JP4635147B2 - パターンマッチング装置、その形成方法、それを用いたネットワーク不正侵入検知装置の動作方法、およびそれを用いた侵入防止システムの動作方法 - Google Patents
パターンマッチング装置、その形成方法、それを用いたネットワーク不正侵入検知装置の動作方法、およびそれを用いた侵入防止システムの動作方法 Download PDFInfo
- Publication number
- JP4635147B2 JP4635147B2 JP2005333199A JP2005333199A JP4635147B2 JP 4635147 B2 JP4635147 B2 JP 4635147B2 JP 2005333199 A JP2005333199 A JP 2005333199A JP 2005333199 A JP2005333199 A JP 2005333199A JP 4635147 B2 JP4635147 B2 JP 4635147B2
- Authority
- JP
- Japan
- Prior art keywords
- pattern matching
- unit
- header
- circuit
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
この発明は、ネットワーク通信におけるパケット処理においてパターンマッチングを用いて文字列や記号列の探索を行う必要のある分野に関している。
近年ではネットワークにおけるサービスに社会が依存する傾向にあり、ネットワーク上におけるセキュリティの重要性が高まっている。しかし、ネットワークを利用する人口が増加するに従い、ネットワークサービスに対する攻撃や侵入が増加し、サービスに障害をもたらす要因となっている。このネットワークサービスに対する攻撃や侵入を検知し防御を行う起点となる技術が、パターンマッチング技術を用いるNIDS(Network Intrusion Detection System)である。NIDSでは常時ネットワークの状態を監視し侵入や攻撃の検知を行うため、その処理速度はネットワークのスループットと同じである事が望まれる。NIDSの一つに、攻撃・侵入ルールのパターンマッチングによる検知を行うSNORTがあるが、ソフトウェアによるパターンマッチング処理を行っているため、その処理速度は1Gbpsに満たない。
パターンマッチング処理用として、NFA(Nondeterministic Finite Automaton)によりパターンマッチング回路を再構成可能なデバイスFPGA(Field Programmable Gate Array)上に構成し、高速な処理を行う研究が幾つかなされている。NIDSでは、新たな攻撃や侵入に従ってマッチングパターンが変更されるためNFAによるパターンマッチングの場合ASICに実装するのは実用的でなく、FPGAのような再構成可能なハードウェアがパターンマッチングエンジンとして用いられる。
この従来のNFAによるパターンマッチング回路は、1クロックサイクル当り1バイトを処理するため、その処理性能は1.96Gbps(245.97MHz、30675文字、FPGA:Xilinx xc2vp100-6 時)程度であった。このNFAによるパターンマッチング回路を1クロック当り複数バイト処理する構成に改変し、処理性能を向上させる研究がなされている。しかし、改変による回路規模の増大は大きく、4バイト処理するNFA回路は、25002文字のマッチングパターンにおいてFPGA(Xilinx xc2v-8000)の100%を使用するものであった。
パターンマッチング回路を実現する方法として、これまでに、非特許文献1に記載されているようなマッチングパターンを表す正規表現からNFAを構成し、これを回路化する方法が知られている。しかし、この方法では、1クロックサイクル当りに処理する入力データ幅が1バイトであったため、高いスループットを得ることが困難であった。また、非特許文献2に記載されているようにNFAより構成したパターンマッチング装置が1クロックサイクルあたりに処理する入力データ幅を拡張し、回路のスループットを向上させる技術も知られている。しかし、この技術では、スループットは向上するものの、データ幅の倍化に伴って回路規模も同様に倍化するため、現実的に適用できるものではなかった。
これら従来の技術では、探索しようとするマッチングパターンが複数ある場合に、それぞれのマッチングパターンに対して独立したステートマシンを生成することによりマッチング回路を構築していた。そのため、マッチングパターン数の増大に比例して回路規模の増大していた。
上記の様に、ネットワークセキュリティシステムのNIDSは、ネットワークにおける攻撃や侵入を検知するシステムである。NIDSで定義ファイルを用いるシグネチャ方式を採るシステムでは、ネットワークパケットと攻撃・侵入パケットデータベースとのパターンマッチング処理が行われている。このパターンマッチング処理をソフトウェアで行うとスループットが数十Mbps〜1Gbps程度と低速であるため、ハードウェアによるパターンマッチング処理による高速化がなされてきた。
ハードウェアによるパターンマッチング処理のうち、NFA(Non-deterministic Finite Automaton)によってパターンマッチング装置を構成する方法が存在する。このパターンマッチング装置で、例えば、文字列「abb」を検出する場合の構築手順を図1に示す。
通常は、探索を受ける情報を、探索を容易にするために正規表現(通常の文字と、メタキャラクタと呼ばれる特別な意味を持った記号を組み合わせた表記)に変換しておく。また、探索しようとする文字列や記号列を変換して得られるマッチングパターンを示す正規表現からNFAステートマシンを生成する。このNFAステートマシン中のステート1つに1状態を保持するステートマシンを割り当ててパターンマッチング装置を構築する。
このような従来の技術では、パターンマッチング装置の処理データ幅を増やすと回路規模が大幅に増大してしまう、という問題があった。さらに、探索するマッチングパターンの数を増やすと回路規模が比例して増大してしまう、という問題もあった。これは、探索するマッチングパターンが複数ある場合に、それぞれのマッチングパターンに対して独立したNFAを生成してパターンマッチング装置を構築していたためである。
従来の技術によるパターンマッチング装置の構成を図2に示す。図2に示すパターンマッチング装置の処理するバイト幅は4バイトである。この装置は、入力されたデータを1バイト毎に比較する比較器部と各々のマッチングパターンに対応したステートマシン部より構成される。
Reetinder Sidhu, Viktor K. Prasanna, "Fast Regular Expression Matching using FPGAs",Proceedings of IEEE FCCM 2001, Apr 2001.
Christopher R. Clark, David E. Schimmel "Scalable Pattern Matching for High Speed Networks", FCCM2004, pp.249 -257, Apr 20 -23, 2004, Napa, California.
従来の技術では、パターンマッチング装置の処理データ幅を増やすと回路規模が大幅に増大してしまう問題があった。さらに、探索するマッチングパターンの数を増やすと回路規模が比例して増大してしまう問題もあった。
本発明のパターンマッチング装置の構成を採ることにより、パターンマッチング装置の回路規模の増大を抑制しつつ入力データ幅を拡張することが可能である。これにより、NIDS(Network Intrusion Detection System:ネットワーク不正侵入検知システム)に使用されるマッチングパターン全てに対応しつつ高いスループットを持つパターンマッチング装置を1つのFPGA(Field Programmable Gate Array:再構成可能な半導体集積回路)デバイス上に搭載することができる。
従来、複数のマッチングパターンそれぞれからステートマシンを生成していたが、本発明では、このステートマシンの数を集約するものである。このため、本発明のパターンマッチング装置では、複数の入力信号の積をとる演算回路と、前記演算回路の演算結果を予め決められた時間保持する保持回路と、からなる単位ステートマシンを複数備えるNFAステートマシンと、伝送された符号と、検索する符号と、の比較を行なう比較器と、を含み、前記の演算回路は、初段では予め決められた論理値の出力、あるいは、それ以降の段では前段の単位ステートマシンの出力と、上記の比較器の出力との積をとり、予め決められた段から検索結果を出力するものであって、複数の単位ステートマシンが出力端まで直列接続された少なくともひとつの構成Aと、上記の直列接続の中間点から分岐し、他の出力端まで接続された構成Bと、をもち、上記の分岐点の位置を、該分岐点の前段では、構成Aと構成Bとの行なう検索が共通の検索であるように定める。
また、ステートマシンを再構成可能な半導体集積回路上に構成して、上記のパターンマッチング装置を形成する方法は、攻撃あるいは侵入パケットを検出するルールを入力するステップと、ネットワークフレーム中のヘッダを検査するルールと、ペイロードを検査するルール(マッチングパターン)と、ヘッダルールとペイロードルールとを対応付ける表と、を分離するステップと、の後に、
1)検査ルールからNFAを生成して、ルール中のマッチングパターンそれぞれを集約したNFAを再生成するステップと、
2)生成したNFA中に存在する重複ステートを抽出して、仮のパターンマッチング回路を構成するステップと、
3)上記の仮のパターンマッチング回路における重複ゲートを抽出して、パターンマッチング回路を生成するステップと、
4)また、ヘッダ検査ルールからはヘッダ検査回路を、生成するステップと、
5)ヘッダ−ペイロードルールの対応表から検出判定回路を生成するステップと、
6)生成したパターンマッチング回路とヘッダ検査回路と検出判定回路とを、上記の再構成可能な半導体集積回路に書き込む、というものである。
1)検査ルールからNFAを生成して、ルール中のマッチングパターンそれぞれを集約したNFAを再生成するステップと、
2)生成したNFA中に存在する重複ステートを抽出して、仮のパターンマッチング回路を構成するステップと、
3)上記の仮のパターンマッチング回路における重複ゲートを抽出して、パターンマッチング回路を生成するステップと、
4)また、ヘッダ検査ルールからはヘッダ検査回路を、生成するステップと、
5)ヘッダ−ペイロードルールの対応表から検出判定回路を生成するステップと、
6)生成したパターンマッチング回路とヘッダ検査回路と検出判定回路とを、上記の再構成可能な半導体集積回路に書き込む、というものである。
また、本発明は、ネットワークインタフェース部と、ネットワークフレーム抽出部と、ヘッダとペイロード分離部と、ヘッダ検査部と、パターンマッチング部とに入力するステップと、パターンマッチング部と、検出判定部とを備えるネットワーク不正侵入検知装置の動作方法で、
1)ネットワークインタフェースを通じて入力したネットワークストリームからネットワークフレームを抽出するステップと、
2)ネットワークフレームの種別を解析してヘッダとペイロードに分離するステップと、
3)上記の分離したヘッダとペイロードとを、それぞれヘッダ検査部、パターンマッチング部に入力するステップと、
4)上記のヘッダ検査部、パターンマッチング部で各々検出された結果を、検出判定部でルールに合致するかどうか判断するステップと、
5)上記のルールに合致する場合は、検出結果を整形し外部に出力するステップと、を含み、上記のパターンマッチング部は請求項1のパターンマッチング装置で構成したものである。
1)ネットワークインタフェースを通じて入力したネットワークストリームからネットワークフレームを抽出するステップと、
2)ネットワークフレームの種別を解析してヘッダとペイロードに分離するステップと、
3)上記の分離したヘッダとペイロードとを、それぞれヘッダ検査部、パターンマッチング部に入力するステップと、
4)上記のヘッダ検査部、パターンマッチング部で各々検出された結果を、検出判定部でルールに合致するかどうか判断するステップと、
5)上記のルールに合致する場合は、検出結果を整形し外部に出力するステップと、を含み、上記のパターンマッチング部は請求項1のパターンマッチング装置で構成したものである。
また、本発明は、ネットワークインタフェース部と、ネットワークフレーム抽出部と、ヘッダ・ペイロード分離部と、ヘッダ検査部と、パターンマッチング部とに入力するステップと、パターンマッチング部と、検出判定部と、フレーム遮断・出力部とを備える侵入防止システムの動作方法で、
侵入防止システムに請求項1に記載のパターンマッチング装置を用いる方法で、
1)ネットワークインタフェースより入力されたネットワークストリームからネットワークフレームを抽出するステップと、
2)ネットワークフレームをヘッダ・ペイロード分離部とディレイ部とにそれぞれ複製して入力するステップと、
3)ヘッダ・ペイロード部によりネットワークフレームの種別を解析してヘッダとペイロードに分離し、それぞれヘッダ検査部、パターンマッチング部に入力するステップと、
4)ヘッダ部、パターンマッチング部で各々検出された結果を検出判定部でルールに合致するかどうか判断するステップと、
5)上記のルールに合致する場合は、選択されたルールをメモリ上に一時的に蓄積するステップと、
6)ディレイ部からネットワークフレームが出力される際に、対応する既に算出した検査結果をメモリより読み出すステップと、
7)上記の検査結果に従ってネットワークフレームを遮断するか出力するか決定するステップと、を含み、
上記のパターンマッチング部は上記のパターンマッチング装置で構成したものである。
侵入防止システムに請求項1に記載のパターンマッチング装置を用いる方法で、
1)ネットワークインタフェースより入力されたネットワークストリームからネットワークフレームを抽出するステップと、
2)ネットワークフレームをヘッダ・ペイロード分離部とディレイ部とにそれぞれ複製して入力するステップと、
3)ヘッダ・ペイロード部によりネットワークフレームの種別を解析してヘッダとペイロードに分離し、それぞれヘッダ検査部、パターンマッチング部に入力するステップと、
4)ヘッダ部、パターンマッチング部で各々検出された結果を検出判定部でルールに合致するかどうか判断するステップと、
5)上記のルールに合致する場合は、選択されたルールをメモリ上に一時的に蓄積するステップと、
6)ディレイ部からネットワークフレームが出力される際に、対応する既に算出した検査結果をメモリより読み出すステップと、
7)上記の検査結果に従ってネットワークフレームを遮断するか出力するか決定するステップと、を含み、
上記のパターンマッチング部は上記のパターンマッチング装置で構成したものである。
以下に、この発明の実施の形態を図面に基づいて詳細に説明する。
上記のように、従来は複数のマッチングパターンそれぞれからステートマシンを生成していたが、本発明では、このステートマシンを集約するものである。さらに、ステートマシンのステート遷移条件を生成するANDゲート2、パターン検出信号を生成するORゲート3をステートマシン1の回路と独立させる。一例として、図3に本発明の技術によるパターンマッチング装置の構成を示す。前記構成は、入力されたデータを1バイト毎に比較する比較器部、ANDゲート群、マッチングパターン全てを含んだ1つのステートマシン、ORゲート群より成る。図3の単位ステートマシンA、B、Cでは、単位ステートマシンAを共有して、AとBの、あるいはAとCの単位ステートマシンの直列接続と同様の結果が得られる。
このようにステートマシンを集約することで、ステートマシン中で同じ状態を表すステートが抽出可能となる。重複したステートを共有・削減することにより回路規模の削減を図る。さらに、ステート遷移条件を生成するAND群中にも同じ条件を表すANDゲートが抽出でき、これも共有・削減することにより一層の回路規模の削減を図る。
また、一例として、図4に同じ状態を表すステートの削減方法を示す。図4(1)、(2)は、それぞれ、従来の場合と本発明の場合、である。マッチングパターン間で接頭パターンが同じであれば、その接頭パターンを表すステートは重複しており、共有が可能である。図では「abc」「abb」の2つのマッチングパターンを例として挙げているが、「abc」「abb」は「ab」が同じであるため、このパターンを表すステートが共有されている。
次に、一例として、図5に同じステート遷移条件を生成するANDゲートの削減方法を示す。例として、処理するデータ幅が4バイトであるパターンマッチング装置において、マッチングパターン「abc」「bbc」を検出するステートマシンのステート遷移に必要な条件を示す。点線で囲まれた条件は同じ遷移条件を表しており、該当するANDゲートを共有あるいは削減することができる。
上記の共有あるいは削減により、回路規模を従来の回路構成と比べて半分以下に削減することが可能であり、1つのデバイス上にNIDSで必要とされるパターンマッチング回路を構築することが現実的となる。また、回路規模の大幅な削減により低消費電力効果が期待できる。
一般に、NFAによるパターンマッチング装置を構成する際、処理データ幅を増大しスループットの向上を図ると、回路規模が大幅に増大する。しかし、マッチングパターンからNFAベースのパターンマッチング装置を構成する際、上記の様に、各々のパターンから生成されるステートマシンを1つのステートマシンに集約して共有可能なステート等を抽出することにより、処理データ幅を増大しつつ回路規模増大の抑制を行うことができる。
次に、再構成可能な半導体集積回路をパターンマッチング回路に用いて、ステートマシンを自動生成する装置の動作方法を説明する。この装置のブロック図を図9に示す。この装置は、検出すべきネットワークフレームを特定するためのルールをルール解析部5に入力すると、分離部6でネットワークフレーム中のヘッダを検査するルール、ペイロードを検査するルール、そしてヘッダルールとペイロードルールに対応して3つに分離される。分離された信号の1つはヘッダ検査回路生成部8を通り、半導体集積回路のソースコードの一部を出力する。また、他の1つは、NFA生成部7、重複ステート・重複ゲート抽出部9、パターンマッチング回路生成部11を通り、半導体集積回路のソースコードの一部を出力する。ここでは、自動的にイーサネット(登録商標)フレームのヘッダに対するルールとペイロードに対するマッチングパターンを抽出し、ヘッダ検査回路、パターンマッチング回路、ルール検出判定回路を生成する。残りの信号は、検出判定回路生成部10で処理され半導体集積回路のソースコードの一部を出力する。これらのソースコードを用いて再構成部12で半導体集積回路の再構成を行なう。
上記のパターンマッチング回路を自動生成する装置をシグネチャ方式のNIDSに適用する場合を以下で説明する。一般に、シグネチャ方式のNIDSでは、攻撃や侵入を検出するためのルールを定義し、このルールを元に検出処理を行う。本ソフトウェアは攻撃・侵入パケットを検出するルールから、検出処理する回路を自動生成する装置である。本ソフトウェアの処理手順を図6に示す。本装置は、
1)攻撃あるいは侵入パケットを検出するルールを入力すると、
2)ネットワークフレーム中のヘッダを検査するルールとペイロードを検査するルール(マッチングパターン)、そしてヘッダルールとペイロードルールを対応付ける表の3つに分離する。
3)ペイロード検査ルールからはNFAを生成し、ルール中のマッチングパターンそれぞれを集約したNFAを再生成する。
4)そして、生成したNFA中に存在する重複ステートを抽出し、
5)仮のパターンマッチング回路を構成後、
6)さらに重複ゲートを抽出して、パターンマッチング回路を生成する。
7)また、ヘッダ検査ルールからはヘッダ検査回路、ヘッダ−ペイロードルールの対応表からは検出判定回路を生成する。
本装置では、入力した攻撃・侵入ルールからサブセットのルールを生成し回路化することもできる。また、回路が処理するデータ幅を指定することができ、容易に高いスループットを持つ回路を生成することもできる。
1)攻撃あるいは侵入パケットを検出するルールを入力すると、
2)ネットワークフレーム中のヘッダを検査するルールとペイロードを検査するルール(マッチングパターン)、そしてヘッダルールとペイロードルールを対応付ける表の3つに分離する。
3)ペイロード検査ルールからはNFAを生成し、ルール中のマッチングパターンそれぞれを集約したNFAを再生成する。
4)そして、生成したNFA中に存在する重複ステートを抽出し、
5)仮のパターンマッチング回路を構成後、
6)さらに重複ゲートを抽出して、パターンマッチング回路を生成する。
7)また、ヘッダ検査ルールからはヘッダ検査回路、ヘッダ−ペイロードルールの対応表からは検出判定回路を生成する。
本装置では、入力した攻撃・侵入ルールからサブセットのルールを生成し回路化することもできる。また、回路が処理するデータ幅を指定することができ、容易に高いスループットを持つ回路を生成することもできる。
次に、本発明をNIDS(ネットワーク不正侵入検知)装置に適用する場合について説明する。これは、あらかじめ設定されたマッチングパターンに従ってネットワークフレームを検査することで、攻撃や侵入を検出する装置である。NIDS装置の構成を図7に示す。本装置は、
1)まずネットワークIF(インタフェース)より入力されたネットワークストリームからネットワークフレームを抽出する。
2)そして、ネットワークフレームの種別を解析してヘッダとペイロードに分離し、
3)それぞれヘッダ検査部、パターンマッチング部に入力する。
4)ヘッダ部、パターンマッチング部で各々検出された結果を検出判定部でルールに合致するかどうか判断する。
5)1つのネットワークフレームが複数のルールに合致する場合は、プライオリティエンコーダにより重要なルールが選択される。最後に結果を整形し外部に出力する。
1)まずネットワークIF(インタフェース)より入力されたネットワークストリームからネットワークフレームを抽出する。
2)そして、ネットワークフレームの種別を解析してヘッダとペイロードに分離し、
3)それぞれヘッダ検査部、パターンマッチング部に入力する。
4)ヘッダ部、パターンマッチング部で各々検出された結果を検出判定部でルールに合致するかどうか判断する。
5)1つのネットワークフレームが複数のルールに合致する場合は、プライオリティエンコーダにより重要なルールが選択される。最後に結果を整形し外部に出力する。
本装置により、ネットワーク上の攻撃や侵入をネットワークのワイヤスピードで検査することができる。また、本装置を構成する、パターンマッチング、ヘッダ検査、検出判定の回路は実施例(1)で示した装置により生成される。
次に、本発明をIPS(Intrusion Protection System:侵入防止システム)装置に適用する場合について説明する。これは、あらかじめ設定されたマッチングパターンに従ってネットワークフレームを検査することで攻撃や侵入を検出し、さらに有害なネットワークフレームは遮断する装置である。IPS装置の構成を図7に示す。
1)本装置は、まずネットワークIF(インタフェース)より入力されたネットワークストリームからネットワークフレームを抽出する。
2)ネットワークフレームはヘッダ・ペイロード分離部とディレイ部にそれぞれ複製されて入力される。
3)そして、ヘッダ・ペイロード部によりネットワークフレームの種別を解析してヘッダとペイロードに分離し、
4)それぞれヘッダ検査部、パターンマッチング部に入力する。
5)ヘッダ部、パターンマッチング部で各々検出された結果を検出判定部でルールに合致するかどうか判断する。1つのネットワークフレームが複数のルールに合致する場合は、プライオリティエンコーダにより重要なルールが選択される。選択されたルールはメモリ上に一時的に蓄積される。
6)最後に、ディレイ部からネットワークフレームが出力される際に、対応する既に算出した検査結果をメモリより読み出される。
7)このとき、検査結果に従ってネットワークフレームを遮断するか出力するか決定する。
2)ネットワークフレームはヘッダ・ペイロード分離部とディレイ部にそれぞれ複製されて入力される。
3)そして、ヘッダ・ペイロード部によりネットワークフレームの種別を解析してヘッダとペイロードに分離し、
4)それぞれヘッダ検査部、パターンマッチング部に入力する。
5)ヘッダ部、パターンマッチング部で各々検出された結果を検出判定部でルールに合致するかどうか判断する。1つのネットワークフレームが複数のルールに合致する場合は、プライオリティエンコーダにより重要なルールが選択される。選択されたルールはメモリ上に一時的に蓄積される。
6)最後に、ディレイ部からネットワークフレームが出力される際に、対応する既に算出した検査結果をメモリより読み出される。
7)このとき、検査結果に従ってネットワークフレームを遮断するか出力するか決定する。
本装置により、ネットワーク上の攻撃や侵入をネットワークのワイヤスピードで検査することができるほか、危険なネットワークフレームを遮断することができる。本装置を構成する、パターンマッチング、ヘッダ検査、検出判定の回路は実施例(1)で示した装置により生成される。
本発明のパターンマッチング装置の使用目的は、ネットワークのセキュリティの向上に限定される理由はなく、データベースの検索にも用いることができる。また、文字や記号に限定する理由もなく、アナログ信号であっても、符号化した後の情報を用いて探索を行なうことができる。
1 ステートマシン
2 ANDゲート
3 ORゲート
4 単位ステートマシン
5 ルール解析部
6 分離部
7 NFA生成部
8 ヘッダ検査回路生成部
9 重複ステート・重複ゲート抽出部
10 検出判定回路生成部
11 パターンマッチング回路生成部
12 再構成部
2 ANDゲート
3 ORゲート
4 単位ステートマシン
5 ルール解析部
6 分離部
7 NFA生成部
8 ヘッダ検査回路生成部
9 重複ステート・重複ゲート抽出部
10 検出判定回路生成部
11 パターンマッチング回路生成部
12 再構成部
Claims (4)
- 複数の入力信号の積をとる演算回路と、前記演算回路の演算結果を予め決められた時間保持する保持回路と、からなる単位ステートマシンを複数備えるNFAステートマシンと、
伝送された符号と、探索する符号と、の比較を行なう比較器と、
を含み、
前記の演算回路は、初段では予め決められた論理値の出力、あるいは、それ以降の段では前段の単位ステートマシンの出力と、上記の比較器の出力との積をとり、予め決められた段から探索結果を出力するものであって、
複数の単位ステートマシンが出力端まで直列接続された少なくともひとつの構成Aと、
上記の直列接続の中間点から分岐し、他の出力端まで接続された構成Bと、をもち、
上記の分岐点の位置を、該分岐点の前段では、構成Aと構成Bとの行なう探索が共通の探索であるように定めたことを特徴とするパターンマッチング装置。 - 再構成可能な半導体集積回路上のステートマシンを用いたパターンマッチング装置の形成方法で、
1)検査ルールからNFAを生成して、ルール中のマッチングパターンそれぞれを集約したNFAを再生成するステップと、
2)生成したNFA中に存在する重複ステートを抽出して、仮のパターンマッチング回路を構成するステップと、
3)上記の仮のパターンマッチング回路における重複ゲートを抽出して、パターンマッチング回路を生成するステップと、
4)また、ヘッダ検査ルールからはヘッダ検査回路を、生成するステップと、
5)ヘッダ−ペイロードルールの対応表から検出判定回路を生成するステップと、
6)生成したパターンマッチング回路とヘッダ検査回路と検出判定回路とを、上記の再構成可能な半導体集積回路に書き込むことを特徴とする請求項1に記載のパターンマッチング装置の形成方法。 - ネットワークインタフェース部と、ネットワークフレーム抽出部と、ヘッダ・ペイロード分離部と、ヘッダ検査部と、パターンマッチング部とに入力するステップと、パターンマッチング部と、検出判定部とを備えるネットワーク不正侵入検知装置の動作方法で、
1)ネットワークインタフェースを通じて入力したネットワークストリームからネットワークフレームを抽出するステップと、
2)ネットワークフレームの種別を解析してヘッダとペイロードに分離するステップと、
3)上記の分離したヘッダとペイロードとを、それぞれヘッダ検査部、パターンマッチング部に入力するステップと、
4)上記のヘッダ検査部、パターンマッチング部で各々検出された結果を、検出判定部でルールに合致するかどうか判断するステップと、
5)上記のルールに合致する場合は、検出結果を整形し外部に出力するステップと、を含み、
上記のパターンマッチング部は請求項1のパターンマッチング装置で構成されていることを特徴とするネットワーク不正侵入検知装置の動作方法。 - ネットワークインタフェース部と、ネットワークフレーム抽出部と、ヘッダ・ペイロード分離部と、ヘッダ検査部と、パターンマッチング部とに入力するステップと、パターンマッチング部と、検出判定部と、フレーム遮断・出力部とを備える侵入防止システムの動作方法で、
侵入防止システムに請求項1に記載のパターンマッチング装置を用いる方法で、
1)ネットワークインタフェースより入力されたネットワークストリームからネットワークフレームを抽出するステップと、
2)ネットワークフレームをヘッダ・ペイロード分離部とディレイ部とにそれぞれ複製して入力するステップと、
3)ヘッダ・ペイロード部によりネットワークフレームの種別を解析してヘッダとペイロードに分離し、それぞれヘッダ検査部、パターンマッチング部に入力するステップと、
4)ヘッダ部、パターンマッチング部で各々検出された結果を検出判定部でルールに合致するかどうか判断するステップと、
5)上記のルールに合致する場合は、選択されたルールをメモリ上に一時的に蓄積するステップと、
6)ディレイ部からネットワークフレームが出力される際に、対応する既に算出した検査結果をメモリより読み出すステップと、
7)上記の検査結果に従ってネットワークフレームを遮断するか出力するか決定するステップと、を含み、
上記のパターンマッチング部は請求項1のパターンマッチング装置で構成されていることを特徴とする侵入防止システムの動作方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005333199A JP4635147B2 (ja) | 2005-11-17 | 2005-11-17 | パターンマッチング装置、その形成方法、それを用いたネットワーク不正侵入検知装置の動作方法、およびそれを用いた侵入防止システムの動作方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005333199A JP4635147B2 (ja) | 2005-11-17 | 2005-11-17 | パターンマッチング装置、その形成方法、それを用いたネットワーク不正侵入検知装置の動作方法、およびそれを用いた侵入防止システムの動作方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007142767A JP2007142767A (ja) | 2007-06-07 |
| JP4635147B2 true JP4635147B2 (ja) | 2011-02-16 |
Family
ID=38205104
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005333199A Expired - Lifetime JP4635147B2 (ja) | 2005-11-17 | 2005-11-17 | パターンマッチング装置、その形成方法、それを用いたネットワーク不正侵入検知装置の動作方法、およびそれを用いた侵入防止システムの動作方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4635147B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104135730A (zh) * | 2014-07-22 | 2014-11-05 | 西南大学 | 一种基于压缩感知的无线网络的物理层入侵检测方法 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8626688B2 (en) * | 2007-01-12 | 2014-01-07 | Nec Corporation | Pattern matching device and method using non-deterministic finite automaton |
| JP4957500B2 (ja) * | 2007-10-12 | 2012-06-20 | 日本電気株式会社 | 文字列照合回路 |
| WO2010107107A1 (ja) * | 2009-03-17 | 2010-09-23 | 日本電気株式会社 | イベント処理システム、イベント処理方法、ルール分配装置、及びプログラム記憶媒体 |
| WO2010107103A1 (ja) * | 2009-03-17 | 2010-09-23 | 日本電気株式会社 | イベント処理システム、イベント処理方法、ローカルシステム、ディスパッチャ、及びプログラム記憶媒体 |
| JP5494935B2 (ja) * | 2009-10-30 | 2014-05-21 | 日本電気株式会社 | Nfa回路 |
| US8766666B2 (en) | 2010-06-10 | 2014-07-01 | Micron Technology, Inc. | Programmable device, hierarchical parallel machines, and methods for providing state information |
| KR102045702B1 (ko) * | 2019-05-03 | 2019-11-15 | 한국과학기술원 | 심층 패킷 분석에서 정규 표현식 매칭 방법 및 그 장치 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7093023B2 (en) * | 2002-05-21 | 2006-08-15 | Washington University | Methods, systems, and devices using reprogrammable hardware for high-speed processing of streaming data to find a redefinable pattern and respond thereto |
-
2005
- 2005-11-17 JP JP2005333199A patent/JP4635147B2/ja not_active Expired - Lifetime
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104135730A (zh) * | 2014-07-22 | 2014-11-05 | 西南大学 | 一种基于压缩感知的无线网络的物理层入侵检测方法 |
| CN104135730B (zh) * | 2014-07-22 | 2017-10-13 | 西南大学 | 一种基于压缩感知的无线网络的物理层入侵检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007142767A (ja) | 2007-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Cho et al. | Deep packet filter with dedicated logic and read only memories | |
| Elnawawy et al. | FPGA-based network traffic classification using machine learning | |
| JP5674956B2 (ja) | データ整合デバイスおよび方法、ならびにネットワーク侵入検知デバイスおよび方法 | |
| US9203805B2 (en) | Reverse NFA generation and processing | |
| KR101334583B1 (ko) | 심볼 패턴에 입력 심볼 스트림을 정합하기 위한 방법 및 장치 | |
| Yang et al. | High-performance and compact architecture for regular expression matching on FPGA | |
| Le et al. | A memory-efficient and modular approach for large-scale string pattern matching | |
| US8484147B2 (en) | Pattern matching | |
| CN109474641B (zh) | 一种可破坏硬件木马的可重构交换机转发引擎解析器 | |
| Yu et al. | Revisiting state blow-up: Automatically building augmented-fa while preserving functional equivalence | |
| JP4635147B2 (ja) | パターンマッチング装置、その形成方法、それを用いたネットワーク不正侵入検知装置の動作方法、およびそれを用いた侵入防止システムの動作方法 | |
| Cho et al. | Deep network packet filter design for reconfigurable devices | |
| Yang et al. | PiDFA: A practical multi-stride regular expression matching engine based on FPGA | |
| Gardner et al. | Pattern discovery and specification techniques for alarm correlation | |
| Aldwairi et al. | Efficient Wu-Manber pattern matching hardware for intrusion and malware detection | |
| Suresh et al. | Efficient pattern matching algorithm for security and Binary Search Tree (BST) based memory system in Wireless Intrusion Detection System (WIDS) | |
| Lin et al. | Efficient pattern matching algorithm for memory architecture | |
| KR101276796B1 (ko) | 패턴 매칭 장치 및 방법 | |
| Weng et al. | Deep packet pre-filtering and finite state encoding for adaptive intrusion detection system | |
| Gong et al. | GoldenEye: stream-based network packet inspection using GPUs | |
| TW202018566A (zh) | 資訊處理裝置、資訊處理方法及資訊處理程式產品 | |
| Bando et al. | Range hash for regular expression pre-filtering | |
| Hieu et al. | Optimization of regular expression processing circuits for NIDS on FPGA | |
| Antonello et al. | Characterizing signature sets for testing DPI systems | |
| CN103957131A (zh) | 一种基于有限自动机的深度报文检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080623 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100408 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101005 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101018 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131203 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131203 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131203 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |