JP4953094B2 - パケットデータ比較器及びそれを用いたウイルスフィルタ、ウイルスチェッカ、ネットワークシステム - Google Patents

パケットデータ比較器及びそれを用いたウイルスフィルタ、ウイルスチェッカ、ネットワークシステム Download PDF

Info

Publication number
JP4953094B2
JP4953094B2 JP2008084466A JP2008084466A JP4953094B2 JP 4953094 B2 JP4953094 B2 JP 4953094B2 JP 2008084466 A JP2008084466 A JP 2008084466A JP 2008084466 A JP2008084466 A JP 2008084466A JP 4953094 B2 JP4953094 B2 JP 4953094B2
Authority
JP
Japan
Prior art keywords
virus
packet
data
virus filter
filter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008084466A
Other languages
English (en)
Other versions
JP2008271538A (ja
Inventor
栄一 高橋
正弘 安田
洋祐 飯島
正宏 村川
賢二 戸田
哲也 樋口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Institute of Advanced Industrial Science and Technology AIST
Original Assignee
National Institute of Advanced Industrial Science and Technology AIST
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National Institute of Advanced Industrial Science and Technology AIST filed Critical National Institute of Advanced Industrial Science and Technology AIST
Priority to JP2008084466A priority Critical patent/JP4953094B2/ja
Publication of JP2008271538A publication Critical patent/JP2008271538A/ja
Application granted granted Critical
Publication of JP4953094B2 publication Critical patent/JP4953094B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

この発明は、通信ネットワークを介して取得するディジタルデータから、高速に、“コンピュータウイルス”或いは“ネットワークウイルス”或いは単に“ウイルス”と呼ばれる有害データ、或いは、それに類する有害データを検出することができるパケットデータ比較器及びそれを用いたウイルスフィルタ、ウイルスチェッカ、ネットワークシステムに関する。
ひとつの通信ネットワークに接続するコンピュータが増えるにつれ、通信ネットワークを流れるデータの量は飛躍的に増加している。これらのデータの中には、コンピュータの動作を阻害するコンピュータウイルス(或いはネットワークウイルスやそれに類する有害データ)が含まれる場合があるので、そのネットワークを流れるコンピュータウイルスを監視し、ネットワークに接続したコンピュータやそれに蓄積された情報等を保全する必要性が高くなっている。
このようなコンピュータウイルスの監視は、従来、個々のコンピュータやデータを中継する機器等において、専用ソフトウェアを用いて行われており、例えば、特許文献1から特許文献3に示されるとおりである。
特許文献1は、マクロの中のウイルスの検出および除去を開示している。マクロウイルス検出モジュールはマクロ位置特定および復号化モジュールと、マクロウイルス走査モジュールと、マクロ処置モジュールと、ファイル処置モジュールと、ウイルス情報モジュールとを含むものであり、それぞれの機能は、以下のものである。マクロ位置特定および復号化モジュールは、対象ファイルがマクロを含むか否かを判定し、マクロ有りの場合にそのマクロを位置特定して復号化ずみマクロを生ずるように復号化し、マクロウイルス走査モジュールは、復号化ずみマクロにアクセスし、そのマクロがウイルスを含むか否かを判定するようにそのマクロを走査する。未知のマクロウイルスの検出は、マクロウイルス走査モジュールが、ウイルス情報モジュールからの命令識別子組含有比較データの取込みおよび前記命令識別子対応の容疑命令組合せの前記復号化ずみマクロにおける含有の有無の判定に基づいて行う。マクロ処置モジュールは前記比較データを用いて前記復号化ずみマクロの中で容疑命令を位置特定し、その容疑命令を除去して処置ずみマクロを生ずる。ファイル訂正モジュールは、汚染マクロ含有の対象ファイルにアクセスし、マクロ処置モジュールからの処置ずみマクロでその汚染マクロを置換する。
特許文献2では、コンピュータ回線網に接続されている受信側装置がコンピュータウイルスに感染した通信データを受信しないようにして、受信側装置のコンピュータウイルスによる感染を未然に防ぐコンピュータウイルス受信監視装置及びそのシステムが開示されている。これは、コンピュータ回線網からデータを受信する受信処理手段と、前記受信処理手段により受信した受信データがコンピュータウイルスに感染しているかどうかを診断する受信データ処理手段と、前記受信データが前記コンピュータウイルスに感染している場合に、これを示す感染信号を受信側装置に知らせる受信側装置間通信処理手段と、前記受信データが前記コンピュータウイルスに感染していない場合に、前記受信データを前記受信側装置に送信する送信処理手段と、を備えるコンピュータウイルス受信監視装置をコンピュータ回線網と受信側装置との間に介在させるものである。
特許文献3では、コンピュータシステムへのウイルス汚染を防止できるフレキシブルディスクドライブが開示されている。この開示では、フレキシブルディスクドライブに、コンピュータシステムからデータ読出し要求があると、フレキシブルディスクからデータを読み込んでこれを一時的に格納するバッファ、ウイルスチェックプログラムが格納されたROM、及び、ウイルスチェックプログラムに従って作動しバッファに格納されたデータにおけるウイルス存在の有無をチェックするウイルスチェックコントローラから成るウイルスチェック制御部と、ウイルスチェックの結果で異常が発見されなかったフレキシブルディスクからのデータを保持してコンピュータシステムに与えるキャッシュメモリと、を設けている。コンピュータシステム自身でウイルス存在の有無をチェックする際に生じるコンピュータシステムへのウイルス汚染を防止するものである。
しかし、ネットワーク等の通信路の転送速度の向上に従い通信路を流れるデータ量は増大しており、このような通信路の高速化により、ソフトウェアの処理速度がいずれ追従できなくなり、ウイルス監視ソフトウェアでは、パーソナルコンピュータのCPU負荷が高くなって隘路となることが予想されている。
一般に、ハードウェアはソフトウェアと比較して高速に処理することが可能であり、通信路のデータに対し、遅延を抑えて高速に監視することが可能である。しかし、一般に、ウイルスが更新された場合には、ウイルスチェックパターンを変更する必要があるが、そのためには、ウイルスチェック用ハードウェア内の監視目標となるデータ、つまりウイルスチェックパターン、を変更することになり、このためのハードウェアを変更する必要があり、日々変化する監視対象データに対応する用途には不向きである。
この問題を解消するために、FPGA(Field Programmable Gate Array)やCPLD(Complex Programmable Logic Device)等と呼ばれる書き換え可能な、或いは再構成可能な、LSI論理デバイス等を用いたウイルスチェック機器が、例えば、特許文献4に開示されている。
しかし、FPGAやCPLD等と呼ばれる書き換え可能な論理デバイスは、その汎用性の高さから、コンピュータウイルスで誤動作させることも可能であり、新たなセキュリティリスク(つまりコンピュータウイルスなどの標的となる危険性)となる可能性を有し、また、一般に高価である。また、こうした書き換え可能な論理デバイスは、一般に自分自身の構成データ(つまりコンフィギュレーション・データ)を書き換えることができないため、別に書き換え用のCPU等を用意する必要がある。
特表2001−508564号公報 特開平10−307776号公報 特開10−49365号公報 国際公開 WO 2004/075056 A1
この発明は、このような事情に鑑み、ネットワークにおいて高速に有害データ(ウイルス)を検出することができ、更新用の付加回路を必要とせず、新たなセキュリティリスクとなりづらいウイルスチェック装置を備えたネットワークシステムを実現することを目的とする。
この発明によれば、まず、情報処理手段間を結ぶデータパスから入力したパケットデータと、保管データとの一致あるいは不一致を高速に検出するパケットデータ比較器を実現できる。また、上記パケットデータ比較器を用いて高速にデータパスのコンピュータウイルスを検出するウイルスフィルタを実現することができる。また、上記のウイルスフィルタを用いて双方向のデータパスのウイルスを高速に検出するウイルスチェッカを実現できる。また、上記のウイルスチェッカを用いて、ネットワークを通じて更新することが可能なウイルスチェッカを備えたネットワークシステムを実現することができる。
このネットワークシステムでは、通信ネットワーク通信路に挿入又はネットワークカード等に追加したウイルスチェック用ハードウェアを用いて、通信ネットワークから入力されてくるデータをウイルス特徴データと照合するようにしているので、ソフトウェアに比べ高速な処理が可能であるというハードウェアの利点を生かして、有害データ即ちウイルスのパーソナルコンピュータ等への侵入をリアルタイムで検知することができ、高速にウイルスを検出して対応する対策を講じることができる。
本発明は、情報処理手段間を結ぶデータパスから入力したパケットデータと、保管データとの一致あるいは不一致を検出する比較手段を基にしている。この比較手段は、入力されたパケットデータを少なくとも3分岐する分岐手段と、
分岐されたパケットデータと保管データの一部とを比較する機能を有し、書き換え可能な記憶領域に保管された照合パターンでマッチングを行う追加パターン・マッチング部と、
分岐されたパケットデータと保管データの一部とを比較する機能を有し、既知の照合パターンに基づいて構成された論理演算でマッチングを行う固定パターン・マッチング部と、
分岐されたパケットデータと保管データの一部とを比較する機能を有し、通知用パケットを見つけるための通知パケット・マッチング部と、
上記のパターン・マッチング部と固定パターン・マッチング部と通知パケット・マッチング部のそれぞれのマッチング結果を集約する一致検出集約部と、
を備え、上記の一致検出集約部から一致あるいは不一致を検出した結果を出力するパケットデータ比較器である。
上記の固定パターン・マッチング部で行なう論理演算は、ハードウェア論理演算回路で行なうことができる。
また、上記の固定パターン・マッチング部で行なう論理演算は、プログラム方式の演算処理装置で行なうことができる。この場合、既知の照合パターンに基づいて構成された論理式に従った論理演算で行なうことが肝要である。
本発明は、また上記のパケットデータ比較器を用いており、データパスのコンピュータウイルスを検出するウイルスフィルタである。これは、入力したパケットを一時的に保管するパケット・バッファと、
上記パケット・バッファに保管されたパケットデータと保管されたフィルタリング情報とを比較する上記のパケットデータ比較器と、
通過させるパケットを出力するパケット出力手段と、
上記パケット・バッファと、比較手段と、パケット出力手段とを制御するウイルスフィルタ制御部と、を備え、データパスから入力したパケットデータに含まれているコンピュータウイルスを検出し、ウイルスが検出されたパケットデータは出力しないウイルスフィルタである。
また、本発明のウイルスフィルタは、上記情報処理手段に上記パケットデータ比較手段の比較結果を知らせる通知用パケットを生成する通知用パケット生成部をさらに備えるものでもある。
本発明はまた、上記のウイルスフィルタを用いたウイルスチェッカである。これは、上記データパスにそれぞれ接続された第1インタフェース手段と、第2インタフェース手段と、
第1インタフェース手段から第2インタフェース手段へ向かう上り回線のパケット信号のフィルタリングを行なう上り用ウイルスフィルタと、
第2インタフェース手段から第1インタフェース手段へ向かう下り回線のパケット信号のフィルタリングを行なう上記の下り用ウイルスフィルタと、
上記上り用あるいは下り用ウイルスフィルタにそれぞれ上り用あるいは下り用フィルタリング情報を提供する更新制御手段と、を備え、双方向のデータパスのウイルスを検出するものである。
上記ウイルスチェッカの構成に加えて、さらにウイルスフィルタを備えたウイルスチェッカであり、上記ウイルスフィルタは、スイッチ切り換えによって上り回線用ウイルスフィルタあるいは下り回線用ウイルスフィルタに用いることができる構成である。上り回線用ウイルスフィルタあるいは下り回線用ウイルスフィルタに用いていないウイルスフィルタについては、そのウイルス照合パターンの更新を、上記上り用ネットワーク・インターフェースまたは下り用ネットワーク・インターフェースを通じて行った後に、上り用ウイルスフィルタあるいは下り用ウイルスフィルタと入れ換えることで行う。これによって、ウイルス照合パターンの更新を行ないつつウイルスチェックを行なうことができる。
本発明はまた、上記のウイルスチェッカを用いたネットワークシステムである。ここで、上記のデータパスはネットワークであって、そのネットワークシステムは、
上記ネットワークに接続された上記のウイルスチェッカと、
上記ウイルスチェッカを介して上記ネットワークに接続された情報処理手段と、
上記ネットワークに接続されウイルス情報を提供するウイルス情報データサーバと、
上記ネットワークに接続されウイルスチェック手段の保管情報を更新するウイルスチェッカ更新サーバと、を備えるものである。
以下に、この発明の実施の形態を図面に基づいて詳細に説明する。以下の説明においては、同じ機能あるいは類似の機能をもった装置に、特別な理由がない場合には、同じ符号を用いるものとする。なお、各図面では、電源供給に係る要素等、回路動作に必要であってもこの発明に要旨に直接関係のない要素の記述は省略している。
この発明は、インターネットのような広域ネットワークや、イーサネット(登録商標)のようなLAN(Local Area Network)など、通信ネットワークを介して他の情報処理装置と通信可能な情報処理端末に適用するものであるが、この発明によるウイルスチェックでは、通信ネットワークから入力されてくるデータとウイルス特徴データとをウイルスチェック用ハードウェアを用いて照合することにより、ウイルスのパーソナルコンピュータ等への侵入をリアルタイムに検知することができる。このリアルタイム性は、ウイルスチェックをネットワークに挿入もしくはネットワークカード(NIC:Network Interface Card)に追加したハードウェアで行うことにより、高速にウイルスを検出し、予め決められた対策を講じることで、実現している。
また、ハードウェアはウイルス定義ファイルの変更が困難であるという問題があるが、これに対して、この発明では、入力したパケットあるいはその一部である入力データと照合されるウイルスパターンをハードウェアで変更することを行なう。このように変更するために、照合パターンを保持する専用メモリを用意し、その内容を書き換えることで対応する。
これに加えて、本発明は、不定長の「ワイルドカード」に対応するものである。このためには、部分パターンのマッチング結果に対して論理演算を行う回路を用意し、その論理演算の変更を回路の接続を切り換えて行なうが、この回路がスイッチ切換で変更可能になっている。このスイッチ切換で、論理デバイスのウイルスパターンを書き換える場合は、サーバ装置のウイルス定義情報又はこの情報に基づいて生成される書き換え用データをウイルスチェック装置に送ることで、ウイルスパターンを更新する。
ウイルスチェック装置内では、照合用パターンはメモリ上に保持されているが、高速な照合を実現するために、レジスタ回路を用いることでメモリ読み出しがボトルネックにならないように回路が構成されている。これによって、照合用パターンの更新を可能にしつつ、ハードウェア実装に起因する装置の高速性を実現している。つまり、通信ネットワークが高速化してトラフィックが増大しても、端末パソコンのCPUに負荷をかけることなく高速にウイルス検査を実施することができる。
ウイルスチェック装置が保持する照合用パターンを更新するためのデータは、通信ネットワークを介してサーバ装置などから配信することができる。この本発明では、照合用パターン等を更新する制御部を設けるだけでよい。また、配信するデータが大きくなるときには、差分のみを配信したり、データ圧縮技術を用いたりすることも可能である。
従来は、PLD(programmable logic device)は自分自身のコンフィギュレーション・データ(構成データ)を書き換えることが一般にできないことから、特許文献4に記載されているように、ウイルスチェック装置内にPIC(Peripheral Interface Controller)等の小規模CPU(Central Processing Unit)などを用意して、PLD等の書き換えを実現する必要があった。
つぎに、本発明において、サーバ装置による更新用データ(照合用パターンなど)を配信する方式を説明する。
(1)各ウイルスチェック装置は、サーバ装置に対して定期的にパターン更新確認を行う。
(2−1)これに対して、サーバ装置では更新がなければ無視し、
(2−2)更新用のデータがある場合には、その更新データを配信する。
(3)更新データが装置のバッファに蓄積完了したのち、
(4)通信がアイドルになったときに装置内の更新制御回路がネットワークを一時停止する。
(5)照合パターンを更新した後、ネットワークを再起動する。
なお、更新データを配信する際、デジタル署名や暗号化などのセキュアな仕組みを利用することが好ましい。
本発明によるウイルスチェック装置は、ネットワークの通信路に挿入することができる。通信プロトコルを合わせれば、あらゆる通信路(ネットワーク、IDEケーブル、データバスなど)に挿入可能である。この発明のよるウイルスチェック装置をコンピュータの外付け装置として用いる場合は電源の供給が必要であるが、供給方法には制約はなく、通常の商用電源コンセントから供給する方法の他に、たとえば、イーサネット(登録商標)のケーブル経由で供給することも可能である。また、USB接続のネットワークアダプタに組み込んだり、IEEE1394接続のネットワークアダプタに組み込んだりすることもできる。
また、ウイルスチェック装置をコンピュータ端末に内蔵させることもできる。例えば、コンピュータに内蔵されるイーサネット(登録商標)アダプタカード(NIC)上に組み込むこともできる。コンピュータに内蔵された無線LANアダプタや無線LAN用PCMCIA(Personal Computer Memory Card International Association)カードアダプタ等についても同様である。
本発明のウイルスチェック装置では、
(1)ウイルスをチェックする照合用パターンをすべてメモリ上に置き、そのメモリから照合用パターンを読み出して、通信路から入力したデータと照合する回路と、
(2)ある時点で明らかになっている照合用パターンを論理回路に展開して構成した照合論理回路に変換し、通信路から入力したデータをその照合論理回路に入力しその照合論理回路の出力をみて、照合用パターンと通信路から入力したデータとを照合する回路と、
を複合した形でウイルスチェック装置を構成するものである。
また、上記の照合用パターンを集成したウイルス定義ファイルは、その通信路にあるサーバ上に置き、定期的にあるいは求めに応じて照合用パターンを更新する際の更新用データに、容易に作成可能な変換用ソフトウェアを使用して変換することができる。これらの一連の過程は、サーバ上で全て行っても良いし、ウイルス定義をそのまま装置へ配信しウイルスチェック装置上で行うこともできるし、或いは、途中の段階のものをウイルスチェック装置へ配信して、残りの処理をウイルスチェック装置上で行うように構成することも可能である。
上記の照合論理回路では、後に実施例(図4)で詳述するように、論理回路(論理デバイス)を用いてウイルス定義と通信路を流れるデータの比較を行う。コンテンツ部分に挿入されたコンピュータウイルス検出を行う場合は、通信路から入力したパケットについて、コンテンツ以外の除去を行う前処理を施す。このように前処理を施された入力データは、論理回路の入力部(FIFO)を通過する間にウイルス定義と比較され、ウイルス定義と符合しなければそのまま通過し、符合(一致)した場合は、1)そのまま破棄されるか、あるいは、2)警報情報を出力し、例えば、パケットの削除やパケットの受け取り先への通知など、適宜、必要な処理を行う。
上述したように、既に明らかになっているコンピュータウイルスについては、ウイルスチェックハードウェア(ウイルスチェッカ)である照合論理回路によって、通信路を通過するパケットに含まれるディジタルデータを、高速に照合するようにしているので、特に、1Gbpsを超えるような超高速データ転送を行うシステムに対して、極めて有効である。
〔システムの全体構成〕
図1は、この発明の一実施例で、ウイルスチェックシステムの全体構成を概略的に示している。本体装置であるコンピュータ0102は、インターネット0103につながる通信ネットワーク0106との入力通信路側にウイルスチェック用ハードウェア装置(本発明の装置)であるウイルスチェッカ0101が挿入されている。ウイルスチェッカ0101とコンピュータ0102とを結ぶ通信ネットワーク0107は通信ネットワーク0106と同じ媒体でも異なる媒体でも本発明の機能には影響はなく、イーサネット(登録商標)などの有線ネットワークでも、無線LANなどの無線ネットワークでも、本発明は適用可能である。例えば、通信ネットワーク0106が100BASE−TXで0107が10BASE−Tの場合などでもよい。コンピュータ0102はパーソナルコンピュータ(PC、パソコン)の他、ワークステーション、その他の卓上型コンピュータ、コンピュータ・クラスタ、大型コンピュータ、PDA(Personal Digital Assistant)など、通信ネットワークに接続される情報処理機であれば何でもよく、また情報家電など内部にコンピュータを内蔵している機器でもよい。
このウイルスチェッカ0101は、通信ネットワーク0106から入力されてくるデータをウイルス特徴データ(ウイルスパターン)と照合しあるいは必要に応じて棄却することにより、ウイルスのコンピュータ等への侵入をリアルタイムに検知あるいは阻止することができ、同時に、ウイルスチェッカ0101は双方向に同じ機能を有していることから、ウイルスに感染したコンピュータが外部にウイルスをばらまくのを防ぐこともできる。また、ウイルスチェッカ0101のウイルスパターン及び照合機能デバイスは、新たに出現したウイルスに対応可能でありながら、再構成可能なPLDやFPGA等を用いずに専用LSIで構成することができる。
この場合、ウイルスチェッカ更新サーバ0104が、必要に応じて通信ネットワーク0106上のウイルス情報データサーバ0105から最新のウイルスパターンを受信し、それを用いてウイルスチェッカ0101の更新のためのデータを生成することができる。ウイルスチェッカ更新サーバ0104およびウイルス情報データサーバ0105は、パーソナルコンピュータやワークステーションなど、インターネット0103に接続され、他のコンピュータに対してデータを配信する能力を持つものであれば使用することができる。また、ウイルスチェッカ更新サーバ0104およびウイルス情報データサーバ0105は、ウイルスチェッカ0101と直接つながっていても、通信データを中継する機能を持つネットワーク・ハブを介してつながっていても、他の中継やLAN同士を接続する機能を有する機器類で接続されていても、また、図1のようにインターネットを経由して接続されていてもよい。さらに、同一のコンピュータがウイルスチェッカ更新サーバ0104およびウイルス情報データサーバ0105の両方を兼ねていてもよい。
図2は、ウイルスチェッカ0101の一構成例を示した図である。これは、外部からのデータ入力路でデータが流れてくる通信ネットワーク0106と、コンピュータ0102側の通信ネットワーク0107とで外部に接続する。通信ネットワーク0106、0107に対応したネットワーク・インターフェース0203、0204は、LANにおける物理層と呼ばれる機能を有するものである。ここで、ネットワーク・インターフェース0203と0204との違いは、接続されるネットワークの種類だけである。また、ネットワーク・インターフェース0203および0204は、双方向であるネットワークデータの入力および出力をそれぞれ分離および混合する機能もつものである。また、配線0205は、ネットワーク・インターフェース0203あるいは0204に入力されたデータの流れる配線である。同様に、配線0206は、ネットワーク・インターフェース0203あるいは0204から出力されるデータの流れる配線である。配線205あるいは206はそれぞれのウイルスフィルタ0201に接続されており、それぞれのウイルスフィルタ0201は、ネットワークデータをウイルスパターンと照合する機能を有するものである。また、更新制御部0202は、新たに出現したウイルスにウイルスチェッカを対応させるための更新機能を制御するものである。配線0207上の制御信号でウイルスフィルタの更新を制御し、配線0208上のインタフェース制御信号で一時停止あるいはデータ蓄積などの、更新中のネットワークの動作を制御する。
図3は、ウイルスフィルタ0201の一構成例を示した図である。この構成では到着したネットワーク・パケットを一時的に蓄積するパケット・バッファ0303、パケット中の実データ(ペイロードと呼ばれる)とウイルスパターンを照合するマッチング部0302、ウイルスを含まないと判断されたパケット・バッファ中のパケットを出力させるパケット出力部0305、ウイルスチェッカ更新サーバ0104にウイルス情報の更新の有無を問い合わせるパケットやコンピュータ0102にウイルス発見を知らせるパケットを生成する通知用パケット生成部0304、ウイルスフィルタ0201全体を制御するウイルスフィルタ制御部0301を備えている。新たなパケットがパケット・バッファ0303に到着すると、配線0311を通じてウイルスフィルタ制御部0301に到着を通知し、配線0306を通じて到着したパケットのペイロードがマッチング部0302に送られる。マッチング部0302での照合結果は配線0307を通じてウイルスフィルタ制御部0301に送られ、ウイルスではなかった場合は、配線0309を通じてパケット出力部0305を制御して、配線0311を通じてパケット・バッファ0303の当該パケットを出力する。
マッチング部0302での照合の結果、ウイルス情報の更新用データだった場合は、配線0207を通じて、当該パケットが更新制御部0202に送られる。このために、ウイルスフィルタ部では、ウイルス情報の他に、ウイルス情報の更新用データであることを示すデータを認識する。この認識用データは、パケットのヘッダあるいはペイロードのどちらかに設けられたものである。
逆に、配線0207を通じて更新制御部0202からウイルス情報の更新の有無の問い合わせ指示があった場合は、ウイルスフィルタ制御部0301から配線0308を通じて通知用パケット生成部0304を制御し、問い合わせパケットを生成する。通知用パケット生成部0304で生成された問い合わせ用パケットは、一端、配線0310を通じてパケット出力部0305に送られ、ウイルスフィルタ制御部0301から配線0309を通じたパケット出力部0305への指示に従い、配線206を通じて出力される。ウイルスフィルタ0201内の各部分の初期化は、配線0207を通じて更新制御部0202が行い、ウイルスフィルタ制御部0301を経由して各部分へのデータの書き込みを行う。なお、図3の構成は論理的な接続関係であり、図中のすべてのブロックを単一もしくは複数のバスで接続することも可能である。
図4は、マッチング部0302の一構成例を示した図である。この構成は、入力されたペイロードをコピーし後続の3つの部分に分配するバッファ0401、新たに出現したウイルスに対応するために追加された照合パターンでマッチングを行う追加パターン・マッチング部0403、既知の照合パターンに基づいて設計された純粋な論理回路(プログラムで動作するCPUを含まない論理回路)でマッチングを行う固定パターン・マッチング部0404、特定の目印データを含み更新データ等を運ぶ通知用の特殊なパケットを見つけるための通知パケット・マッチング部0405、一致結果を集約する一致検出集約回路0409を、備えるものである。
バッファ0401から配線0402への出力のそれぞれは、それぞれ追加パターン・マッチング部0403、固定パターン・マッチング部0404、通知パケット・マッチング部0405に入力されている。一方、追加パターン・マッチング部0403の出力に接続された配線0406、固定パターン・マッチング部0404の出力に接続された配線0407、通知パケット・マッチング部0405の出力に接続された配線0408は、全て一致検出集約回路0409に接続され、集約結果は配線0307を通じてウイルスフィルタ制御部0301に送られる。配線0307は双方向であり、ウイルスフィルタ制御部0301からは配線0307を通じて、追加パターン・マッチング部0403の更新や通知パケット・マッチング部0405の初期化が行われる。
図5は、パケット・バッファ0303の一構成例を示した図である。この構成は到着パケットを蓄積するパケット・メモリ0504、到着したパケットを空いているパケット・メモリに分配するパケット・デマルチプレクサ0501、パケット・メモリ中から指示されたパケットを選択するメモリ出力部0506、パケットの一部あるいは全部を選択的に出力するバッファード・パケット出力部0510、パケット・メモリ0504の各エントリの空き状態を管理するパケット・メモリ制御部0514、パケット・バッファ0303全体を制御するバッファ制御部0512を備えるものである。
パケット・デマルチプレクサ0501とパケット・メモリ0504とは、また、パケット・メモリ0504とメモリ出力部0506とは、それぞれ配線0502、配線0505で直接結合されている。メモリ出力部0506とバッファード・パケット出力部0510の間には2種類の配線があり、一つはパケットそのものを出力するための配線0508で、バッファード・パケット出力部0510を経由して配線0312に接続する。もう一つはパケット中のペイロードのみをマッチング部0302に出力するための配線0509で、同じくバッファード・パケット出力部0510を経由して配線0306に接続する。パケット・メモリ0504の空き状況はパケット・メモリ制御部0514で制御されるが、パケット・メモリ制御部0514は、配線0513でバッファ制御部0512と接続されている。この他に、パケット・メモリ制御部0514は、同様にバッファ制御部512を通じて、配線0503でパケット・デマルチプレクサ0501と、配線0507でメモリ出力部0506と、配線0511でバッファード・パケット出力部0510と配線0311でウイルスフィルタ制御部0301と接続されている。
図6は、パケット出力部0305の一構成例を示した図である。この構成は、パケット・バッファ0303から配線0312への出力と通知用パケット生成部0304から配線0310への出力の二者から、ウイルスフィルタ制御部0301から配線0309に出力された制御信号に従って一方を選択するパケット・マルチプレクサ0601、パケットの出力用整形や出力制御を行うパケット出力部0603である。パケット・マルチプレクサ0601とパケット出力部0603は配線0602により直接結合されている。
図7は、通知用パケット生成部0304の一構成例を示した図である。この構成は通知用パケットやそのテンプレートを格納する通知パケット・メモリ0701、ウイルスフィルタ制御部0301から配線0308に出力された指示に従って通知パケット・メモリ0701の内容を選択し出力用に整形する通知パケット出力部0703を備えるものである。通知パケット・メモリ0701と通知パケット出力部0703は配線0702により直接結合されている。
図8は、ウイルスフィルタ制御部0301の一構成例を示した図である。この構成は、ウイルスフィルタ0201内の他の部分を制御するための制御信号を生成し状態遷移を司る制御用組み合わせ回路0801、ウイルスフィルタ制御部の状態を保持する制御状態レジスタ0803を備えるものである。制御用組み合わせ回路0801と制御状態レジスタ0803は配線0802により直接結合されている。
図9は、ネットワーク・インターフェース0901の一構成例を示した図である。この構成はネットワーク・インターフェース全体を表し、図2におけるネットワーク・インターフェース0203または別のネットワーク・インターフェース0204のどちらかを表す。同様に通信ネットワーク0902は図1における通信ネットワーク0106または別の通信ネットワーク0107を表す。ハイブリッド0903は、双方向のネットワークの信号の入出力を分離するもので、分離した入力を配線0906に、出力を配線0907に接続する。0904はネットワーク出力部、0905はネットワーク入力部であり、両方ともネットワークの規格に従った物理層の処理を行う。ネットワーク出力部0904およびネットワーク入力部0905は、更新制御部0202と配線0208で接続され、更新制御部0202の指示によりウイルスフィルタ0201の更新時に通信処理を一時停止する。
次に、より短い通信断時間で、ウイルスチェッカのウイルス照合パターンの更新を可能とする例を図10に示す。図10は、ウイルスチェッカ0101の一構成例であり、図2ではウイルスフィルタ0201は双方向用に2つあったが、ここでは3つに多重化して構成したものである。さらにウイルスフィルタ0201の前にバッファを設けることでより通信段時間を短くすることができるようになるが、ここでは、説明を簡略にするため、上記のようにしている。なお、図10では更新制御部0202が省略されている。
図10のような多重構成を1.5重構成と呼ぶことにし、その特徴を説明する。一般に、1.5重構成は、予備の機能ブロックを共有することで、システムを構成するハードウェア量などを削減することができる、というメリットがある。また、耐故障性を高めるために予備の機能ブロックを用意し共有する場合もある。しかし、図10の場合は、耐故障性とは異なり、対象装置の機能停止時間、つまり本システムの場合は通信断時間、を極めて短くし、機能の継続性を高めることを目的としている。
図10におけるウイルスチェッカの構成について説明する。通信ネットワーク1001および1002は、図1における通信ネットワーク0106または別の通信ネットワーク0107に相当する。ネットワーク・インターフェース1003および1004は、図2におけるネットワーク・インターフェース0203または0204と同じでよい。また、3つのウイルスフィルタ1005、1006、1007は、図2におけるウイルスフィルタ0201と同じでよい。
スイッチ1008〜1017は、2つのネットワーク・インターフェース1003および1004と3つのウイルスフィルタ1005、1006、1007を結び、それらの接続関係を切り換えるものである。ネットワーク・インターフェース1003および1004の出力は、3つのウイルスフィルタ1005、1006、1007への接続を切り換える1:3スイッチ1008および1009にそれぞれ繋がっている。スイッチ1008および1009の3つの出力は、3つのウイルスフィルタ1005、1006、1007の入力を切り換える2:1スイッチ1012、1013、1014にそれぞれ接続されている。スイッチ1012、1013、1014の出力は、3つのウイルスフィルタ1005、1006、1007の入力に直接接続されている。3つのウイルスフィルタ1005、1006、1007の出力は、2つのネットワーク・インターフェース1003および1004への接続を選択する1:2スイッチ1015、1016、1017にそれぞれ接続されている。スイッチ1015、1016、1017の2つずつの出力は、2つのネットワーク・インターフェース1003および1004の入力を選択する3:1スイッチ1010および1011に接続されている。スイッチ1010および1011の出力は、そのまま2つのネットワーク・インターフェース1003および1004に接続されている。
図11は、多重化されたウイルスフィルタの一組み合わせ例を示す表である。ネットワーク機能の双方向性を提供する2つのパス、すなわち、ネットワーク・インターフェース1003から1004へのパスおよび1004から1003へのパスに3つのウイルスフィルタ1005、1006、1007を割り当てる組み合わせは、この表のように6通りあり、スイッチ1008〜1017の切り換えによりすべて実現可能である。
図11の表の内容を説明する。以下、説明に当たり、ネットワーク・インターフェース1003から1004へのパスを順方向、1004から1003へのパスを逆方向と呼ぶことにする。組み合わせ1では、順方向にウイルスフィルタ1005を、逆方向にウイルスフィルタ1006を接続する。組み合わせ2では、順方向にウイルスフィルタ1005を、逆方向にウイルスフィルタ1007を接続する。組み合わせ3は組み合わせ1の逆であり、順方向にウイルスフィルタ1006を、逆方向にウイルスフィルタ1005を接続する。組み合わせ4では、順方向にウイルスフィルタ1006を、逆方向にウイルスフィルタ1007を接続する。組み合わせ5は組み合わせ2の逆であり、順方向にウイルスフィルタ1007を、逆方向にウイルスフィルタ1005を接続する。組み合わせ6は組み合わせ4の逆であり、順方向にウイルスフィルタ1007を、逆方向にウイルスフィルタ1006を接続する。
図12は、多重化されたウイルスフィルタ間をつなぐスイッチの一構成例を示す表である。組み合わせ1〜6は図11の記述に対応しており、この表中には、各組み合わせを実現するためのスイッチ1008〜1017の設定内容が記載されている。表中のスイッチの状態は、選択される側が繋がっている要素の番号で示されている。つまり、1:3スイッチ1008および1009は出力側の接続先であるスイッチ1012、1013、1014のいずれか、3:1スイッチ1010および1011は入力側の接続先であるスイッチ1015、1016、1017のいずれか、2:1スイッチ1012、1013、1014は入力側の接続先であるスイッチ1008あるいは1009のいずれか、1:2スイッチ1015、1016、1017は出力側の接続先である1010あるいは1011のいずれかがそれぞれ記載されている。また、"-"は"Don’t Care"、すなわち、どこにつながっていてもいい状態を表す。
図12の表の内容を説明する。組み合わせ1では、ネットワーク・インターフェース1003に繋がるスイッチ1008の出力はスイッチ1012に設定され、対応するスイッチ1012の入力もスイッチ1008に設定され、スイッチ1012の出力はウイルスフィルタ1005に繋がっている。1005の出力が繋がるスイッチ1015の出力はスイッチ1011に設定され、対応するスイッチ1011の入力もスイッチ1015に設定され、スイッチ1011の出力はネットワーク・インターフェース1004に繋がっている。これで順方向のパスにウイルスフィルタ1005が設定される。一方、ネットワーク・インターフェース1004に繋がるスイッチ1009の出力はスイッチ1013に設定され、対応するスイッチ1013の入力もスイッチ1009に設定され、スイッチ1013の出力はウイルスフィルタ1006に繋がっている。ウイルスフィルタ1006の出力が繋がるスイッチ1016の出力はスイッチ1010に設定され、対応するスイッチ1010の入力もスイッチ1016に設定され、スイッチ1010の出力はネットワーク・インターフェース1003に繋がっている。これで逆方向のパスにウイルスフィルタ1006が設定される。ウイルスフィルタ1007は予備であり、ウイルスフィルタ1007の入出力に繋がっているスイッチ1014および1017の設定は任意である。
組み合わせ2では、ネットワーク・インターフェース1003に繋がるスイッチ1008の出力はスイッチ1012に設定され、対応するスイッチの1012の入力もスイッチ1008に設定され、スイッチ1012の出力はウイルスフィルタ1005に繋がっている。ウイルスフィルタ1005の出力が繋がるスイッチ1015の出力はスイッチ1011に設定され、対応するスイッチ1011の入力もスイッチ1015に設定され、スイッチ1011の出力はネットワーク・インターフェース1004に繋がっている。これで順方向のパスにウイルスフィルタ1005が設定される。一方、ネットワーク・インターフェース1004に繋がるスイッチ1009の出力はスイッチ1014に設定され、対応するスイッチの1014の入力もスイッチ1009に設定され、スイッチ1014の出力はウイルスフィルタ1007に繋がっている。ウイルスフィルタ1007の出力が繋がるスイッチ1017の出力はスイッチ1010に設定され、対応するスイッチ1010の入力もスイッチ1017に設定され、スイッチ1010の出力はネットワーク・インターフェース1003に繋がっている。これで逆方向のパスにウイルスフィルタ1007が設定される。ウイルスフィルタ1006は予備であり、ウイルスフィルタ1006の入出力に繋がっているスイッチ1013および1016の設定は任意である。
組み合わせ3では、ネットワーク・インターフェース1003に繋がるスイッチ1008の出力はスイッチ1013に設定され、対応するスイッチの1013の入力もスイッチ1008に設定され、スイッチ1013の出力はウイルスフィルタ1006に繋がっている。ウイルスフィルタ1006の出力が繋がるスイッチ1016の出力はスイッチ1011に設定され、対応するスイッチ1011の入力もスイッチ1016に設定され、スイッチ1011の出力はネットワーク・インターフェース1004に繋がっている。これで順方向のパスにウイルスフィルタ1006が設定される。一方、ネットワーク・インターフェース1004に繋がるスイッチ1009の出力はスイッチ1012に設定され、対応するスイッチの1012の入力もスイッチ1009に設定され、スイッチ1012の出力はウイルスフィルタ1005に繋がっている。ウイルスフィルタ1005の出力が繋がるスイッチ1015の出力はスイッチ1010に設定され、対応するスイッチ1010の入力もスイッチ1015に設定され、スイッチ1010の出力はネットワーク・インターフェース1003に繋がっている。これで逆方向のパスにウイルスフィルタ1005が設定される。ウイルスフィルタ1007は予備であり、ウイルスフィルタ1007の入出力に繋がっているスイッチ1014および1017の設定は任意である。
組み合わせ4では、ネットワーク・インターフェース1003に繋がるスイッチ1008の出力はスイッチ1013に設定され、対応するスイッチの1013の入力もスイッチ1008に設定され、スイッチ1013の出力はウイルスフィルタ1006に繋がっている。ウイルスフィルタ1006の出力が繋がるスイッチ1016の出力はスイッチ1011に設定され、対応するスイッチ1011の入力もスイッチ1016に設定され、スイッチ1011の出力はネットワーク・インターフェース1004に繋がっている。これで順方向のパスにウイルスフィルタ1006が設定される。一方、ネットワーク・インターフェース1004に繋がるスイッチ1009の出力はスイッチ1014に設定され、対応するスイッチの1014の入力もスイッチ1009に設定され、スイッチ1014の出力はウイルスフィルタ1007に繋がっている。ウイルスフィルタ1007の出力が繋がるスイッチ1017の出力はスイッチ1010に設定され、対応するスイッチ1010の入力もスイッチ1017に設定され、スイッチ1010の出力はネットワーク・インターフェース1003に繋がっている。これで逆方向のパスにウイルスフィルタ1007が設定される。ウイルスフィルタ1005は予備であり、ウイルスフィルタ1005の入出力に繋がっているスイッチ1012および1015の設定は任意である。
組み合わせ5では、ネットワーク・インターフェース1003に繋がるスイッチ1008の出力はスイッチ1014に設定され、対応するスイッチの1014の入力もスイッチ1008に設定され、スイッチ1014の出力はウイルスフィルタ1007に繋がっている。ウイルスフィルタ1007の出力が繋がるスイッチ1017の出力はスイッチ1011に設定され、対応するスイッチ1011の入力もスイッチ1017に設定され、スイッチ1011の出力はネットワーク・インターフェース1004に繋がっている。これで順方向のパスにウイルスフィルタ1007が設定される。一方、ネットワーク・インターフェース1004に繋がるスイッチ1009の出力はスイッチ1012に設定され、対応するスイッチの1012の入力もスイッチ1009に設定され、スイッチ1012の出力はウイルスフィルタ1005に繋がっている。ウイルスフィルタ1005の出力が繋がるスイッチ1015の出力はスイッチ1010に設定され、対応するスイッチ1010の入力もスイッチ1015に設定され、スイッチ1010の出力はネットワーク・インターフェース1003に繋がっている。これで逆方向のパスにウイルスフィルタ1005が設定される。ウイルスフィルタ1006は予備であり、ウイルスフィルタ1006の入出力に繋がっているスイッチ1013および1016の設定は任意である。
組み合わせ6では、ネットワーク・インターフェース1003に繋がるスイッチ1008の出力はスイッチ1014に設定され、対応するスイッチ1014の入力もスイッチ1008に設定され、スイッチ1014の出力はウイルスフィルタ1007に繋がっている。ウイルスフィルタ1007の出力が繋がるスイッチ1017の出力はスイッチ1011に設定され、対応するスイッチ1011の入力もスイッチ1017に設定され、スイッチ1011の出力はネットワーク・インターフェース1004に繋がっている。これで順方向のパスにウイルスフィルタ1007が設定される。一方、ネットワーク・インターフェース1004に繋がるスイッチ1009の出力はスイッチ1013に設定され、対応するスイッチ1013の入力もスイッチ1009に設定され、スイッチ1013の出力はウイルスフィルタ1006に繋がっている。ウイルスフィルタ1006の出力が繋がるスイッチ1016の出力はスイッチ1010に設定され、対応するスイッチ1010の入力もスイッチ1016に設定され、スイッチ1010の出力はネットワーク・インターフェース1003に繋がっている。これで逆方向のパスにウイルスフィルタ1006が設定される。ウイルスフィルタ1005は予備であり、ウイルスフィルタ1005の入出力に繋がっているスイッチ1012および1015の設定は任意である。
図13は、多重化されたウイルスフィルタの更新順序の一例を表わす表である。予備のウイルスフィルタを共有しているため、順方向と逆方向のパスを同時に更新することはできず、順番を設ける必要がある。
図13の表に示すように、更新の順序は2通りあり、1つ目は順方向すなわちネットワーク・インターフェース1003からネットワーク・インターフェース1004へのパスを先に更新し、次に、逆方向すなわちネットワーク・インターフェース1004からネットワーク・インターフェース1003へのパスを更新する。2つ目は逆方向すなわちネットワーク・インターフェース1004からネットワーク・インターフェース1003へのパスを先に更新し、次に順方向すなわちネットワーク・インターフェース1003からネットワーク・インターフェース1004へのパスを更新する。したがって、ウイルスフィルタの更新まで含めた更新の手順は次のようになる。1つ目の順序では、まず予備のウイルスフィルタを更新し、次に順方向のパスを切り換えて予備のウイルスフィルタを順方向に接続する。続いて、順方向に接続されていたウイルスフィルタを更新した後、逆方向のパスを切り換えて更新したウイルスフィルタを接続し、最後に新たに予備となったウイルスフィルタを更新する。なお、最後のウイルスフィルタの更新は必ずしも必要ではないが、ここで更新しておくことにより、ウイルスフィルタの一つが故障した場合などにすぐに予備に切り換えることができる。
この2つの順序は完全に等価であり、どちらを用いてもよい。どちらか一方に統一してもよく、更新ごとに切り換えるなど、両方を用いてもよい。
図14は、多重化されたウイルスフィルタの更新ステップの一例を表わす表であり、図13の更新順序1に従って、組み合わせ1〜6の状態の設定を具体的にどう更新するかを説明している。
更新前に組み合わせ1の状態だった場合、まず、予備のウイルスフィルタ1007を更新する。次に順方向のウイルスフィルタ1005をウイルスフィルタ1007に変更、すなわち、組み合わせ6の状態に遷移する。続いてウイルスフィルタ1005を更新し、逆方向のウイルスフィルタ1006をウイルスフィルタ1005に変更、すなわち、組み合わせ5の状態に遷移する。最後に、新たに予備となったウイルスフィルタ1006を更新して、全体の更新が完了する。
更新前に組み合わせ2の状態だった場合、まず、予備のウイルスフィルタ1006を更新する。次に順方向のウイルスフィルタ1005をウイルスフィルタ1006に変更、すなわち、組み合わせ4の状態に遷移する。続いてウイルスフィルタ1005を更新し、逆方向のウイルスフィルタ1007をウイルスフィルタ1005に変更、すなわち、組み合わせ3の状態に遷移する。最後に、新たに予備となったウイルスフィルタ1007を更新して、全体の更新が完了する。
更新前に組み合わせ3の状態だった場合、まず、予備のウイルスフィルタ1007を更新する。次に順方向のウイルスフィルタ1006をウイルスフィルタ1007に変更、すなわち、組み合わせ5の状態に遷移する。続いてウイルスフィルタ1006を更新し、逆方向のウイルスフィルタ1005をウイルスフィルタ1006に変更、すなわち、組み合わせ6の状態に遷移する。最後に、新たに予備となったウイルスフィルタ1005を更新して、全体の更新が完了する。
更新前に組み合わせ4の状態だった場合、まず、予備のウイルスフィルタ1005を更新する。次に順方向のウイルスフィルタ1006をウイルスフィルタ1005に変更、すなわち、組み合わせ2の状態に遷移する。続いてウイルスフィルタ1006を更新し、逆方向のウイルスフィルタ1007をウイルスフィルタ1006に変更、すなわち、組み合わせ1の状態に遷移する。最後に、新たに予備となったウイルスフィルタ1007を更新して、全体の更新が完了する。
更新前に組み合わせ5の状態だった場合、まず、予備のウイルスフィルタ1006を更新する。次に順方向のウイルスフィルタ1007をウイルスフィルタ1006に変更、すなわち、組み合わせ3の状態に遷移する。続いてウイルスフィルタ1007を更新し、逆方向のウイルスフィルタ1005をウイルスフィルタ1007に変更、すなわち、組み合わせ4の状態に遷移する。最後に、新たに予備となったウイルスフィルタ1005を更新して、全体の更新が完了する。
更新前に組み合わせ6の状態だった場合、まず、予備のウイルスフィルタ1005を更新する。次に順方向のウイルスフィルタ1007をウイルスフィルタ1005に変更、すなわち、組み合わせ1の状態に遷移する。続いてウイルスフィルタ1007を更新し、逆方向のウイルスフィルタ1006をウイルスフィルタ1007に変更、すなわち、組み合わせ2の状態に遷移する。最後に、新たに予備となったウイルスフィルタ1006を更新して、全体の更新が完了する。
図15は、多重化されたウイルスフィルタの更新ステップの別の一例を示す表であり、図13の更新順序2に従って、組み合わせ1〜6の状態の設定を具体的にどう更新するかを説明している。
更新前に組み合わせ1の状態だった場合、まず、予備のウイルスフィルタ1007を更新する。次に逆方向のウイルスフィルタ1006をウイルスフィルタ1007に変更、すなわち、組み合わせ2の状態に遷移する。続いてウイルスフィルタ1006を更新し、順方向のウイルスフィルタ1005をウイルスフィルタ1006に変更、すなわち、組み合わせ4の状態に遷移する。最後に、新たに予備となったウイルスフィルタ1005を更新して、全体の更新が完了する。
更新前に組み合わせ2の状態だった場合、まず、予備のウイルスフィルタ1006を更新する。次に逆方向のウイルスフィルタ1007をウイルスフィルタ1006に変更、すなわち、組み合わせ1の状態に遷移する。続いてウイルスフィルタ1007を更新し、順方向のウイルスフィルタ1005をウイルスフィルタ1007に変更、すなわち、組み合わせ6の状態に遷移する。最後に、新たに予備となったウイルスフィルタ1005を更新して、全体の更新が完了する。
更新前に組み合わせ3の状態だった場合、まず、予備のウイルスフィルタ1007を更新する。次に逆方向のウイルスフィルタ1005をウイルスフィルタ1007に変更、すなわち、組み合わせ4の状態に遷移する。続いてウイルスフィルタ1005を更新し、順方向のウイルスフィルタ1006をウイルスフィルタ1005に変更、すなわち、組み合わせ2の状態に遷移する。最後に、新たに予備となったウイルスフィルタ1006を更新して、全体の更新が完了する。
更新前に組み合わせ4の状態だった場合、まず、予備のウイルスフィルタ1005を更新する。次に逆方向のウイルスフィルタ1007をウイルスフィルタ1005に変更、すなわち、組み合わせ3の状態に遷移する。続いてウイルスフィルタ1007を更新し、順方向のウイルスフィルタ1006をウイルスフィルタ1007に変更、すなわち、組み合わせ5の状態に遷移する。最後に、新たに予備となったウイルスフィルタ1006を更新して、全体の更新が完了する。
更新前に組み合わせ5の状態だった場合、まず、予備のウイルスフィルタ1006を更新する。次に逆方向のウイルスフィルタ1005をウイルスフィルタ1006に変更、すなわち、組み合わせ6の状態に遷移する。続いてウイルスフィルタ1005を更新し、順方向のウイルスフィルタ1007をウイルスフィルタ1005に変更、すなわち、組み合わせ1の状態に遷移する。最後に、新たに予備となったウイルスフィルタ1007を更新して、全体の更新が完了する。
更新前に組み合わせ6の状態だった場合、まず、予備のウイルスフィルタ1005を更新する。次に逆方向のウイルスフィルタ1006をウイルスフィルタ1005に変更、すなわち、組み合わせ5の状態に遷移する。続いてウイルスフィルタ1006を更新し、順方向のウイルスフィルタ1007をウイルスフィルタ1006に変更、すなわち、組み合わせ3の状態に遷移する。最後に、新たに予備となったウイルスフィルタ1007を更新して、全体の更新が完了する。
図16は、ウイルスフィルタを多重化した別の一構成例を表わす図であり、機能上は図10と等価である。図10の構成では10個使用されていた切り換えスイッチが、図16の構成では12個と増えているが、スイッチ1020から1023、1030から1033、1040から1043は、すべてON/OFF型のものであり、配線のトポロジーが簡略化されて、実装が容易になっている。
図16において、ネットワーク・インターフェース1003および1004、ウイルスフィルタ1005、1006、1007は、図10の場合と同じである。しかし、スイッチの種類、構成、数、および、接続関係が異なっている。スイッチは、1020〜1023、1030〜1033、1040〜1043の3グループに分かれており、それぞれのグループは同期して接続状態が変化することで、2つのネットワークと3つのウイルスフィルタ間の接続関係が正しく切り替わる。
図17は、多重化されたウイルスフィルタをつなぐスイッチの状態の一例を表わす表である。12個のスイッチは4つずつ3つのグループに分かれており、各グループのスイッチは図17の3つの状態のいずれかをとる。
図17の状態Aでは、スイッチ1020または1030または1040がOFF、スイッチ1021または1031または1041がON、スイッチ1022または1032または1042がOFF、スイッチ1023または1033または1043がONの状態であり、それぞれのスイッチのグループが対応するウイルスフィルタを順方向のパスに接続する。
図17の状態Bでは、スイッチ1020または1030または1040がON、スイッチ1021または1031または1041がOFF、スイッチ1022または1032または1042がON、スイッチ1023または1033または1043がOFFの状態であり、それぞれのスイッチのグループが対応するウイルスフィルタを逆方向のパスに接続する。
図17の状態Cでは、グループ内の4つのスイッチがすべてOFF、すなわち、スイッチ1020または1030または1040がOFF、スイッチ1021または1031または1041がOFF、スイッチ1022または1032または1042がOFF、スイッチ1023または1033または1043がOFFの状態であり、それぞれのスイッチのグループが対応するウイルスフィルタをどこにも接続しない状態、すなわち、予備の状態にする。
図18は、多重化されたウイルスフィルタをつなぐスイッチの別の一構成例を示す表である。図10の構成に対して、図12の表のようにスイッチを接続することで、1から6までの組み合わせ状態が実現できることを上で説明した。この組み合わせ状態を、図16の構成で実現するためには、図18の表の様に接続する。この表において、状態A、B、Cは、図17で示したものである。これによって、図12に等価な1から6までの組み合わせ状態が実現できる。
図12の内容を説明する。組み合わせ1では、スイッチ1020〜1023からなるスイッチグループ(以下、スイッチグループ1)を図17の状態Aにすることでウイルスフィルタ1005を順方向のパスに設定し、スイッチ1030〜1033からなるスイッチグループ(以下、スイッチグループ2)を図17の状態Bにすることでウイルスフィルタ1006を逆方向のパスに設定し、スイッチ1040〜1043からなるスイッチグループ(以下、スイッチグループ3)を図17の状態Cにすることでウイルスフィルタ1007をどこにもつながず予備の状態にする。
組み合わせ2では、スイッチグループ1を状態Aにすることでウイルスフィルタ1005を順方向のパスに設定し、スイッチグループ3を状態Bにすることでウイルスフィルタ1007を逆方向のパスに設定し、スイッチグループ2を状態Cにすることでウイルスフィルタ1006をどこにもつながず予備の状態にする。
組み合わせ3では、スイッチグループ2を状態Aにすることでウイルスフィルタ1006を順方向のパスに設定し、スイッチグループ1を状態Bにすることでウイルスフィルタ1005を逆方向のパスに設定し、スイッチグループ3を状態Cにすることでウイルスフィルタ1007をどこにもつながず予備の状態にする。
組み合わせ4では、スイッチグループ2を状態Aにすることでウイルスフィルタ1006を順方向のパスに設定し、スイッチグループ3を状態Bにすることでウイルスフィルタ1007を逆方向のパスに設定し、スイッチグループ1を状態Cにすることでウイルスフィルタ1005をどこにもつながず予備の状態にする。
組み合わせ5では、スイッチグループ3を状態Aにすることでウイルスフィルタ1007を順方向のパスに設定し、スイッチグループ1を状態Bにすることでウイルスフィルタ1005を逆方向のパスに設定し、スイッチグループ2を状態Cにすることでウイルスフィルタ1006をどこにもつながず予備の状態にする。
組み合わせ6では、スイッチグループ3を状態Aにすることでウイルスフィルタ1007を順方向のパスに設定し、スイッチグループ2を状態Bにすることでウイルスフィルタ1006を逆方向のパスに設定し、スイッチグループ1を状態Cにすることでウイルスフィルタ1005をどこにもつながず予備の状態にする。
このように、図16の構成についても、図17のスイッチ設定と図18の組み合わせの設定を用いることで、図13〜図15のようにウイルスフィルタを更新することができる。
ここでは、図10と図16の2つの実装例を示して、1.5重構成を説明したが、他にも1.5重構成を実現する実装はあり、同様の機能を得ることができる。
なお、通信断時間を短くするだけであれば、双方向のそれぞれを二重構成にするだけでも十分である。
また、そのように二重構成で実装したシステムにおいても、合計で4つある機能ブロックのうちの1つが故障してしまった際には、1.5重構成として機能させることで、システム全体の可用性を高めることができる。
さらに、この1.5重構成は、同じ機能ブロックを複数持ち、それらの内蔵データを定期的かつ速やかに更新する必要があるすべての装置に対して有効である。
本発明のウイルスチェッカは、コンピュータに内蔵するNICやコンピュータの主要素が実装されるマザーボード、あるいはネットワーク機器であるルータ、スイッチングハブなどのデバイスに組み込むような設置方法も有効である。また、コンピュータ内部に実装されている各ネットワーク類の途中に挿入する設置方法も有効である。
以上、図示例に基づき説明したが、この発明は上述の例に限定されるものでなく、特許請求の範囲の記載の範囲内で当業者が容易に改変し得る他の構成をも含むものである。
上記の説明に於いて、固定パターン・マッチング部は、説明を簡明にするために、既知の照合パターンに基づいて設計された純粋な論理回路(プログラムで動作するCPUを含まない論理回路)であるとしたが、プログラム方式の演算処理装置で行なうこともできる。この場合、既知の照合パターンに基づいて構成された論理式に従った論理演算で行なうことが肝要である。このようにプログラム方式の演算処理装置で動作させる場合は、記憶装置に保管されたフィルタリング情報を呼び出して逐次比較を行なうのではなく、フィルタリング情報を織り込んだ論理式にパケットデータを入力して論理演算をすることによりパターン・マッチングを行なうことができる。このような論理式を作成する方法は、既によく知られている。
また、上記のパケットデータ比較器は、ネットワーク上のパケットに限る必要は無く、例えば、パーソナルコンピュータのMPUとハードディスクユニット間のデータパスに適用することもできる。
また、本発明は、コンピュータウイルスに限らず、特定のパターンを持ったパケットデータの検出にも適用することができる。
図1は、この発明の一実施例によるウイルスチェックシステム全体の構成例を表わす図である。 図2は、この発明の一実施例によるウイルスチェック装置(ウイルスチェッカ)の一構成例〔1〕を表わす図である。 図3は、この発明の一実施例によるウイルスチェック装置におけるウイルスフィルタの一構成例を表わす図である。 図4は、この発明の一実施例によるウイルスチェック装置におけるマッチング部の一構成例を表わす図である。 図5は、この発明の一実施例によるウイルスチェック装置におけるパケット・バッファの一構成例を表わす図である。 図6は、この発明の一実施例によるウイルスチェック装置におけるパケット出力部の一構成例を表わす図である。 図7は、この発明の一実施例によるウイルスチェック装置における通知用パケット生成部の一構成例を表わす図である。 図8は、この発明の一実施例によるウイルスチェック装置におけるウイルスフィルタ制御部の一構成例を示す図である。 図9は、この発明の一実施例によるウイルスチェック装置におけるLANインタフェースの一構成例を表わす図である。 図10は、この発明の一実施例によるウイルスチェック装置において、ウイルスフィルタを多重化した一構成例を表わす図である。 図11は、この発明の一実施例によるウイルスチェック装置において、多重化されたウイルスフィルタの一組み合わせ例を表わす表である。 図12は、この発明の一実施例によるウイルスチェック装置において、多重化されたウイルスフィルタをつなぐスイッチの一構成例を表わす表である。 図13は、この発明の一実施例によるウイルスチェック装置において、多重化されたウイルスフィルタの更新手順の一例を表わす表である。 図14は、この発明の一実施例によるウイルスチェック装置において、多重化されたウイルスフィルタの更新ステップの一例を表わす表である。 図15は、この発明の一実施例によるウイルスチェック装置において、多重化されたウイルスフィルタの更新ステップの別の一例を表わす表である。 図16は、この発明の一実施例によるウイルスチェック装置において、ウイルスフィルタを多重化した別の一構成例を表わす図である。 図17は、この発明の一実施例によるウイルスチェック装置において、多重化されたウイルスフィルタをつなぐスイッチの状態の一例を表わす表である。 図18は、この発明の一実施例によるウイルスチェック装置において、多重化されたウイルスフィルタをつなぐスイッチの別の一構成例を表わす表である。
符号の説明
0101 ウイルスチェッカ
0102 コンピュータ
0103 インターネット
0104 ウイルスチェッカ更新サーバ
0105 ウイルス情報データサーバ
0106、0107 通信ネットワーク
0201 ウイルスフィルタ
0202 更新制御部
0203、0204 ネットワーク・インターフェース
0205〜0208 配線
0301 ウイルスフィルタ制御部
0302 マッチング部
0303 パケット・バッファ
0304 通知用パケット生成部
0305 パケット出力部
0306〜0312 配線
0401 バッファ
0402 配線
0403 追加パターン・マッチング部
0404 固定パターン・マッチング部
0405 通知パケット・マッチング部
0406〜0408 配線
0409 一致検出集約回路
0501 パケット・デマルチプレクサ
0502、0503 配線
0504 パケット・メモリ
0505 配線
0506 メモリ出力部
0507〜0509 配線
0510 バッファード・パケット出力部
0511 配線
0512 バッファ制御部
0513 配線
0514 パケット・メモリ制御部
0601 パケット・マルチプレクサ
0602 配線
0603 パケット出力部
0701 通知パケット・メモリ
0702 配線
0703 通知パケット出力部
0801 制御用組み合わせ回路
0802 配線
0803 制御状態レジスタ
0901 ネットワーク・インターフェース
0902 通信ネットワーク
0903 ハイブリッド
0904 ネットワーク出力部
0905 ネットワーク入力部
0906、0907 配線
1001、1002 通信ネットワーク
1003、1004 ネットワーク・インターフェース
1005、1006、1007 ウイルスフィルタ
1008〜1017 スイッチ
1020〜1023 スイッチ
1030〜1033 スイッチ
1040〜1043 スイッチ

Claims (8)

  1. 情報処理手段間を結ぶデータパスから入力したパケットデータと保管データと、の一致あるいは不一致を検出する比較手段であって、
    入力されたパケットデータを少なくとも3分岐する分岐手段と、
    分岐されたパケットデータと保管データの一部とを比較する機能を有し、書き換え可能な記憶領域に保管された照合パターンでマッチングを行う追加パターン・マッチング部と、
    分岐されたパケットデータと保管データの一部とを比較する機能を有し、既知の照合パターンに基づいて構成された論理演算でマッチングを行う固定パターン・マッチング部と、
    分岐されたパケットデータと保管データの一部とを比較する機能を有し、通知用パケットを見つけるための通知パケット・マッチング部と、
    上記の追加パターン・マッチング部と固定パターン・マッチング部と通知パケット・マッチング部のそれぞれのマッチング結果を集約する一致検出集約部と、
    を備え、上記の一致検出集約部から一致あるいは不一致を検出した結果を出力することを特徴とするパケットデータ比較器。
  2. 上記の固定パターン・マッチング部で行なう論理演算は、ハードウェア論理演算回路で行なう論理演算であることを特徴とする請求項1に記載のパケットデータ比較器。
  3. 上記の固定パターン・マッチング部で行なう論理演算は、算処理装置が書き換え不能なプログラムを実行して行なう論理演算であることを特徴とする請求項1に記載のパケットデータ比較器。
  4. データパスのコンピュータウイルスを検出するウイルスフィルタであって、
    入力したパケットを一時的に保管するパケットバッファと、
    上記パケットバッファに保管されたパケットデータと保管されたフィルタリング情報とを比較する請求項1から3のいずれかに記載のパケットデータ比較器と、
    通過させるパケットを出力するパケット出力手段と、
    上記パケットバッファと、比較手段と、パケット出力手段とを制御するウイルスフィルタ制御部と、
    を備え、
    データパスから入力したパケットデータに含まれているコンピュータウイルスを検出し、ウイルスが検出されたパケットデータは出力しないことを特徴とするウイルスフィルタ。
  5. 上記情報処理手段に上記パケットデータ比較手段の比較結果を知らせる通知用パケットを生成する通知用パケット生成部をさらに備えることを特徴とする請求項4に記載のウイルスフィルタ。
  6. ウイルスチェック手段であって、
    上記データパスにそれぞれ接続された第1インタフェース手段と、第2インタフェース手段と、
    第1インタフェース手段から第2インタフェース手段へ向かう上り回線のパケット信号のフィルタリングを行なう上り用で請求項4あるいは5に記載のウイルスフィルタと、
    第2インタフェース手段から第1インタフェース手段へ向かう下り回線のパケット信号のフィルタリングを行なう下り用で請求項4あるいは5に記載のウイルスフィルタと、
    上記上り用あるいは下り用ウイルスフィルタにそれぞれ上り用あるいは下り用フィルタリング情報を提供する更新制御手段と、を備え、
    双方向のデータパスのウイルスを検出するウイルスチェッカ。
  7. 上記ウイルスチェッカの構成に加えて、さらにウイルスフィルタを備え、
    上記ウイルスフィルタは、スイッチ切り換えによって上り回線用ウイルスフィルタあるいは下り回線用ウイルスフィルタに用いることができる構成であり、
    上り回線用ウイルスフィルタあるいは下り回線用ウイルスフィルタに用いていないウイルスフィルタのウイルス照合パターンの更新を、上記上り用ネットワークインターフェースまたは下り用ネットワークインターフェースを通じて行った後に、上り用ウイルスフィルタあるいは下り用ウイルスフィルタと入れ換えることを特徴とする請求項6に記載のウイルスチェッカ。
  8. 上記のデータパスはネットワークであって、
    上記ネットワークに接続された請求項6あるいは7に記載のウイルスチェッカと、
    上記ウイルスチェッカを介して上記ネットワークに接続された情報処理手段と、
    上記ネットワークに接続されウイルス情報を提供するウイルス情報データサーバと、
    上記ネットワークに接続されウイルスチェック手段の保管情報を更新するウイルスチェッカ更新サーバと、を備え、ネットワークを通じて更新することが可能なウイルスチェッカを備えたネットワークシステム。
JP2008084466A 2007-03-27 2008-03-27 パケットデータ比較器及びそれを用いたウイルスフィルタ、ウイルスチェッカ、ネットワークシステム Expired - Fee Related JP4953094B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008084466A JP4953094B2 (ja) 2007-03-27 2008-03-27 パケットデータ比較器及びそれを用いたウイルスフィルタ、ウイルスチェッカ、ネットワークシステム

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2007080504 2007-03-27
JP2007080504 2007-03-27
JP2008084466A JP4953094B2 (ja) 2007-03-27 2008-03-27 パケットデータ比較器及びそれを用いたウイルスフィルタ、ウイルスチェッカ、ネットワークシステム

Publications (2)

Publication Number Publication Date
JP2008271538A JP2008271538A (ja) 2008-11-06
JP4953094B2 true JP4953094B2 (ja) 2012-06-13

Family

ID=40050389

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008084466A Expired - Fee Related JP4953094B2 (ja) 2007-03-27 2008-03-27 パケットデータ比較器及びそれを用いたウイルスフィルタ、ウイルスチェッカ、ネットワークシステム

Country Status (2)

Country Link
US (1) US8429749B2 (ja)
JP (1) JP4953094B2 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8381290B2 (en) * 2009-07-17 2013-02-19 Exelis Inc. Intrusion detection systems and methods
EP2360612A1 (en) * 2010-02-02 2011-08-24 British Telecommunications public limited company Security system for disabling a software contaminant and related aspects
EP2393030A3 (en) 2010-06-07 2012-02-29 Samsung SDS Co. Ltd. Anti-malware system and operating method thereof
KR101279213B1 (ko) * 2010-07-21 2013-06-26 삼성에스디에스 주식회사 시스템 온 칩 기반의 안티-멀웨어 서비스를 제공할 수 있는 디바이스 및 그 방법과 인터페이스 방법
US9043911B1 (en) * 2014-01-03 2015-05-26 Juniper Networks, Inc. Distributed learning and aging for management of internet protocol (IP) addresses
JP6231901B2 (ja) * 2014-02-20 2017-11-15 日本電信電話株式会社 フィルタリング装置及びフィルタリング制御方法
CN104243486B (zh) * 2014-09-28 2018-03-23 中国联合网络通信集团有限公司 一种病毒检测方法及系统
EP3288222B1 (en) * 2015-05-15 2019-11-13 Mitsubishi Electric Corporation Packet filtering device and packet filtering method
DE112017004148T5 (de) * 2016-08-19 2019-05-23 Semiconductor Energy Laboratory Co., Ltd. Verfahren zum Steuern der Stromzufuhr in einer Halbleitervorrichtung
JP2020145537A (ja) * 2019-03-05 2020-09-10 株式会社日立製作所 通信中継装置
US20220224673A1 (en) * 2021-01-13 2022-07-14 Terafence Ltd. System and method for isolating data flow between a secured network and an unsecured network

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH043794A (ja) * 1990-04-20 1992-01-08 Mitsubishi Electric Corp エレベータドアのトルク検出装置
JPH1049365A (ja) 1996-08-06 1998-02-20 Nec Niigata Ltd フロッピーディスクドライブ
US5951698A (en) 1996-10-02 1999-09-14 Trend Micro, Incorporated System, apparatus and method for the detection and removal of viruses in macros
JPH10307776A (ja) 1997-05-06 1998-11-17 Nec Niigata Ltd コンピュータウイルス受信監視装置及びそのシステム
JP3738802B2 (ja) * 1998-02-10 2006-01-25 富士ゼロックス株式会社 情報処理システム
US6931570B2 (en) * 2001-05-02 2005-08-16 Cyrus Peikari Self-optimizing the diagnosis of data processing systems by flexible multitasking
JP3796251B2 (ja) * 2002-09-30 2006-07-12 三洋電機株式会社 通信装置
WO2004075056A1 (ja) 2003-02-21 2004-09-02 National Institute Of Advanced Industrial Science And Technology ウイルスチェック装置及びシステム
US7386888B2 (en) * 2003-08-29 2008-06-10 Trend Micro, Inc. Network isolation techniques suitable for virus protection
EP1665715B1 (en) * 2003-09-11 2019-05-22 Bae Systems Plc Real-time network monitoring and security
JP4327630B2 (ja) * 2004-03-22 2009-09-09 株式会社日立製作所 インターネット・プロトコルを用いたストレージエリア・ネットワーク・システム、セキュリティ・システム、セキュリティ管理プログラム、ストレージ装置
US7797749B2 (en) * 2004-11-03 2010-09-14 Intel Corporation Defending against worm or virus attacks on networks

Also Published As

Publication number Publication date
US8429749B2 (en) 2013-04-23
US20090044275A1 (en) 2009-02-12
JP2008271538A (ja) 2008-11-06

Similar Documents

Publication Publication Date Title
JP4953094B2 (ja) パケットデータ比較器及びそれを用いたウイルスフィルタ、ウイルスチェッカ、ネットワークシステム
US8855112B2 (en) NoC system and input switching device
US20220030091A1 (en) Method and system for high speed data links
US8335884B2 (en) Multi-processor architecture implementing a serial switch and method of operating same
US10554585B2 (en) Communication route control system and communication route control method
US9148369B2 (en) Packet routing with analysis assist for embedded applications sharing a single network interface over multiple virtual networks
US20100098086A1 (en) Preventing Forwarding of a Packet to a Control Plane
CN103685000A (zh) 网关模块、通信系统和在用户之间传输数据的方法
US20050108425A1 (en) Software configurable cluster-based router using heterogeneous nodes as cluster nodes
US7436775B2 (en) Software configurable cluster-based router using stock personal computers as cluster nodes
US9077659B2 (en) Packet routing for embedded applications sharing a single network interface over multiple virtual networks
WO2007022238A2 (en) High-availability networking with intelligent failover
US7079538B2 (en) High-speed router
CN104272656A (zh) 软件定义网络中的网络反馈
US9571292B2 (en) Multicast packet routing via crossbar bypass paths
JP2007088949A (ja) 情報処理装置、通信負荷分散方法および通信負荷分散プログラム
US7660239B2 (en) Network data re-routing
US11314868B2 (en) Rapidly establishing a chain of trust in a computing system
JP5402688B2 (ja) パケット転送システム、パケット転送システム内におけるパケット集中回避方法
JP5287718B2 (ja) 半導体集積回路及びフィルタ制御方法
US20100082875A1 (en) Transfer device
US11381521B2 (en) Switch comprising an observation port and communication system comprising such a switch
US8144606B1 (en) Interfacing messages between a host and a network
JPWO2020129219A1 (ja) ネットワーク装置、ネットワークシステム、ネットワーク方法、およびネットワークプログラム
CN112398762B (zh) 一种网元及网元中的通信方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100210

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110616

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111206

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120201

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120228

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120301

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150323

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees