JP5003285B2 - パケット処理における情報収集方法、パケット処理における情報収集を行うプログラムおよびネットワーク装置 - Google Patents

パケット処理における情報収集方法、パケット処理における情報収集を行うプログラムおよびネットワーク装置 Download PDF

Info

Publication number
JP5003285B2
JP5003285B2 JP2007139663A JP2007139663A JP5003285B2 JP 5003285 B2 JP5003285 B2 JP 5003285B2 JP 2007139663 A JP2007139663 A JP 2007139663A JP 2007139663 A JP2007139663 A JP 2007139663A JP 5003285 B2 JP5003285 B2 JP 5003285B2
Authority
JP
Japan
Prior art keywords
packet
information
function
processing
device information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007139663A
Other languages
English (en)
Other versions
JP2008294856A (ja
Inventor
宏明 玉井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2007139663A priority Critical patent/JP5003285B2/ja
Priority to US12/125,119 priority patent/US7813290B2/en
Publication of JP2008294856A publication Critical patent/JP2008294856A/ja
Application granted granted Critical
Publication of JP5003285B2 publication Critical patent/JP5003285B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

この発明は、複数の機能処理部で構成されたネットワーク装置において、ユーザポリシに応じて受信パケットが経由される機能処理部ごとに、当該受信パケットについて当該各機能処理部が実行した処理情報を収集する処理をコンピュータに実行させる情報収集プログラム、このプログラムに対応する情報収集方法および情報収集装置に関する。
従来より、通信ネットワークシステムを構成する各通信装置の障害を検出することを目的として、各通信装置から障害情報を収集する技術が存在する(例えば、特許文献1参照)。
また、ネットワーク上を通過する各ユーザのパケットに関する複数の機能処理を統合した統合型ネットワーク装置において、意図しないパケットの破棄などがあった場合に、その原因を特定することを目的として、機能処理部ごとに処理情報を収集する技術が存在する。そして、この統合型ネットワーク装置では、例えば、意図せずに破棄された問題のパケットが存在する場合に、各機能処理部におけるサブ機能をどのように連携させて通過させるかをユーザごとに設定したユーザポリシと、機能処理部ごとに収集された処理情報とを用いて、問題となるパケットが意図せずに破棄された原因の特定を行っていた。
特開平10−23011号公報
ところで、上記した従来の技術は、意図せずに破棄されてしまった問題のパケットが存在する場合に、その破棄の原因をいち早く特定することができないという問題点があった。
すなわち、従来の技術は、意図せずに破棄されてしまった問題のパケットが、どの機能処理部をどのサブ機能で通過してきたのかについて迅速に把握できる状態で処理情報が収集されていなかったので、例えば、問題のパケットに関するユーザポリシと、このパケットが通過してきた各機能処理部の各サブ機能の連携が合致しているか否かなどを迅速に把握することができず、その原因をいち早く特定することができないという問題点があった。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、意図せずに破棄されてしまった問題のパケットが存在する場合に、その破棄の原因をいち早く特定することが可能な情報収集プログラム、情報収集方法および情報収集装置を提供することを目的とする。
上述した課題を解決し、目的を達成するため、本発明は、ユーザポリシに基づく複数の機能処理により、入力されたパケットを通過または廃棄するパケット処理における情報収集方法であって、受信したパケットの情報に基づき前記パケットが監視対象であるか否かを判別し、前記パケットが監視対象であるときは、前記パケットに前記パケットの識別情報および廃棄有無情報を含む装置内情報を付加するステップと、前記複数の機能処理のそれぞれにおいて、前記装置内情報が付加されたパケットに対し、当該パケットが当該機能処理で廃棄される設定か否か、および、当該パケットが当該機能処理における複数のサブ機能処理それぞれの対象となる設定か否かを判別し、前記サブ機能処理それぞれの対象処理の実行結果の情報を埋め込むとともに、当該パケットが当該機能処理で破棄される設定であるときは、前記装置内情報の前記廃棄有無情報を廃棄状態に更新するステップと、前記複数の機能処理が行われたパケットを受信し、前記装置内情報が付加されたパケットより、前記装置内情報を抽出するステップと、を備える。
本発明によれば、監視対象となる受信パケットを特定するためにあらかじめ設定された情報に基づいて、受信パケットが監視対象に該当するかどうかを判別するとともに、監視対象に該当するものと判別された監視対象パケットに対して、その監視対象パケットを一意に識別するための識別情報を付与し、各機能処理部において、どのユーザポリシに合致して受信パケットが処理されたかを示す各処理情報を監視対象パケットに対してさらに付与し、監視対象パケットに付与された識別情報に対応付けて監視対象パケットに付与された各処理情報を格納するので、意図せずに破棄されてしまった問題のパケットが存在する場合に、どの機能処理部をどのサブ機能で通過してきたのかについて迅速に把握できる状態で処理情報を収集することができ、その破棄の原因をいち早く特定することが可能である。
また、本発明によれば、例えば、ユーザなどから予め指定された識別情報に対応する監視対象パケットであるか否かに基づいて、監視対象パケットに付与されている各処理情報が格納対象であるかどうかを判別して、格納対象として判別された処理情報を識別情報に対応付けて格納するので、所望の処理情報のみを効率的に格納することができ、格納対象として設定された識別情報に対応する受信パケットが破棄されてしまっている場合に、その破棄の原因をいち早く特定することが可能である。
また、本発明によれば、機能処理部において破棄処理されたことを示す処理情報が監視対象パケットに付与されているか否かに基づいて、監視対象パケットに付与されている各処理情報が格納対象であるかどうかを判別し、格納対象として判別された処理情報を識別情報に対応付けて格納するので、破棄されてしまった受信パケットに関する処理情報を集中的に管理することができ、意図せずに破棄されているものについては、その破棄の原因をいち早く特定することが可能である。
また、本発明によれば、受信パケットの宛先アドレス、宛先ポート番号、および当該パケットに対応するアプリケーションユーザ識別番号に基づいて、抽出対象となるパケットを抽出するので、最小限の情報を設定するだけで、抽出対象となる受信パケットを抽出することが可能である。
以下に添付図面を参照して、本発明に係る情報収集プログラム、情報収集方法および情報収集装置の実施例を詳細に説明する。なお、以下では、本発明に係る情報収集プログラムを適用した統合型ネットワーク装置を本発明の一実施形態である実施例1として説明した後に、本発明に含まれる他の実施例を説明する。
以下の実施例1では、実施例1に係る統合型ネットワーク装置の概要および特徴、統合型ネットワーク装置の構成および処理を順に説明し、最後に実施例1による効果を説明する。
[統合型ネットワーク装置の概要および特徴(実施例1)]
まず最初に、図1を用いて、実施例1に係る統合型ネットワーク装置の概要および特徴を説明する。図1は、実施例1に係る統合型ネットワーク装置の概要および特徴を説明するための図である。
実施例1に係る統合型ネットワーク装置は、複数の機能処理部で構成され、ユーザポリシに応じて受信パケットが経由される機能処理部ごとに、受信パケットについて各機能処理部が実行した処理情報を収集することを概要とするが、機能処理部のいずれかにおいて意図せずに破棄されてしまった問題のパケットが存在する場合に、その破棄の原因をいち早く特定することが可能である点に主たる特徴がある。
この主たる特徴について具体的に説明する。実施例1に係る統合型ネットワーク装置は、図1に示すように、パケット判別処理部と、各機能処理ブロック部と、装置内情報格納処理部とを含んで構成される。このような構成のもと、他のネットワーク装置から送信されてきたパケットを受信すると、パケット判別処理部は、受信パケットが監視対象に該当するかどうか判別するとともに、判別された受信パケットに装置内情報を追加して(図1の(1)参照)、受信パケットを各機能処理ブロック部へ送出する。
具体的に説明すると、このパケット判別処理部は、監視対象となるパケットを判別するための対象パケット情報と、この対象パケット情報に対して一意に設定したパケット識別IDを対応付けて記憶するパケット判別用テーブルに基づいて、受信パケットが監視対象に該当するかどうか判別する。次に、監視対象として判別された受信パケットに対して、この受信パケットに対応するパケット識別IDをパケット判別用テーブルから抽出し、抽出したパケット識別IDを挿入した装置内情報を受信パケットに追加して、各機能処理ブロック部へ送出する。なお、装置内情報には、後述する各機能処理ブロック部を構成する機能処理部ごとに、受信パケットの処理に関する処理情報の格納位置が設けられている。
続いて、実施例1に係る統合型ネットワーク装置の各機能処理ブロック部は、パケット判別処理部から送出されてきた受信パケットに処理情報を追加して(図1の(2)参照)、受信パケットを装置内情報格納処理部へ送出する。
具体的に説明すると、各機能処理ブロック部は、例えば、ファイアウォール機能処理部と、負荷分散機能処理部と、帯域制御機能処理部と、SSLアクセラレーション機能処理部とから構成される。そして、ファイアウォール機能処理部、負荷分散機能処理部、帯域制御機能処理部、およびSSLアクセラレーション機能処理部は、この順序で受信パケットに関する処理を実行し、その処理情報を装置内情報に追加して次へ送出する。
ここで、各機能処理部が実行する処理の内容について簡単に説明する。仮に、ファイアウォール機能処理部が、機能Aから機能Fまでの複数の機能を備えているものとする。この場合、ファイアウォール機能処理部は、受信パケットの送信元であるユーザごとに、これらの機能を用いて受信パケットをどのように処理するか、その振る舞いを定義したユーザポリシに応じて受信パケット処理し、その処理内容である処理情報をファイアウォール機能処理部の機能ごとに装置内情報に設けられた所定格納位置に埋め込む。
例えば、ファイアウォール機能処理部は、「受信パケットを機能Aで通過させ、残りの機能B〜Fを通過させない」という処理を実行した場合には、機能Aによる処理情報を埋め込むために設けられた装置内情報の格納位置に1ビットの情報“1”を埋め込み、機能B〜Fによる処理情報を埋め込むためにそれぞれ設けられた装置内情報の格納位置に“0”を埋め込む。また、ファイアウォール機能処理部は、「受信パケットを廃棄する」という処理を実行した場合には、廃棄処理情報を埋め込むために設けられた装置内情報の格納位置に“1”を埋め込む。他の機能処理部である、負荷分散機能処理部、帯域制御機能処理部、およびSSLアクセラレーション機能処理部も同様にして処理を実行する。
各機能処理部の中で最後に受信パケットの処理を実行するSSLアクセラレーション機能処理部は、帯域制御機能処理部から受け付けた受信パケットに関する処理を実行すると、装置内情報格納処理部へ受信パケットを送出する。
そして、実施例1に係る統合型ネットワーク装置の装置内情報格納処理部は、各機能処理ブロック部から受信パケットを受け付けると、受信パケットに追加された装置内情報を装置内情報記憶部に格納する。具体的には、装置内情報格納処理部は、受信パケットを受け付けると、受信パケットに追加された装置内情報に含まれるパケット識別IDに対応付けて、同じく装置内情報に含まれる処理情報を格納する。このように、各機能処理部において、どのユーザポリシに合致して処理されたかを示す処理情報を受信パケットごとに格納するので、例えば、装置管理者が、装置内情報記憶部から読み出した装置内情報を解析する場合に、どの機能処理部をどのサブ機能で通過してきたのかについて迅速に把握できる状態で処理情報を収集することができる。
このようなことから、実施例1に係る統合型ネットワーク装置は、機能処理部のいずれかにおいて意図せずに破棄されてしまった問題のパケットが存在する場合に、その破棄の原因をいち早く特定することが可能である。
[統合型ネットワーク装置の構成(実施例1)]
次に、図2〜図5を用いて、実施例1に係る統合型ネットワーク装置の構成を説明する。図2は、実施例1に係る統合型ネットワーク装置の構成を示すブロック図である。図3は、実施例1に係るパケット判別用テーブルの構成例を示す図である。図4は、実施例1に係る装置内情報の構成例を示す図である。図5は、実施例1に係る装置内情報の記憶例を示す図である。
図2に示すように、実施例1に係る統合型ネットワーク装置は、通信制御I/F部11と、記憶部12と、各機能処理ブロック部13と、制御部14とから構成される。このうち、通信制御I/F部11は、他のネットワーク装置との間でやり取りする各種情報に関する通信を制御し、後述するパケット判別処理部14aに受信パケットを送出する。
記憶部12は、制御部14による各種処理に必要なデータおよびプログラムを記憶する記憶部であり、特に本発明に密接に関連するものとしては、パケット判別用テーブル12aおよび装置内情報記憶部12bを備える。
パケット判別用テーブル12aは、後述するパケット判別処理部14aにおいて実行される判別処理に用いられるテーブルであり、具体的には、図3に例示するように、監視対象となるパケットを判別するための対象パケット情報(例えば、宛先アドレス、宛先ポート番号、アプリケーションユーザ識別番号などから構成される情報)と、この対象パケット情報に対して一意に設定したパケット識別IDを対応付けて記憶して構成される。
装置内情報記憶部12bは、後述する装置内情報格納処理部14bにより格納された装置内情報を記憶する記憶部であり、具体的には、図4に例示するように、32ビットの情報からなり、パケット識別ID格納位置として10ビット、廃棄情報格納位置として1ビット、ファイアウォール処理情報格納位置として6ビット、負荷分散処理情報格納位置としてビット、帯域制御処理情報格納位置としてビット、SSLアクセラレーション処理情報格納位置としてビットの処理情報格納領域を割り当てて構成される。そして、ファイアウォール処理情報格納位置の割り当て領域を例に挙げると、この6ビットで構成される領域の各ビットには、後述するファイアウォール機能処理部13aが備える各機能処理による処理情報を埋め込まれるようになっており、処理が実行された場合には1ビットの情報“1”が埋め込まれ、処理が実行されなかった場合には1ビットの情報“0”が埋め込まれる。
各機能処理ブロック部13は、後述するパケット判別処理部14aから受け付けた受信パケットに関する各種処理を実行する処理部であり、ファイアウォール機能処理部13aと、負荷分散機能処理部13bと、帯域制御機能処理部13cと、SSLアクセラレーション機能処理部13dとから構成される。そして、ファイアウォール機能処理部13a、負荷分散機能処理部13b、帯域制御機能処理部13c、およびSSLアクセラレーション機能処理部13dは、この順序で受信パケットに関する処理を実行し、その処理情報を装置内情報に順次追加する。そして、受信パケットを最後に受け付けるSSLアクセラレーション機能処理部13dは、処理を実行した後、装置内情報格納処理部へ受信パケットを送出する。
ここで、各機能処理部が実行する処理の内容について簡単に説明する。仮に、ファイアウォール機能処理部13aが、機能Aから機能Fまでの複数の機能を備えているものとする。この場合、ファイアウォール機能処理部13aは、受信パケットの送信元であるユーザごとに、これらの機能を用いて受信パケットをどのように処理するか、その振る舞いを定義したユーザポリシに応じて受信パケットを処理し、その処理内容である処理情報をファイアウォール機能処理部の機能ごとに装置内情報に設けられた所定格納位置に埋め込む。
例えば、ファイアウォール機能処理部13aは、「受信パケットを機能Aで通過させ、残りの機能B〜Fを通過させない」という処理を実行した場合には、機能Aによる処理情報を埋め込むために設けられた装置内情報の格納位置に1ビットの情報“1”を埋め込み、機能B〜Fによる処理情報を埋め込むためにそれぞれ設けられた装置内情報の格納位置に“0”を埋め込む。また、ファイアウォール機能処理部は、「受信パケットを廃棄する」という処理を実行した場合には、廃棄処理情報を埋め込むために設けられた装置内情報の格納位置に“1”を埋め込む。他の機能処理部である、負荷分散機能処理部13b、帯域制御機能処理部13c、およびSSLアクセラレーション機能処理部13dも同様にして処理を実行する。
制御部14は、所定の制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する処理部であり、特に本発明に密接に関連するものとしては、パケット判別処理部14aおよび装置内情報格納処理部14bを備える。
パケット判別処理部14aは、通信制御I/F部11から受け付けた受信パケットを監視対象であるかどうか判別する判別処理等を実行する処理部である。具体的に説明すると、パケット判別処理部14aは、記憶部12に格納されているパケット判別用テーブル12a(図3参照)に基づいて、受信パケットが監視対象に該当するかどうか判別する。次に、監視対象として判別された受信パケットに対して、この受信パケットに対応するパケット識別IDをパケット判別用テーブルから抽出し、抽出したパケット識別IDを挿入した装置内情報を受信パケットに追加して、各機能処理ブロック部13へ送出する。
装置内情報格納処理部14bは、受信パケットに追加された装置内情報を装置内情報記憶部12bに格納する処理部である。具体的に説明すると、装置内情報格納処理部14bは、各機能処理ブロック部13(SSLアクセラレーション機能処理部13d)から受信パケットを受け付けると、受信パケットに追加された装置内情報に含まれるパケット識別IDに対応付けて、同じく装置内情報に含まれる処理情報を格納する(図5参照)。このように、各機能処理部において、どのユーザポリシに合致して処理されたかを示す処理情報を受信パケットごとに格納するので、例えば、装置管理者が、装置内情報記憶部から読み出した装置内情報を解析する場合に、どの機能処理部をどのサブ機能で通過してきたのかについて迅速に把握できる状態で処理情報を収集することができる。
[統合型ネットワーク装置の処理(実施例1)]
続いて、図6を用いて、実施例1に係る統合型ネットワーク装置の処理を説明する。図6は、実施例1に係る統合型ネットワーク装置の処理の流れを示すフローチャートである。
同図に示すように、パケットを受信すると(ステップS601肯定)、パケット判別処理部14aは、記憶部12に格納されているパケット判別用テーブル12a(図3参照)に基づいて、受信パケットが監視対象に該当するかどうか判別する(ステップS602)。次に、パケット判別処理部14aは、監視対象として判別された受信パケットに対して、この受信パケットに対応するパケット識別IDをパケット判別用テーブルから抽出し(ステップS603)、抽出したパケット識別IDを挿入した装置内情報を受信パケットに追加して(ステップS604)、各機能処理ブロック部13へ送出する。
各機能処理ブロック部13は、パケット判別処理部14aから受け付けた受信パケットに関する各種処理を実行する。すなわち、各機能処理ブロック部13を構成するファイアウォール機能処理部13a、負荷分散機能処理部13b、帯域制御機能処理部13c、およびSSLアクセラレーション機能処理部13dは、この順序で受信パケットに関する処理を実行し、その処理情報を装置内情報に順次追加する(ステップS605)。そして、受信パケットを最後に受け付けるSSLアクセラレーション機能処理部13dは、処理を実行した後、装置内情報格納処理部へ受信パケットを送出する。
装置内情報格納処理部14bは、各機能処理ブロック部13(SSLアクセラレーション機能処理部13d)から受信パケットを受け付けると、受信パケットに追加された装置内情報に含まれるパケット識別IDに対応付けて、同じく装置内情報に含まれる処理情報を格納する(ステップS606、図5参照)。
[実施例1による効果]
上述してきたように、実施例1によれば、監視対象となる受信パケットを特定するためにあらかじめ設定された情報に基づいて、受信パケットが監視対象に該当するかどうかを判別するとともに、判別されたパケットを一意に識別するためのパケット識別IDを付与し、各機能処理部において、どのユーザポリシに合致して処理されたかを示す各処理情報をパケット識別IDが付与された受信パケットに対してさらに付与し、このパケット識別IDに対応付けて各処理情報を格納するので、意図せずに破棄されてしまった問題のパケットが存在する場合に、どの機能処理部をどのサブ機能で通過してきたのかについて迅速に把握できる状態で処理情報を収集することができ、その破棄の原因をいち早く特定することが可能である。
また、実施例1によれば、受信パケットの宛先アドレス、宛先ポート番号、および当該パケットに対応するアプリケーションユーザ識別番号に基づいて、抽出対象となるパケットを抽出するので、最小限の情報を設定するだけで、抽出対象となる受信パケットを抽出することが可能である。
上記の実施例1では、装置内情報格納処理部14bは、各機能処理ブロック部13から受信パケットを受け付けると、受信パケットに追加された装置内情報を装置内情報記憶部12bに格納する場合を説明したが、本発明はこれに限定されるものではなく、装置内情報が格納対象であるかどうかを判別して格納するようにしてもよい。そこで、以下の実施例2では、実施例2に係る統合型ネットワーク装置の構成および処理を順に説明し、最後に実施例2による効果を説明する。
[統合型ネットワーク装置の構成(実施例2)]
まず、図7を用いて、実施例2に係る統合型ネットワーク装置の構成を説明する。なお、実施例2に係る統合型ネットワーク装置は、実施例1に係る統合型ネットワーク装置と基本的には同様の構成であるが、以下に説明する点が異なる。
すなわち、図7に示すように、格納対象設定部15は、装置管理者からの入力を受け付けて、装置内情報格納処理部14bに装置内情報が格納対象であるか否かを判別するための情報を設定する。例えば、格納対象設定部15は、所定のパケット識別IDを含んだ装置内情報を格納対象として判別するように設定する。
そして、装置内情報格納処理部14bは、格納対象設定部15からの設定に基づいて、受信パケットに追加された装置内情報が格納対象であるか否かを判別し、その結果、格納対象として判別された場合には、その装置内情報を装置内情報記憶部12bに格納する。
例えば、各機能処理ブロック部13(SSLアクセラレーション機能処理部13d)から受信パケットを受け付けると、装置内情報格納処理部14bは、受信パケットに追加された装置内情報に所定のパケット識別IDが含まれているか否かを確認する。確認の結果、所定のパケット識別IDが含まれている場合には、その装置内情報を装置内情報記憶部12bに格納する。
また、装置内情報格納処理部14bは、廃棄処理が実行されたことを示す情報(1ビットの情報“1”)が廃棄情報として埋め込まれている装置内情報を格納対象として判別するようにしてもよい。例えば、装置内情報格納処理部14bは、受信パケットに追加された装置内情報に含まれる処理情報に、廃棄処理が実行されことを示す情報(1ビットの情報“1”)が廃棄情報として埋め込まれているか否かを確認する。確認の結果、廃棄処理が実行されたことを示す情報が埋め込まれている場合には、その装置内情報を装置内情報記憶部12bに格納する。
[統合型ネットワーク装置の処理(実施例2)]
次に、図8を用いて、実施例2に係る統合型ネットワーク装置の処理を説明する。なお、実施例2に係る統合型ネットワーク装置の処理は、図8に示すステップS801〜ステップS805までの処理が、実施例1に係る統合型ネットワーク装置の処理、すなわち、図6に示すステップS601〜ステップS605までの処理と同様であり、以下に説明するステップS806およびステップS807の処理が異なる。
すなわち、装置内情報格納処理部14bは、格納対象設定部15からの設定に基づいて、受信パケットに追加された装置内情報が格納対象であるか否かを判別し(ステップS806)、その結果、格納対象として判別された場合には(ステップS806肯定)、その装置内情報を装置内情報記憶部12bに格納する(ステップS807)。これとは反対に、格納対象として判別されなかった場合には(ステップS806否定)、その装置内情報を装置内情報記憶部12bに格納しない。
具体的に説明すると、各機能処理ブロック部13(SSLアクセラレーション機能処理部13d)から受信パケットを受け付けると、装置内情報格納処理部14bは、受信パケットに追加された装置内情報に所定のパケット識別IDが含まれているか否かを確認する(ステップS806)。確認の結果、所定のパケット識別IDが含まれている場合には(ステップS806肯定)、その装置内情報を装置内情報記憶部12bに格納する(ステップS807)。
また、装置内情報格納処理部14bは、装置内情報に含まれる処理情報に廃棄情報として廃棄処理が実行されことを示す情報(1ビットの情報“1”)が埋め込まれているか否かを確認する(ステップS806)。確認の結果、廃棄処理が実行されことを示す情報が埋め込まれている場合には(ステップS806肯定)、その装置内情報を装置内情報記憶部12bに格納する(ステップS807)。
[実施例2による効果]
上述してきたように、実施例2によれば、例えば、ユーザなどから予め指定されたパケット識別IDが付与された受信パケットか否かを判別し、このパケット識別IDが付与されている受信パケットとして判別された場合には、その受信パケットに付与されている処理情報をパケット識別IDに対応付けて格納するので、所望の処理情報のみを効率的に格納することができ、格納対象として設定されたパケット識別IDに対応する受信パケットが破棄されてしまっている場合に、その破棄の原因をいち早く特定することが可能である。
また、実施例2によれば、機能処理部において破棄処理されたことを示す処理情報が付与された受信パケットか否かを判別し、この処理情報が付与された受信パケットであると判別された場合には、その受信パケットに付与されている処理情報をパケット識別IDに対応付けて格納するので、破棄されてしまった受信パケットに関する処理情報を集中的に管理することができ、意図せずに破棄されているものについては、その破棄の原因をいち早く特定することが可能である。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では、本発明に含まれる他の実施例を説明する。
(1)装置構成等
図2に示した統合型ネットワーク装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、統合型ネットワーク装置の分散・統合の具体的形態は図示のものに限られず、例えば、パケット判別処理部14aと装置内情報格納処理部14bとを統合するなど、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、統合型ネットワーク装置にて行なわれる各機能処理(例えば、パケット判別機能処理および装置内情報格納機能処理)は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
(2)情報収集プログラム
ところで、上記の実施例で説明した各種の処理(図6および図8等参照)は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータシステムで実行することによって実現することができる。そこで、以下では、図9を用いて、上記の実施例と同様の機能を有する情報収集プログラムを実行するコンピュータの一例を説明する。図9は、情報収集プログラムを実行するコンピュータを示す図である。
同図に示すように、統合型ネットワーク装置としてコンピュータ20は、通信制御I/F部21、HDD22、RAM23、ROM24およびCPU25をバス30で接続して構成される。
そして、ROM24には、上記の実施例に示した統合型ネットワーク装置と同様の機能を発揮する情報収集プログラム、つまり、図9に示すように、パケット判別処理プログラム24aおよび装置内情報格納処理プログラム24bがあらかじめ記憶されている。なお、これらのプログラム24aおよび24bについては、図2に示した統合型ネットワーク装置の各構成要素と同様、適宜統合または分散してもよい。なお、ROM24は、不揮発性の「RAM」でもよい。
そして、CPU25が、これらのプログラム24aおよび24bをROM24から読み出して実行することで、図9に示すように、各プログラム24aおよび24bは、パケット判別処理プロセス25aおよび装置内情報格納処理プロセス25bとして機能するようになる。なお、各プロセス25aおよび25bは、図2に示した統合型ネットワーク装置のパケット判別処理部14a、および装置内情報格納処理部14bにそれぞれ対応する。
また、HDD22には、図9に示すように、パケット判別用テーブル22aおよび装置内情報テーブル22bがそれぞれ設けられる。なお、パケット判別用テーブル22aおよび装置内情報テーブル22bは、図2に示したパケット判別用テーブル12a、および装置内情報記憶部12bにそれぞれ対応する。そして、CPU25は、パケット判別用テーブル22aおよび装置内情報テーブル22bから、パケット判別用データ23aおよび装置内情報データ23bをそれぞれ読み出してRAM23に格納し、RAM23に格納されたパケット判別用データ23aおよび装置内情報データ23bに基づいて処理を実行する。
なお、上記した各プログラム24aおよび24bについては、必ずしも最初からROM24に記憶させておく必要はなく、例えば、コンピュータ20に挿入されるフレキシブルディスク(FD)、CD−ROM、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」、または、コンピュータ20の内外に備えられるHDDなどの「固定用の物理媒体」、さらには、公衆回線、インターネット、LAN、WANなどを介してコンピュータ20に接続される「他のコンピュータ(またはサーバ)」などに各プログラムを記憶させておき、コンピュータ20がこれらから各プログラムを読み出して実行するようにしてもよい。
(付記1)複数の機能処理部で構成されたネットワーク装置において、ユーザポリシに応じて受信パケットが経由される機能処理部ごとに、当該受信パケットについて当該各機能処理部が実行した処理情報を収集する処理をコンピュータに実行させる情報収集プログラムであって、
監視対象となる受信パケットを特定するためにあらかじめ設定された情報に基づいて、受信パケットが監視対象に該当するかどうかを判別するとともに、監視対象に該当するものと判別された監視対象パケットに対して、当該監視対象パケットを一意に識別するための識別情報を付与する識別情報付与手順と、
前記各機能処理部において、どのユーザポリシに合致して前記監視対象パケットが処理されたかを示す各処理情報を前記監視対象パケットに対してさらに付与する処理情報付与手順と、
前記処理情報付与手順により前記監視対象パケットに付与された前記各処理情報を、前記識別情報付与手順により前記監視対象パケットに付与された前記識別情報に対応付けて格納する処理情報格納手順と、
をコンピュータに実行させることを特徴とする情報収集プログラム。
(付記2)前記処理情報格納手順は、前記監視対象パケットに付与されている前記各処理情報が格納対象であるかどうかを判別し、当該各処理情報が格納対象であると判別された場合には、当該監視対象パケットに付与されている前記識別情報に対応付けて当該各処理情報を格納することを特徴とする付記1に記載の情報収集プログラム。
(付記3)前記監視対象パケットに付与されている前記各処理情報が格納対象であるかどうかを判別するための判別情報として前記識別情報を設定する判別情報設定手順をさらにコンピュータに実行させ、
前記処理情報格納手順は、前記判別情報設定手順により前記判別情報として設定された識別情報と、前記監視対象パケットに付与されている識別情報とが一致する場合には、前記各処理情報が格納対象であるものと判別し、当該監視対象パケットに付与されている識別情報に対応付けて当該各処理情報を格納することを特徴とする付記2に記載の情報収集プログラム。
(付記4)前記処理情報格納手順は、前記機能処理部において破棄処理されたことを示す処理情報が前記監視対象パケットに付与されているか否かを確認し、当該破棄処理されたことを示す情報が付与されている場合には、前記各処理情報が格納対象であるものと判別し、当該監視対象パケットに付与されている識別情報に対応付けて当該各処理情報を格納することを特徴とする付記2に記載の情報収集プログラム。
(付記5)前記識別情報付与手順は、前記受信パケットの宛先アドレス、宛先ポート番号、および当該パケットに対応するアプリケーション識別番号に基づいて、抽出対象となる受信パケットを抽出することを特徴とする付記1に記載の情報収集プログラム。
(付記6)複数の機能処理部で構成されたネットワーク装置において、ユーザポリシに応じて受信パケットが経由される機能処理部ごとに、当該受信パケットについて当該各機能処理部が実行した処理情報を収集する情報収集方法であって、
監視対象となる受信パケットを特定するためにあらかじめ設定された情報に基づいて、受信パケットが監視対象に該当するかどうかを判別するとともに、監視対象に該当するものと判別された監視対象パケットに対して、当該監視対象パケットを一意に識別するための識別情報を付与する識別情報付与ステップと、
前記各機能処理部において、どのユーザポリシに合致して前記監視対象パケットが処理されたかを示す各処理情報を前記監視対象パケットに対してさらに付与する処理情報付与ステップと、
前記処理情報付与ステップにより前記監視対象パケットに付与された前記各処理情報を、前記識別情報付与ステップにより前記監視対象パケットに付与された前記識別情報に対応付けて格納する処理情報格納ステップと、
を含んだことを特徴とする情報収集方法。
(付記7)前記処理情報格納ステップは、前記監視対象パケットに付与されている前記各処理情報が格納対象であるかどうかを判別し、当該各処理情報が格納対象であると判別された場合には、当該監視対象パケットに付与されている前記識別情報に対応付けて当該各処理情報を格納することを特徴とする付記6に記載の情報収集方法。
(付記8)前記監視対象パケットに付与されている前記各処理情報が格納対象であるかどうかを判別するための判別情報として前記識別情報を設定する判別情報設定ステップをさらに含み、
前記処理情報格納ステップは、前記判別情報設定ステップにより前記判別情報として設定された識別情報と、前記監視対象パケットに付与されている識別情報とが一致する場合には、前記各処理情報が格納対象であるものと判別し、当該監視対象パケットに付与されている識別情報に対応付けて当該各処理情報を格納することを特徴とする付記7に記載の情報収集方法。
(付記9)前記処理情報格納ステップは、前記機能処理部において破棄処理されたことを示す処理情報が前記監視対象パケットに付与されているか否かを確認し、当該破棄処理されたことを示す情報が付与されている場合には、前記各処理情報が格納対象であるものと判別し、当該監視対象パケットに付与されている識別情報に対応付けて当該各処理情報を格納することを特徴とする付記7に記載の情報収集方法。
(付記10)前記識別情報付与ステップは、前記受信パケットの宛先アドレス、宛先ポート番号、および当該パケットに対応するアプリケーション識別番号に基づいて、抽出対象となる受信パケットを抽出することを特徴とする付記6に記載の情報収集方法。
(付記11)複数の機能処理部で構成され、ユーザポリシに応じて受信パケットが経由される機能処理部ごとに、当該受信パケットについて当該各機能処理部が実行した処理情報を収集する情報収集装置であって、
監視対象となる受信パケットを特定するためにあらかじめ設定された情報に基づいて、受信パケットが監視対象に該当するかどうかを判別するとともに、監視対象に該当するものと判別された監視対象パケットに対して、当該監視対象パケットを一意に識別するための識別情報を付与する識別情報付与手段と、
前記各機能処理部において、どのユーザポリシに合致して前記監視対象パケットが処理されたかを示す各処理情報を前記監視対象パケットに対してさらに付与する処理情報付与手段と、
前記処理情報付与手段により前記監視対象パケットに付与された前記各処理情報を、前記識別情報付与手段により前記監視対象パケットに付与された前記識別情報に対応付けて格納する処理情報格納手段と、
を備えたことを特徴とする情報収集装置。
(付記12)前記処理情報格納手段は、前記監視対象パケットに付与されている前記各処理情報が格納対象であるかどうかを判別し、当該各処理情報が格納対象であると判別された場合には、当該監視対象パケットに付与されている前記識別情報に対応付けて当該各処理情報を格納することを特徴とする付記11に記載の情報収集装置。
(付記13)前記監視対象パケットに付与されている前記各処理情報が格納対象であるかどうかを判別するための判別情報として前記識別情報を設定する判別情報設定手段をさらに備え、
前記処理情報格納手段は、前記判別情報設定手段により前記判別情報として設定された識別情報と、前記監視対象パケットに付与されている識別情報とが一致する場合には、前記各処理情報が格納対象であるものと判別し、当該監視対象パケットに付与されている識別情報に対応付けて当該各処理情報を格納することを特徴とする付記12に記載の情報収集装置。
(付記14)前記処理情報格納手段は、前記機能処理部において破棄処理されたことを示す処理情報が前記監視対象パケットに付与されているか否かを確認し、当該破棄処理されたことを示す情報が付与されている場合には、前記各処理情報が格納対象であるものと判別し、当該監視対象パケットに付与されている識別情報に対応付けて当該各処理情報を格納することを特徴とする付記12に記載の情報収集装置。
(付記15)前記識別情報付与手段は、前記受信パケットの宛先アドレス、宛先ポート番号、および当該パケットに対応するアプリケーション識別番号に基づいて、抽出対象となる受信パケットを抽出することを特徴とする付記11に記載の情報収集装置。
以上のように、本発明に係る情報収集プログラム、情報収集方法および情報収集装置は、複数の機能処理部で構成されたネットワーク装置において、ユーザポリシに応じて受信パケットが経由される機能処理部ごとに、当該受信パケットについて当該各機能処理部が実行した処理情報を収集する処理をコンピュータに実行させる場合等に有用であり、特に、意図せずに破棄されてしまった問題のパケットが存在する場合に、その破棄の原因をいち早く特定することに適する。
実施例1に係る統合型ネットワーク装置の概要および特徴を説明するための図である。 実施例1に係る統合型ネットワーク装置の構成を示すブロック図である。 実施例1に係るパケット判別用テーブルの構成例を示す図である。 実施例1に係る装置内情報の構成例を示す図である。 実施例1に係る装置内情報の記憶例を示す図である。 実施例1に係る統合型ネットワーク装置の処理の流れを示すフローチャートである。 実施例2に係る統合型ネットワーク装置の構成を示すブロック図である。 実施例2に係る統合型ネットワーク装置の処理の流れを示すフローチャートである。 情報収集プログラムを実行するコンピュータを示す図である。
符号の説明
10 統合型ネットワーク装置
11 通信制御I/F部
12 記憶部
13 各機能処理ブロック部
13a ファイアウォール機能処理部
13b 負荷分散機能処理部
13c 帯域制御機能処理部
13d SSLアクセラレーション機能処理部
14 制御部
14a パケット判別処理部
14b 装置内情報格納処理部
15 格納対象設定部
20 コンピュータ
21 通信制御I/F部
22 HDD(Hard Disk Drive)
23 RAM(Random Access Memory)
24 ROM(Read Only Memory)
25 CPU(Central Processing Unit)
30 バス

Claims (4)

  1. ユーザポリシに基づく複数の機能処理により、入力されたパケットを通過または廃棄するパケット処理における情報収集方法であって、
    受信したパケットの情報に基づき前記パケットが監視対象であるか否かを判別し、前記パケットが監視対象であるときは、前記パケットに前記パケットの識別情報および廃棄有無情報を含む装置内情報を付加するステップと、
    前記複数の機能処理のそれぞれにおいて、前記装置内情報が付加されたパケットに対し、当該パケットが当該機能処理で廃棄される設定か否か、および、当該パケットが当該機能処理における複数のサブ機能処理それぞれの対象となる設定か否かを判別し、前記サブ機能処理それぞれの対象処理の実行結果の情報を埋め込むとともに、当該パケットが当該機能処理で破棄される設定であるときは、前記装置内情報の前記廃棄有無情報を廃棄状態に更新するステップと、
    前記複数の機能処理が行われたパケットを受信し、前記装置内情報が付加されたパケットより、前記装置内情報を抽出するステップと、
    を備えたことを特徴とするパケット処理における情報収集方法。
  2. 請求項1に記載の情報収集方法であって、
    受信したパケットの情報に基づき前記パケットが監視対象であるか否かを判別する際は、前記パケットの宛先アドレス、宛先ポート番号、および、当該パケットに対応するアプリケーションユーザ識別番号の情報に基づき前記パケットが監視対象であるか否かを判別することを特徴とする情報収集方法。
  3. ユーザポリシに基づく複数の機能処理により、入力されたパケットを通過または廃棄するパケット処理における情報収集を行うプログラムであって、
    受信したパケットの情報に基づき前記パケットが監視対象であるか否かを判別し、前記パケットが監視対象であるときは、前記パケットに前記パケットの識別情報および廃棄有無情報を含む装置内情報を付加する手順と、
    前記複数の機能処理のそれぞれにおいて、前記装置内情報が付加されたパケットに対し、当該パケットが当該機能処理で廃棄される設定か否か、および、当該パケットが当該機能処理における複数のサブ機能処理それぞれの対象となる設定か否かを判別し、前記サブ機能処理それぞれの対象処理の実行結果の情報を埋め込むとともに、当該パケットが当該機能処理で破棄される設定であるときは、前記装置内情報の前記廃棄有無情報を廃棄状態に更新する手順と、
    前記複数の機能処理が行われたパケットを受信し、前記装置内情報が付加されたパケットより、前記装置内情報を抽出する手順と、
    を備えることを特徴とするプログラム。
  4. パケットを受信し、前記パケットの情報に基づき前記パケットが監視対象であるか否かを判別し、前記パケットが監視対象であるときは、前記パケットに前記パケットの識別情報および廃棄有無情報を含む装置内情報を付加するパケット判別処理部と、
    前記パケット判別処理部から出力されたパケットを、複数の機能処理部で処理する各処理機能ブロック部と、
    前記各処理機能ブロック部から出力されたパケットを入力し、前記装置内情報が付加されたパケットより前記装置内情報を抽出し保存する装置内情報格納処理部とを備え、
    前記複数の機能処理部は、それぞれ複数のサブ機能処理部を備えたネットワーク装置であって、
    前記機能処理部が前記装置内情報が付加されたパケットを廃棄する設定であるときは、当該パケットの前記装置内情報の前記廃棄有無情報を廃棄状態に更新し、
    前記サブ機能処理部が前記装置内情報が付加されたパケットを処理する設定であるときは、当該パケットの前記装置内情報に前記サブ機能処理それぞれの対象処理の実行結果の情報を埋め込むとともに、当該パケットが当該機能処理で破棄される設定であるときは、前記装置内情報の前記廃棄有無情報を廃棄状態に更新する、
    ことを特徴とするネットワーク装置。
JP2007139663A 2007-05-25 2007-05-25 パケット処理における情報収集方法、パケット処理における情報収集を行うプログラムおよびネットワーク装置 Expired - Fee Related JP5003285B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2007139663A JP5003285B2 (ja) 2007-05-25 2007-05-25 パケット処理における情報収集方法、パケット処理における情報収集を行うプログラムおよびネットワーク装置
US12/125,119 US7813290B2 (en) 2007-05-25 2008-05-22 Program, method and apparatus for collecting information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007139663A JP5003285B2 (ja) 2007-05-25 2007-05-25 パケット処理における情報収集方法、パケット処理における情報収集を行うプログラムおよびネットワーク装置

Publications (2)

Publication Number Publication Date
JP2008294856A JP2008294856A (ja) 2008-12-04
JP5003285B2 true JP5003285B2 (ja) 2012-08-15

Family

ID=40072293

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007139663A Expired - Fee Related JP5003285B2 (ja) 2007-05-25 2007-05-25 パケット処理における情報収集方法、パケット処理における情報収集を行うプログラムおよびネットワーク装置

Country Status (2)

Country Link
US (1) US7813290B2 (ja)
JP (1) JP5003285B2 (ja)

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3557790B2 (ja) 1996-07-05 2004-08-25 株式会社日立製作所 通信システムおよび障害情報処理方法
AU3517899A (en) * 1999-03-12 2000-10-04 Nokia Networks Oy Interception system and method
JP4481518B2 (ja) * 2001-03-19 2010-06-16 株式会社日立製作所 情報中継装置及び転送方法
JP4157403B2 (ja) * 2003-03-19 2008-10-01 株式会社日立製作所 パケット通信装置
JP2005157727A (ja) * 2003-11-26 2005-06-16 Hitachi Ltd ログ処理方法及びその処理プログラム並びに実施システム
JP2005341361A (ja) 2004-05-28 2005-12-08 Matsushita Electric Ind Co Ltd 無線画像伝送システムおよびその伝送方法
US7564846B2 (en) * 2004-08-30 2009-07-21 Dezonno Anthony J Method of collecting communication system information
JP2006229830A (ja) * 2005-02-21 2006-08-31 Hitachi Ltd パケット通信装置
US20060288096A1 (en) * 2005-06-17 2006-12-21 Wai Yim Integrated monitoring for network and local internet protocol traffic

Also Published As

Publication number Publication date
US7813290B2 (en) 2010-10-12
US20080291836A1 (en) 2008-11-27
JP2008294856A (ja) 2008-12-04

Similar Documents

Publication Publication Date Title
EP3373179B1 (en) Information processing device, information processing method, and information processing program
US10104124B2 (en) Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program
US20130212681A1 (en) Security Monitoring System and Security Monitoring Method
RU2419986C2 (ru) Объединение многострочных протокольных вхождений
US20170149830A1 (en) Apparatus and method for automatically generating detection rule
US20110016528A1 (en) Method and Device for Intrusion Detection
EP2252038B1 (en) Syslog message routing systems and methods
JP2009017298A (ja) データ分析装置
JP2017147575A (ja) 制御プログラム、制御装置、および、制御方法
EP3151124A1 (en) On-board information system and information processing method therefor
JP6962374B2 (ja) ログ分析装置、ログ分析方法及びプログラム
US8468238B2 (en) Computer product, apparatus and method for generating configuration-information for use in monitoring information technology services
JP5003285B2 (ja) パケット処理における情報収集方法、パケット処理における情報収集を行うプログラムおよびネットワーク装置
JP2008140102A (ja) 情報処理装置及び漏洩情報判定方法及びプログラム
US11595419B2 (en) Communication monitoring system, communication monitoring apparatus, and communication monitoring method
JP5447394B2 (ja) セキュリティ監視方法、セキュリティ監視システム、セキュリティ監視プログラム
US11652836B2 (en) Non-transitory computer-readable storage medium, detection method, and information processing device
JP2009077194A (ja) ゲートウェイ装置及びゲートウェイ装置のゲートウェイ方法
KR101410233B1 (ko) 네트워크 세션 행위 패턴 모델링 탐지방법 및 모델링탐지시스템
JP2014078126A (ja) 機器のリモートログ収集システム及び機器のリモートログ収集方法
JP5534885B2 (ja) 分散データ処理最適化装置および分散データ処理最適化方法
KR102484886B1 (ko) 정보 유출 모니터링 서버 및 방법
CN110505189A (zh) 终端安全代理突破的识别方法、识别设备及存储介质
JP6721542B2 (ja) トラヒック制御装置、方法、およびプログラム
JP7015498B2 (ja) 通信システム、情報提供装置、プログラム及び情報提供方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100205

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110616

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110628

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110829

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111025

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120131

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120402

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120424

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120507

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150601

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5003285

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees