-07-09 | 2010-10-19 | Google Inc. | Network transfer protocol |
US8401990B2 (en) * | 2008-07-25 | 2013-03-19 | Ca, Inc. | System and method for aggregating raw data into a star schema |
US9692856B2 (en) * | 2008-07-25 | 2017-06-27 | Ca, Inc. | System and method for filtering and alteration of digital data packets |
US8352391B1 (en) | 2008-08-20 | 2013-01-08 | Juniper Networks, Inc. | Fast update filter |
US8275116B2 (en) | 2008-08-29 | 2012-09-25 | 8X8, Inc. | Networked contact center |
US8243913B2 (en) * | 2008-08-29 | 2012-08-14 | 8×8, Inc. | Limiting contact in a networked contact center environment |
US8051167B2 (en) * | 2009-02-13 | 2011-11-01 | Alcatel Lucent | Optimized mirror for content identification |
US20100211544A1 (en) * | 2009-02-19 | 2010-08-19 | Jyshyang Chen | System with session synchronization |
US8750112B2 (en) * | 2009-03-16 | 2014-06-10 | Echostar Technologies L.L.C. | Method and node for employing network connections over a connectionless transport layer protocol |
US7990976B2 (en) * | 2009-05-13 | 2011-08-02 | Telefonaktiebolaget L M Ericsson (Publ) | Negotiated secure fast table lookups for protocols with bidirectional identifiers |
US8407241B2 (en) | 2009-06-12 | 2013-03-26 | Microsoft Corporation | Content mesh searching |
FR2949934B1 (fr) * | 2009-09-09 | 2011-10-28 | Qosmos | Surveillance d'une session de communication comportant plusieurs flux sur un reseau de donnees |
JP5445147B2 (ja) * | 2010-01-07 | 2014-03-19 | 富士通株式会社 | リスト構造制御回路 |
TW201246867A (en) * | 2011-05-06 | 2012-11-16 | Ralink Technology Corp | Packet processing accelerator and method thereof |
CN103095665A (zh) * | 2011-11-07 | 2013-05-08 | 中兴通讯股份有限公司 | 一种提升防火墙处理性能的方法和装置 |
US9712887B2 (en) * | 2012-04-12 | 2017-07-18 | Arris Canada, Inc. | Methods and systems for real-time transmuxing of streaming media content |
US9311101B2 (en) | 2012-06-15 | 2016-04-12 | International Business Machines Corporation | Intra-instructional transaction abort handling |
US9262320B2 (en) | 2012-06-15 | 2016-02-16 | International Business Machines Corporation | Tracking transactional execution footprint |
US9015419B2 (en) * | 2012-06-15 | 2015-04-21 | International Business Machines Corporation | Avoiding aborts due to associativity conflicts in a transactional environment |
US9223687B2 (en) | 2012-06-15 | 2015-12-29 | International Business Machines Corporation | Determining the logical address of a transaction abort |
US9298469B2 (en) | 2012-06-15 | 2016-03-29 | International Business Machines Corporation | Management of multiple nested transactions |
US9298631B2 (en) | 2012-06-15 | 2016-03-29 | International Business Machines Corporation | Managing transactional and non-transactional store observability |
CN104620537A (zh) * | 2012-09-11 | 2015-05-13 | 全仁瑛 | 具有防火墙功能的安全移动通信中继器 |
US9674052B2 (en) * | 2012-09-20 | 2017-06-06 | Hewlett Packard Enterprise Development Lp | Data packet stream fingerprint |
US9350762B2 (en) | 2012-09-25 | 2016-05-24 | Ss8 Networks, Inc. | Intelligent feedback loop to iteratively reduce incoming network data for analysis |
KR20140047221A (ko) * | 2012-10-09 | 2014-04-22 | (주)소만사 | 네트워크 정보유출방지 기기의 대용량 패킷 처리를 위한 하드웨어 엔진 |
US9047417B2 (en) | 2012-10-29 | 2015-06-02 | Intel Corporation | NUMA aware network interface |
GB201302402D0 (en) * | 2013-02-11 | 2013-03-27 | Telecom Ltd Q | Communication apparatus |
US9043593B2 (en) * | 2013-03-11 | 2015-05-26 | International Business Machines Corporation | Session attribute propagation through secure database server tiers |
JP6040102B2 (ja) * | 2013-06-04 | 2016-12-07 | 株式会社日立製作所 | 不正情報検知方法および不正情報検知装置 |
US10684973B2 (en) | 2013-08-30 | 2020-06-16 | Intel Corporation | NUMA node peripheral switch |
JP6329267B2 (ja) * | 2013-12-20 | 2018-05-23 | マカフィー, エルエルシー | インテリジェントファイアウォールアクセスルール |
US10721160B2 (en) | 2014-05-15 | 2020-07-21 | Samsung Electronics Co., Ltd. | Method of distributing data and device supporting the same |
US10129088B2 (en) | 2015-06-17 | 2018-11-13 | Extreme Networks, Inc. | Configuration of rules in a network visibility system |
US10911353B2 (en) * | 2015-06-17 | 2021-02-02 | Extreme Networks, Inc. | Architecture for a network visibility system |
US10771475B2 (en) | 2015-03-23 | 2020-09-08 | Extreme Networks, Inc. | Techniques for exchanging control and configuration information in a network visibility system |
CN106161224B (zh) | 2015-04-02 | 2019-09-17 | 阿里巴巴集团控股有限公司 | 数据交换方法、装置及设备 |
EP3369213B1 (en) * | 2015-10-30 | 2020-08-05 | Telecom Italia S.p.A. | Performance measurement in a packet-switched communication network |
CN105939322B (zh) * | 2015-12-08 | 2019-12-06 | 杭州迪普科技股份有限公司 | 报文攻击防护的方法及装置 |
US10419808B2 (en) | 2016-09-08 | 2019-09-17 | Gvbb Holdings S.A.R.L. | System and method for scalable physical layer flow of packetized media streams |
EP3310015A1 (en) * | 2016-10-11 | 2018-04-18 | Secucloud GmbH | Network filtering using router connection data |
CN109587074B (zh) * | 2017-09-29 | 2022-04-29 | 中兴通讯股份有限公司 | 报文处理方法、装置、存储介质及处理器 |
CN110365759B (zh) * | 2019-07-08 | 2021-12-28 | 深圳市多尼卡航空电子有限公司 | 一种数据转发方法、装置、系统、网关设备及存储介质 |
CN112612670B (zh) * | 2020-12-02 | 2023-04-11 | 北京东土军悦科技有限公司 | 一种会话信息统计方法、装置、交换设备及存储介质 |
CN114285771B (zh) * | 2021-12-30 | 2024-02-06 | 阿里巴巴(中国)有限公司 | 一种tcp连接的连接状态追踪方法及装置 |
CN116112290A (zh) * | 2023-04-10 | 2023-05-12 | 北京长亭未来科技有限公司 | 一种应用于Web集中管理系统的流量中转方法及装置 |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5446736A (en) | 1993-10-07 | 1995-08-29 | Ast Research, Inc. | Method and apparatus for connecting a node to a wireless network using a standard protocol |
US5623601A (en) * | 1994-11-18 | 1997-04-22 | Milkway Networks Corporation | Apparatus and method for providing a secure gateway for communication and data exchanges between networks |
JP3262689B2 (ja) | 1995-05-19 | 2002-03-04 | 富士通株式会社 | 遠隔操作システム |
US5889962A (en) * | 1995-10-13 | 1999-03-30 | Apple Computer, Inc. | Method and system for providing an additional identifier for sessions in a file server |
US5828846A (en) * | 1995-11-22 | 1998-10-27 | Raptor Systems, Inc. | Controlling passage of packets or messages via a virtual connection or flow |
JP3688830B2 (ja) | 1995-11-30 | 2005-08-31 | 株式会社東芝 | パケット転送方法及びパケット処理装置 |
US5867494A (en) | 1996-11-18 | 1999-02-02 | Mci Communication Corporation | System, method and article of manufacture with integrated video conferencing billing in a communication system architecture |
US5999525A (en) | 1996-11-18 | 1999-12-07 | Mci Communications Corporation | Method for video telephony over a hybrid network |
US6173364B1 (en) * | 1997-01-15 | 2001-01-09 | At&T Corp. | Session cache and rule caching method for a dynamic filter |
US6233686B1 (en) * | 1997-01-17 | 2001-05-15 | At & T Corp. | System and method for providing peer level access control on a network |
US5983270A (en) * | 1997-03-11 | 1999-11-09 | Sequel Technology Corporation | Method and apparatus for managing internetwork and intranetwork activity |
US6006268A (en) * | 1997-07-31 | 1999-12-21 | Cisco Technology, Inc. | Method and apparatus for reducing overhead on a proxied connection |
US6154775A (en) | 1997-09-12 | 2000-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules |
US6341130B1 (en) * | 1998-02-09 | 2002-01-22 | Lucent Technologies, Inc. | Packet classification method and apparatus employing two fields |
US6122665A (en) | 1998-08-26 | 2000-09-19 | Sts Software System Ltd. | Communication management system for computer network-based telephones |
US6219786B1 (en) * | 1998-09-09 | 2001-04-17 | Surfcontrol, Inc. | Method and system for monitoring and controlling network access |
US6219706B1 (en) * | 1998-10-16 | 2001-04-17 | Cisco Technology, Inc. | Access control for networks |
US6347312B1 (en) * | 1998-11-05 | 2002-02-12 | International Business Machines Corporation | Lightweight directory access protocol (LDAP) directory server cache mechanism and method |
US6182149B1 (en) | 1999-01-11 | 2001-01-30 | 3Com Corporation | System for managing dynamic processing resources in a network |
WO2001031874A2 (en) * | 1999-10-28 | 2001-05-03 | Jpmorgan Chase Bank | Secured session sequencing proxy system supporting multiple applications and method therefor |
US6496935B1 (en) * | 2000-03-02 | 2002-12-17 | Check Point Software Technologies Ltd | System, device and method for rapid packet filtering and processing |
-
2001
- 2001-05-09 US US09/851,768 patent/US6816455B2/en not_active Expired - Lifetime
-
2002
- 2002-05-10 AU AU2002302873A patent/AU2002302873A1/en not_active Abandoned
- 2002-05-10 CA CA2445751A patent/CA2445751C/en not_active Expired - Fee Related
- 2002-05-10 JP JP2002588042A patent/JP4162210B2/ja not_active Expired - Fee Related
- 2002-05-10 KR KR1020037014524A patent/KR100876935B1/ko active IP Right Grant
- 2002-05-10 WO PCT/IB2002/001603 patent/WO2002091700A2/en active IP Right Grant
- 2002-05-10 ES ES02730558T patent/ES2302809T3/es not_active Expired - Lifetime
- 2002-05-10 CN CNB028095057A patent/CN100550889C/zh not_active Expired - Fee Related
- 2002-05-10 BR BRPI0209463A patent/BRPI0209463B1/pt not_active IP Right Cessation
- 2002-05-10 EP EP02730558A patent/EP1386464B1/en not_active Expired - Lifetime
- 2002-05-10 DE DE60224177T patent/DE60224177T2/de not_active Expired - Lifetime
- 2002-05-10 AT AT02730558T patent/ATE381839T1/de not_active IP Right Cessation
Also Published As
Publication number | Publication date |
---|---|
US6816455B2 (en) | 2004-11-09 |
US20040013112A1 (en) | 2004-01-22 |
DE60224177D1 (de) | 2008-01-31 |
WO2002091700A3 (en) | 2003-02-06 |
AU2002302873A1 (en) | 2002-11-18 |
KR20040008171A (ko) | 2004-01-28 |
ES2302809T3 (es) | 2008-08-01 |
DE60224177T2 (de) | 2008-12-04 |
EP1386464A2 (en) | 2004-02-04 |
JP2004538678A (ja) | 2004-12-24 |
CN1518823A (zh) | 2004-08-04 |
BR0209463A (pt) | 2004-12-07 |
EP1386464B1 (en) | 2007-12-19 |
CA2445751A1 (en) | 2002-11-14 |
BRPI0209463B1 (pt) | 2017-01-17 |
CN100550889C (zh) | 2009-10-14 |
KR100876935B1 (ko) | 2009-01-07 |
WO2002091700A2 (en) | 2002-11-14 |
CA2445751C (en) | 2011-04-26 |
ATE381839T1 (de) | 2008-01-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4162210B2 (ja) | セッション追跡を利用する動的パケットフィルター | |
EP1966977B1 (en) | Method and system for secure communication between a public network and a local network | |
JP4344609B2 (ja) | セキュリティ・アソシエーション・プロセッサを組み込んだ仮想プライベートネットワーク機構 | |
US9954873B2 (en) | Mobile device-based intrusion prevention system | |
US7706378B2 (en) | Method and apparatus for processing network packets | |
US9049128B1 (en) | Application identification | |
WO2018107784A1 (zh) | 检测网页后门的方法和装置 | |
JP5362669B2 (ja) | ネットワークパケットの効率的な分類 | |
US20050015599A1 (en) | Two-phase hash value matching technique in message protection systems | |
US20080101222A1 (en) | Lightweight, Time/Space Efficient Packet Filtering | |
WO2018076697A1 (zh) | 僵尸特征的检测方法和装置 | |
JP2021111396A (ja) | コンテナネットワークのためのセキュリティ | |
WO2002084512A1 (en) | Method and system for restricting access from external | |
KR20190028596A (ko) | Fpga 기반 고속 스노트 룰과 야라 룰 매칭 장치 | |
US10819683B2 (en) | Inspection context caching for deep packet inspection | |
US20230247051A1 (en) | Method to safeguard against email phishing attacks | |
Cronin | Hardware acceleration of network intrusion detection and prevention | |
Branitskiy et al. | Software Tool for Testing the Packet Analyzer of Network Attack Detection Systems | |
CN117857098A (zh) | 一种基于基数树的SYN Flood攻击防御系统 | |
Ibraheem et al. | Detecting Unauthenticated Windows Applications Connecting to Outside the LAN |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050426 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050426 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070124 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20070423 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20070511 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20070521 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20070529 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20070625 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070702 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20070724 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071024 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080123 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080716 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080718 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110801 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4162210 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110801 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120801 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130801 Year of fee payment: 5 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |