JP6007458B2 - パケット受信方法、ディープ・パケット・インスペクション装置及びシステム - Google Patents

パケット受信方法、ディープ・パケット・インスペクション装置及びシステム Download PDF

Info

Publication number
JP6007458B2
JP6007458B2 JP2015518769A JP2015518769A JP6007458B2 JP 6007458 B2 JP6007458 B2 JP 6007458B2 JP 2015518769 A JP2015518769 A JP 2015518769A JP 2015518769 A JP2015518769 A JP 2015518769A JP 6007458 B2 JP6007458 B2 JP 6007458B2
Authority
JP
Japan
Prior art keywords
service server
address
domain name
packet
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015518769A
Other languages
English (en)
Other versions
JP2015525991A (ja
Inventor
郭 建成
建成 郭
正▲剛▼ ▲尤▼
正▲剛▼ ▲尤▼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=47484676&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP6007458(B2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2015525991A publication Critical patent/JP2015525991A/ja
Application granted granted Critical
Publication of JP6007458B2 publication Critical patent/JP6007458B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は通信の分野に関し、より詳細には、パケット受信方法、ディープ・パケット・インスペクション装置及びシステムに関する。
今日では、インターネットサービスはますます高度化してきたとともに、サービスの種類も徐々に増加しており、ユーザ端末は、ビデオウェブサイト及びゲームウェブサイトのようなウェブサイトにアクセスでき、そのようなウェブサイトは、無料であるか、又はオペレータの要求に対して有料であるかのいずれかであり、ユーザ端末は自分で要求にアクセスすることを選択できる。
一般に、ウェブサイトにアクセスするためにユーザによって使用されるサービスサーバは、IP(Internet Protocol:インターネット・プロトコル)アドレスに対応し、ユーザは、訪問ウェブサイトのドメイン名及び関連情報を搬送するパケットを送信することができ、一般に、DPI(Deep Packet Inspection:ディープ・パケット・インスペクション)装置がパケット情報に対するポリシーと一致する場合、ホストフィールドを含む完全なURL(Uniform Resource Location:ユニフォーム・リソース・ロケーション)情報が使用される必要があり、そのことは既存のサービスサーバのパケット処理の原理とは異なり、従って、バグはDPI装置の検出において生じる可能性がある。例えば、サービスサーバがパス情報がホストフィールドによって提供されるパスと一致しているかどうかを判断することなく、すなわち、ユーザが無許可でホストフィールドを変更したかどうかを判断することなく、パス情報に基づいてアクセス結果を返すことができるように、サービスサーバは、単にパケットのURL内のパス情報を検査し、ホストフィールドは検査しない。結果として、ユーザは無許可でパケットを変更することを介して、有料のサービスにアクセスすることに成功できるが、DPI装置は、有料ウェブサイトに無料でアクセスするという不正の目的を達成するために、ユーザ端末がパケット内のホストフィールドを変更したかどうかを識別することはできない。
本発明の態様は、パケット受信方法、ディープ・パケット・インスペクション装置及びシステムを提供し、それらはディープ・パケット・インスペクション装置のパケットを識別するための能力を改善することができるとともに、不十分な識別によって引き起こされるバグの発生を防ぐことができる。
上述の目的を達成するために、本発明の態様は、以下のような技術的解決手段を提供する。
本発明の1つの態様は、パケット受信方法を提供し、前記方法は以下のステップを有する。
端末装置によって送信されるサービス要求のパケットのパケットを受信するステップであって、前記パケットは、前記端末装置を示す端末ドメイン名と前記端末装置のサービス要求のサービスサーバを示すサーバドメイン名とを搬送する、ステップ。
サービスサーバのインターネット・プロトコル(IP)アドレスを取得するために、前記受信されたサーバドメイン名を解決するステップ。
前記解決されたサービスサーバのIPアドレスが、事前に設定されたリスト内の、前記受信された端末ドメイン名に対応する事前に設定されたサービスサーバのIPアドレスに属さない場合、前記パケットを破棄するステップ。
本発明の他の態様は、ディープ・パケット・インスペクション(DPI)装置を提供する。前記装置は、以下を有する。
端末装置によって送信されるサービス要求のパケットのパケットを受信するように構成される受信部であって、前記パケットは、前記端末装置を示す端末ドメイン名と前記端末装置の前記サービス要求のサービスサーバを示すサーバドメイン名とを搬送する、受信部。
サービスサーバのインターネット・プロトコル(IP)アドレスを取得するために、前記受信部によって受信された前記サーバドメイン名を解決するように構成される解決部。
前記解決部によって解決された前記サービスサーバのIPアドレスが、事前に設定されたリスト内の、前記受信された端末ドメイン名に対応する前記事前に設定されたサービスサーバのIPアドレスに属さない場合、前記パケットを破棄するように構成される処理部。
本発明のさらに他の態様はシステムを提供し、前記システムは以下を有する。
上述のようなDPI装置。
サービス要求のパケットを前記DPI装置に送信するように構成される端末装置であって、前記パケットは、前記端末装置を示す端末ドメイン名と前記端末装置の前記サービス要求のサービスサーバを示すサーバドメイン名とを搬送する、端末装置。
本発明の態様によって提供されるパケット受信方法、DPI装置及びシステムに基づくと、DPI装置は端末装置によって送信されるサービス要求のパケットを受信し、パケットは、端末装置を示す端末ドメイン名とサービス要求によって要求されるサービスサーバを示すサーバドメイン名とを搬送し、サービスサーバのインターネット・プロトコル(IP)アドレスを取得するために、受信されたサーバドメイン名を解決し、サービスサーバのIPアドレスが、事前に設定されたリスト内の、端末ドメイン名に対応する事前に設定されたサービスサーバのIPアドレスに属さない場合、パケットを破棄する。このように、DPI装置は、パケットのサービスサーバのIPアドレスが事前に設定されたサービスサーバのIPアドレスと一致しているかどうかを判断するために、パケットのサービスサーバのIPアドレスを、事前に設定されたリスト内の、端末装置の端末ドメイン名と対応する事前に設定されたサービスサーバのIPアドレスと比較することによって、パケットが正常か異常かを判断することができ、異常なパケットを破棄することができる。それによって、DPI装置のパケットを識別するための能力を改善するとともに、不十分な識別によってDPI装置が異常なパケットを通常通り処理してしまう場合にバグが生じることを防ぐことができる。
本発明の実施形態又は従来技術に基づいて、技術的解決手段をより明確に説明するために、以下では、本発明の実施形態又は従来技術の説明において使用される添付図面を簡潔に説明する。明らかに、以下の添付図面は単に、本発明のいくつかの実施形態を説明するためのものであるとともに、他の図面は、当業者によって創造的努力なしにこれらの図面に基づいて取得されることができる。
図1は、本発明の実施形態に係るパケット受信方法の概略フローチャートである。 図2は、本発明の実施形態に係る、真のパケットと無許可で変更されたパケットとの間の比較図である。 図3は、本発明の他の実施形態に係るパケット受信方法の概略フローチャートである。 図4は、本発明の実施形態に係るDPI装置の概略構成図である。 図5は、本発明の他の実施形態に係るDPI装置の概略構成図である。 図6は、本発明の実施形態に係るシステムの概略構成図である。
以下では、本発明の実施形態における添付図面を参照して、本発明の実施形態の技術的解決手段が、明確に且つ十分に説明される。明らかに、本明細書で説明される実施形態は、本発明の実施形態の一部でしかなく、本発明の実施形態の全てではない。いかなる創造的努力もなく本発明の実施形態に基づいて当業者によって得られる他の実施形態の全ては、本発明の保護範囲内に含まれるべきである。
本発明の実施形態は、図1に示されるようなパケット受信方法を提供し、前記方法は以下のステップを有する:
S101:DPI装置は、端末装置によって送信されるサービス要求のパケットを受信し、パケットは、端末装置を示す端末ドメイン名と端末装置のサービス要求のサービスサーバを示すサーバドメイン名とを搬送する。
本実施形態における適切なネットワークは、TCP/IP(Transmission Control Protocol/Internet Protocol:伝送制御プロトコル/インターネット・プロトコル)を基準に通信及び接続を実行してもよく、そのようなネットワークにおいては、ネットワークに接続される端末装置及びサービスサーバの各々は、ネットワーク内の何万もの端末装置及びサービスサーバを区別するために、固有の識別子を有することは留意されるべきである。一般に、そのような固有の識別子は、文字のアドレス、すなわちドメイン名であってもよい。各端末装置及び各サービスサーバは自身の固有のドメイン名を有するため、端末装置は、端末装置がDPI装置にサービスを要求するとき、端末ドメイン名として自身のドメイン名をDPI装置に通知するだけでよく、DPI装置は、端末ドメイン名によって端末装置を発見できるとともに、端末装置によって要求されたサービスを端末装置に転送又は提供することができる。さらに、端末装置は、サーバドメイン名として、サービスサーバのドメイン名をパケット内に書き込むことによって、サービス要求によって要求されたサービスサーバへのアクセスを実施することができる。
例示的には、端末装置は、ハイパーテキストマークアップ言語ドキュメント、画像、ビデオセグメント及びプログラムのような、ネットワーク上で利用可能なリソースにアクセスする必要がある。異なるウェブサイトをサポートするサービスサーバは、固有の識別IDとして見なされるサーバドメイン名によって識別されることができる。端末装置がウェブサイトにアクセスする必要がある場合、端末装置はURLパケットを送信し、URLパケット内には、ウェブサイトに対応するサービスサーバのサーバドメイン名が書き込まれている。サーバドメイン名は、端末装置によってアクセスされる必要があるウェブサイトに対応するサービスサーバの文字アドレスである。例えば、ユーザが端末装置を使用することによって、会社Aのウェブサイトにアクセスする必要がある場合、URLはwww.A.comのように書かれることができる。
S102:DPI装置は、サービスサーバのIPアドレスを取得するために、受信されたサーバドメイン名を解決する。
さらに、DPI装置は、ローカルクエリ、キャッシュクエリ及び反復クエリの方式で解決するような、DNS(Domain Name Server:ドメイン・ネーム・サービス)解決をサーバドメイン名に実行し、その結果、www.baidu.comやwww.google.comといった、ユーザによって容易に記憶されるドメイン名は、1.1.1.10や2.2.2.2といった、機械が認識可能なIPアドレスに変換されることができるとともに、機械が認識可能なIPアドレスは、サービスサーバのIPアドレスとして見なされる。それによって、DPI装置は、端末装置がサービスサーバのIPアドレスを使用することによってサービスサーバにアクセスすることを助けることができるとともに、その後、サービスサーバは端末装置に対してサービスを提供することができる。
S103:DPI装置によって解決されたサービスサーバのIPアドレスが、事前に設定されたリスト内の、受信された端末ドメイン名に対応する事前に設定されたサービスサーバのIPアドレスに属さない場合、DPI装置はパケットを破棄する。
事前に設定されたリストは、表1に示されるように、前もってDPI装置内に事前に設定され、事前に設定されたリスト内では、各端末装置の端末ドメイン名が、端末装置のアクセス権限の下でアクセス可能なサービスサーバのIPアドレスと対応して提供されることは留意されるべきである。アクセス可能なサービスサーバのIPアドレスは、事前に設定されたサービスサーバのIPアドレスとして見なされる。1つの端末装置は、複数の事前に設定されたサービスサーバのIPアドレスに対応することができる。
Figure 0006007458
例示的に、表1に示されるように、端末装置Aの端末ドメイン名はwww.huawei.comであるとともに、端末装置Aは、2つの事前に設定されたサービスサーバのうちどちらも有料でない限り、1.1.1.1及び2.2.2.20の2つの事前に設定されたサービスサーバにのみアクセスすることができる。端末装置Bの端末ドメイン名はwww.google.comであり、端末装置Bは、2.2.2.2にアクセスすることができ、このIPアドレスに対応する事前に設定されたサービスサーバは有料である。図2に示されるように、www.google.comに対応するIPアドレスが2.2.2.2である一方で、www.huawei.comに対応するIPアドレスが1.1.1.1である限りは、すなわち、端末装置Aは無料でwww.huawei.comの事前に設定されたサービスサーバにのみアクセスできるが、www.google.comの事前に設定されたサービスサーバにアクセスすることができない。従来技術においては、しかしながら、パケット内のURLを処理する間、サービスサーバは、ホストフィールドを検査することなくGETリクエスト後のパスに注目するだけでよいとともに、パス情報がホストフィールドによって提供されるパスと一致するかどうかを判断することなくGETリクエスト後のパスに基づいてアクセス結果を返す。サービスサーバはホスト後のアドレスを読むだけであるとともに、その後、ホスト後のフィールドが無料でアクセス可能なウェブサイトに対する正しいフィールドであるかどうかをチェックすることなくアクセスする。結果として、端末装置Aがホスト後のドメイン名をwww.google.comからwww.huawei.comに変更する場合、その後、端末装置Aはwww.google.comに無料でアクセスすることができ、アクセス結果は、GET後のwww.huawei.comによって端末装置Aに返されることができる。このようにして、ユーザはパケットを変更することを介して有料のサービスへのアクセスに成功することができるが、DPI装置は、ユーザ端末が、有料ウェブサイトに無料でアクセスするという不正の目的を達成するために、パケット内のホストフィールドを変更したかどうかを識別することはできない。
本発明の実施形態に基づいて、DPI装置は、端末装置Aの端末ドメイン名www.huawei.com及び事前に設定されたサービスサーバとして見なされるそのアクセス可能なサービスサーバを、事前に設定されたリスト内に設定する。端末装置Aのために解決することによって取得されるサーバドメイン名に対応するサービスサーバのIPアドレスが、端末ドメイン名www.huawei.comに対応する、すなわち、端末装置Aに対応する表1内の事前に設定されたサービスサーバのIPアドレスに属さない場合、例えば、サーバドメイン名を解決することによって取得されたIPアドレスが、1.1.1.1又は2.2.2.20のどちらでもなく、2.2.2.2である場合、その後、パケットは異常であると考えられ、端末装置Aが、無許可でパケットを変更することを介して、有料のサービスにアクセスすることに成功することを防止するために、異常なパケットは破棄される。サーバドメイン名を解決することによって取得されるIPアドレスが、1.1.1.1及び2.2.2.20の1つである、2.2.2.20である場合、その後、パケットは正常であると考えられ、サービスサーバがサービス要求に対応するサービスを端末装置Aに提供するように、パケットによって要求されたサービス要求に基づいて、端末装置AとIPアドレスが2.2.2.20であるサービスサーバとの間の接続を確立する。
本発明の実施形態に基づくパケット受信方法では、DPI装置は端末装置によって送信されるサービス要求のパケットを受信し、パケットは端末装置を示す端末ドメイン名とサービス要求によって要求されるサービスサーバを示すサーバドメイン名とを搬送し、サービスサーバのインターネット・プロトコル(IP)アドレスを取得するために、受信されたサーバドメイン名を解決し、サービスサーバのIPアドレスが事前に設定されたリスト内の端末ドメイン名に対応する事前に設定されたサービスサーバのIPアドレスに属さない場合、パケットを破棄する。このように、DPI装置は、パケットのサービスサーバのIPアドレスが事前に設定されたサービスサーバのIPアドレスと一致しているかどうかを判断するために、パケットのサービスサーバのIPアドレスを、事前に設定されたリスト内の、端末装置の端末ドメイン名と対応する事前に設定されたサービスサーバのIPアドレスと比較することによって、パケットが正常か異常かを判断することができ、異常なパケットを破棄することができる。それによって、DPI装置のパケットを識別するための能力を改善するとともに、不十分な識別によってDPI装置が異常なパケットを通常通り処理してしまう場合にバグが生じることを防ぐことができる。
本発明の他の実施形態に基づくパケット受信方法は、実施例としてDNS解決機能を有するゲートウェイ装置を挙げることによって説明され、DNS解決機能を有する他の装置もまた、本発明の保護範囲内に含まれるべきである。図3に示されるように、前記方法は以下のステップを有してもよい。
S201:ゲートウェイ装置は、端末装置によって送信されるDNSパケットを受信し、DNSパケットは、端末装置を示す端末ドメイン名と端末ドメイン名に対応する少なくとも1つのアクセス可能なサービスサーバの真のドメイン名とを搬送する。
前記ゲートウェイ装置は、アイドル時間中にDNSクエリ要求を端末装置に送信してもよく、その結果、各端末装置は、DNSパケットをゲートウェイ装置に送信することが指摘されるべきである。又は、クエリ要求を送信することなく端末装置のDNSパケットを受信するとき、ゲートウェイ装置はまた、DNSパケットに含まれて搬送される、端末装置を示す端末ドメイン名と端末ドメイン名に対応する少なくとも1つのアクセス可能なサービスサーバの真のドメイン名とを取得してもよい。
S202:ゲートウェイ装置は、少なくとも1つのアクセス可能なサービスサーバのIPアドレスを取得するために、受信された真のドメイン名を解決する。
前記ゲートウェイ装置は、無料でアクセスされることができるIPアドレスのような、端末装置がアクセスすることを許可されているサーバのIPアドレスを取得するために、真のドメイン名を解決することは留意されるべきである。
S203:ゲートウェイ装置は、解決された少なくとも1つのアクセス可能なサービスサーバのIPアドレスを事前に設定されたサービスサーバのIPアドレスとして見なし、端末ドメイン名と事前に設定されたリスト内の事前に設定されたサービスサーバのIPアドレスとの間の対応関係を設定する。
例示的に、ゲートウェイ装置は、端末ドメイン名HTTP/1.1\r\nと事前に設定されたリスト内の2.2.2.20及び1.1.1.1のような、端末装置Aの解決されたアクセス可能なサービスサーバのIPアドレスとの間の対応関係を設定し、アクセス可能なサービスサーバのIPアドレスは、事前に設定されたサービスサーバのIPアドレスと呼ばれる。端末ドメイン名HTTP/1.2\r\nと事前に設定されたリスト内の2.2.2.2のような、端末装置Bの解決されたアクセス可能なサービスサーバのIPアドレスとの間の対応関係を設定し、アクセス可能なサービスサーバのIPアドレスは、事前に設定されたサービスサーバのIPアドレス等と呼ばれる。従って、事前に設定されたリストが確立され、その結果、ゲートウェイ装置はその後受信された端末ドメイン名に対応する端末装置A又は端末装置Bによって要求されたサービスサーバがアクセス可能な範囲内にあるか否かを、リスト内の端末ドメイン名に対応する事前に設定されたサービスサーバのIPアドレスに基づいて判断することができる。
S201、S202及びS203がS206、S207又はS208より前に実行される限り、S201、S202、S203、S204及びS205間に順序関係はないことが留意されるべきである。
S204:ゲートウェイ装置は、端末装置によって送信されるサービス要求のパケットを受信し、パケットは、端末装置を示す端末ドメイン名と端末装置のサービス要求のサービスサーバを示すサーバドメイン名とを搬送する。
S205:ゲートウェイ装置は、サービスサーバのインターネット・プロトコル(IP)アドレスを取得するために、受信されたサーバドメイン名を解決する。
S205の後、解決されたサービスサーバのIPアドレスが、事前に設定されたリスト内の、受信された端末ドメイン名に対応する事前に設定されたサービスサーバのIPアドレスに属さない場合、その後ステップS206を実行し、解決されたサービスサーバのIPアドレスが、事前に設定されたリスト内の、受信された端末ドメイン名に対応する事前に設定されたサービスサーバのIPアドレスに属する場合、その後ゲートウェイ装置の要求に基づいてステップS207又はS208を実行することが留意されるべきである。
S206:ゲートウェイ装置はパケットを破棄する。
解決されたサービスサーバのIPアドレスが、事前に設定されたリスト内の、受信された端末ドメイン名に対応する事前に設定されたサービスサーバのIPアドレスに属さないため、ゲートウェイ装置は、パケットが悪意のある及び不正なパケット又は異常なパケットであると判断して、パケットを破棄することができ、具体的な方法は、上述の実施形態において開示されており、ここでは繰り返されない。
S207:ゲートウェイ装置は、端末装置とサービスサーバのIPアドレスに対応するサービスサーバとの間の接続を確立し、その結果、サービスサーバは端末装置のサービス要求に対応するサービスを端末装置に提供する。
解決されたサービスサーバのIPアドレスは、事前に設定されたリスト内の、受信された端末ドメイン名に対応する事前に設定されたサービスサーバのIPアドレスに属するため、すなわち、端末装置は、アクセス可能なサービスサーバに通常通りアクセスするだけでよいため、その後ゲートウェイ装置は、端末装置とサービスサーバとの間の接続を確立することができ、その結果、サービスサーバは、端末装置によって要求される、ビデオデータ又はオーディオデータのようなサービスを端末装置に提供することは留意されるべきである。
S208:ゲートウェイ装置は、端末装置の端末ドメイン名に基づいてサービス要求のサービスタイプを決定する。
例示的に、ゲートウェイ装置が端末装置によって送信される暗号化されたサービスタイプを識別する必要があるか、又は絶えず変化するIPアドレスを有する端末装置のサービスタイプを識別する必要がある場合、サービスタイプは端末ドメイン名と事前に設定されたリスト内の事前に設定されたサービスサーバのIPアドレスとを比較することによって取得されてもよい。すなわち、端末装置によって要求されるサービスが暗号化される場合、例えば、特定のダウンロードツール又は特定のメールツールが暗号化される場合、その後、ゲートウェイ装置はこれらの暗号化されたアプリケーションのURLのような特徴を解決することによって具体的なサービスアプリケーションのタイプを取得することはできないが、しかしながら、ゲートウェイは、全てのダウンロードツールを制限する必要がある。このとき、事前に設定されたリスト内の事前に設定されたサービスサーバのIPアドレスと端末装置のサービスサーバのIPアドレスが同じであることを判断した後、ゲートウェイ装置は自動的に、事前に設定されたリスト内の端末装置の端末ドメイン名に基づいて、サービスタイプを一致させる。端末装置Aのサービスタイプが暗号化されたダウンロードツールであるとともに、端末装置Bのサービスタイプが暗号化されたメールツールである場合、その後、ゲートウェイ装置は、端末装置Aのダウンロードを識別及び制限することができる。このようにして、解決中に、反認識ソフトウェアが検出されるため、サービスタイプは取得されることはできないとともに、暗号化されたサービスタイプは操作されることができないという状況が回避されることができる。
さらに、端末装置Bのサービスタイプが暗号化されたメールダウンロードであるとともに、サービスタイプが重要な特徴及び特定のIPアドレスを有しない場合、すなわち、IPアドレスが動的な状態にあるとき、その後、事前に設定されたリスト内の事前に設定されたサービスサーバのIPアドレスと端末装置のサービスサーバのIPアドレスが同じであると事前に設定されたリストに基づいて判断したあと、ゲートウェイ装置は、事前に設定されたリスト内の端末装置Bの端末ドメイン名に基づいて端末装置Bを取得するとともに、従って、特定のサービスタイプを識別する。ドメイン名とサービスタイプとの間の対応関係がゲートウェイ装置内で構成される場合、例えば、ドメイン名www.gmail.comに対応するサービスタイプがEメールとして構成される場合、ゲートウェイ装置は、端末装置Bのサービスタイプは、端末ドメイン名www.gmail.comに基づいてメールであると判断することができる。
ステップS207又はステップS208のいずれかが、ゲートウェイ装置によって要求される異なる処理方式に基づいて実行されるように選択されてもよいことは留意されるべきである。具体的には、ゲートウェイ装置が、パケットが正常であることを判断する必要があるとともに端末装置とサービスサーバとの間の接続を確立する必要がある場合、ゲートウェイ装置はS207を実行する。ゲートウェイ装置がサービスタイプを知る必要がある場合、ゲートウェイ装置はS208を実行する。
本発明の実施形態に基づくパケット受信方法においては、ゲートウェイ装置は端末装置によって送信されるサービス要求のパケットを受信し、パケットは、端末装置を示す端末ドメイン名とサービス要求によって要求されるサービスサーバを示すサーバドメイン名とを搬送し、サービスサーバのインターネット・プロトコル(IP)アドレスを取得するために、受信されたサーバドメイン名を解決し、サービスサーバのIPアドレスが、事前に設定されたリスト内の、端末ドメイン名に対応する事前に設定されたサービスサーバのIPアドレスに属さない場合、パケットを破棄する。このように、ゲートウェイ装置は、パケットのサービスサーバのIPアドレスが事前に設定されたサービスサーバのIPアドレスと一致しているかどうかを判断するために、パケットのサービスサーバのIPアドレスを、事前に設定されたリスト内の、端末装置の端末ドメイン名と対応する事前に設定されたサービスサーバのIPアドレスと比較することによって、パケットが正常か異常かを判断することができ、異常なパケットを破棄することができる。それによって、ゲートウェイ装置のパケットを識別するための能力を改善するとともに、不十分な識別によってゲートウェイ装置が異常なパケットを通常通り処理してしまう場合にバグが生じることを防ぐことができる。
本発明の実施形態はDPI装置30を提供し、DPI装置30は、図4に示されるように、以下を有する。
前記DPI装置30は、端末装置40によって送信されるサービス要求のパケットを受信するように構成される受信部301を有し、パケットは、端末装置40を示す端末ドメイン名と端末装置40のサービス要求のサービスサーバを示すサーバドメイン名とを搬送する。
DPI装置30は、端末装置40が、ここでは詳細に説明はされないが、サービス要求によって要求されるサービスを取得することができるように、端末装置40と、受信部301によって受信される端末ドメイン名及びサーバドメイン名に基づいて端末装置40によって要求されるサービスサーバとの間の接続を確立することができることは留意されるべきである。
前記DPI装置30は、サービスサーバのインターネット・プロトコル(IP)アドレスを取得するために、受信部301によって受信されたサーバドメイン名を解決するように構成される解決部302を有する。
前記解決部302は、ユーザによって容易に記憶されるドメイン名と機械が認識可能なIPアドレスとの間の相互変換を行うことができることは留意されるべきである。
前記DPI装置30は、解決部302によって解決されたサービスサーバのIPアドレスが、受信部301によって受信された端末ドメイン名に対応する、事前に設定されたリスト内の事前に設定されたサービスサーバのIPアドレスに属さない場合、パケットを破棄するように構成される処理部303を有する。
事前に設定されたリスト内の、受信部301によって受信された端末ドメイン名が、アクセス可能で、且つ端末ドメイン名に対応するべきサービスサーバ、すなわち、事前に設定されたリスト内に記録された事前に設定されたサービスサーバに対応しない場合、アクセスされたパケットは、悪意のある及び不正なパケット、及び有料ウェブサイトに無料でアクセスするためのパケットのような、異常なパケットであることを証明し、処理部303はパケットを破棄することは留意されるべきである。
前記処理部303はさらに、解決部302によって解決されたサービスサーバのIPアドレスが、受信部301によって受信された、事前に設定されたリスト内の、端末ドメイン名に対応する事前に設定されたサービスサーバのIPアドレスに属する場合、端末装置40とサービスサーバのIPアドレスに対応するサービスサーバとの間の接続を確立するように構成され、その結果、サービスサーバは、端末装置40のサービス要求に対応するサービスを、端末装置40に提供する。あるいは、解決部302によって解決されたサービスサーバのIPアドレスが、受信部301によって受信された、事前に設定されたリスト内の、端末ドメイン名に対応する事前に設定されたサービスサーバのIPアドレスに属する場合、処理部303は、端末装置40の端末ドメイン名に基づいて、サービス要求のサービスタイプを決定する。
さらに、DPI装置30は、図5に示されるように、以下をまた有する。
前記DPI装置30は、端末装置40にDNSクエリ要求を送信するように構成され、その結果、端末装置40はDNSパケットを送信する、送信部を有する。
前記受信部301がさらに端末装置40によって送信されるDNSパケットを受信するように構成される場合、DNSパケットは、端末ドメイン名と、端末ドメイン名に対応する少なくとも1つのアクセス可能なサービスサーバの真のドメイン名とを搬送する。
前記解決部302はさらに、少なくとも1つのアクセス可能なサービスサーバのIPアドレスを取得するために、受信部301によって受信された真のドメイン名を解決するように構成される。
このとき、処理部303は、受信部301によって受信された端末ドメイン名と、事前に設定されたリスト内の、解決部302によって解決された少なくとも1つのアクセス可能なサービスサーバのIPアドレスとの間の対応関係を設定し、少なくとも1つのアクセス可能なサービスサーバのIPアドレスは、事前に設定されたサービスサーバのIPアドレスとして見なされ、その結果、次の受信部301は、パケットによってアクセスされるべきサービスサーバのIPアドレスが、事前に設定されたリスト内の、端末ドメイン名に対応する、事前に設定されたサービスサーバのIPアドレスに対応しない場合、パケットに対する通常の処理を行うことを回避するために、サービス要求のパケットを受信した後、端末ドメイン名に基づいて、事前に設定されたリスト内における比較を実行する。
上述のDPI装置30は、上述の方法の実施形態に対応するとともに、DPI装置30は、上述の方法の実施形態のステップにおいて適用されることができ、各ステップ内の具体的なアプリケーションは、上述の方法の実施形態を参照してもよいとともに、ここでは詳細に説明はされない。
本発明の実施形態はDPI装置30を提供する。DPI装置30は端末装置40によって送信されるサービス要求のパケットを受信し、パケットは端末装置40を示す端末ドメイン名とサービス要求によって要求されるサービスサーバを示すサーバドメイン名とを搬送し、サービスサーバのインターネット・プロトコル(IP)アドレスを取得するために、受信されたサーバドメイン名を解決し、サービスサーバのIPアドレスが事前に設定されたリスト内の端末ドメイン名に対応する事前に設定されたサービスサーバのIPアドレスに属さない場合、パケットを破棄する。このように、DPI装置30は、パケットのサービスサーバのIPアドレスが事前に設定されたサービスサーバのIPアドレスと一致しているかどうかを判断するために、パケットのサービスサーバのIPアドレスを、事前に設定されたリスト内の、端末装置40の端末ドメイン名と対応する事前に設定されたサービスサーバのIPアドレスと比較することによって、パケットが正常か異常かを判断することができ、異常なパケットを破棄することができる。それによって、DPI装置30のパケットを識別するための能力を改善するとともに、不十分な識別によってDPI装置が異常なパケットを通常通り処理してしまう場合にバグが生じることを防ぐことができる。
本発明の実施形態はシステムを提供し、図6に示されるように、以下を有する。
前記システムは、端末装置40によって送信されるサービス要求のパケットを受信するように構成され、パケットは、端末装置40を示す端末ドメイン名と、サービスサーバを示すサーバドメイン名とを搬送し;サービスサーバのインターネット・プロトコル(IP)アドレスを取得するために、受信されたサービスサーバのドメイン名を解決するように構成され;サービスサーバのIPアドレスが、事前に設定されたリスト内の、端末ドメイン名に対応する事前に設定されたサービスサーバのIPアドレスに属さない場合、パケットを破棄するように構成される、DPI装置30を有する。
前記システムは、サービス要求のパケットをDPI装置30に送信するように構成される、端末装置40を有する。
上述のDPI装置30及び端末装置40は、上述の方法の実施形態に対応し、DPI装置30及び端末装置40は、上述の方法の実施形態のステップにおいて適用されることができ、各ステップ内の具体的なアプリケーションは、上述の方法の実施形態を参照してもよい。DPI装置30の具体的な構成と、端末及び上述の実施形態によって提供されるDPI装置の構成は同じであり、ここでは詳細に説明はされない。
本発明の実施形態に基づくシステムにおいて、DPI装置30は端末装置40によって送信されるサービス要求のパケットを受信し、パケットは端末装置40を示す端末ドメイン名とサービス要求によって要求されるサービスサーバを示すサーバドメイン名とを搬送し、サービスサーバのインターネット・プロトコル(IP)アドレスを取得するために、受信されたサーバドメイン名を解決し、サービスサーバのIPアドレスが事前に設定されたリスト内の端末ドメイン名に対応する事前に設定されたサービスサーバのIPアドレスに属さない場合、パケットを破棄する。このように、DPI装置30は、パケットのサービスサーバのIPアドレスが事前に設定されたサービスサーバのIPアドレスと一致しているかどうかを判断するために、パケットのサービスサーバのIPアドレスを、事前に設定されたリスト内の、端末装置40の端末ドメイン名と対応する事前に設定されたサービスサーバのIPアドレスと比較することによって、パケットが正常か異常かを判断することができ、異常なパケットを破棄することができる。それによって、DPI装置30のパケットを識別するための能力を改善するとともに、不十分な識別によってDPI装置が異常なパケットを通常通り処理してしまう場合にバグが生じることを防ぐことができる。
上述の説明は、単に、本発明のいくつかの具体的な実施形態であるが、本発明の保護範囲を限定するものではない。本発明の技術範囲内で当業者によって容易に導出されることができるいかなる修正、変更又は置換は、本発明の保護範囲内に含まれるべきである。従って、本発明の保護範囲は、添付の特許請求の範囲に属する。
30 DPI装置
40 端末装置
301 受信部
302 解決部
303 処理部

Claims (11)

  1. パケット受信方法であって、
    ディープ・パケット・インスペクション(DPI)装置によって、端末装置によって送信されるサービス要求のパケットを受信するステップであって、前記パケットは、前記端末装置を示す端末ドメイン名と前記端末装置の前記サービス要求のサービスサーバを示すサーバドメイン名とを搬送する、ステップと、
    前記DPI装置によって、サービスサーバのインターネット・プロトコル(IP)アドレスを取得するために、前記受信されたサーバドメイン名を解決するステップと、
    前記DPI装置によって、前記サービスサーバのIPアドレスが、事前に設定されたリスト内の、前記受信された端末ドメイン名に対応する事前に設定されたサービスサーバのIPアドレスに属さない場合、前記パケットを破棄するステップと
    を有するパケット受信方法。
  2. 前記解決されたサービスサーバのIPアドレスが、事前に設定されたリスト内の、前記受信された端末ドメイン名に対応する前記事前に設定されたサービスサーバのIPアドレスに属さない場合、前記パケットを破棄する前記ステップの前に、
    前記端末装置によって送信されるドメイン・ネーム・システム(DNS)パケットを受信するステップであって、前記DNSパケットは、前記端末ドメイン名と、前記端末ドメイン名に対応する少なくとも1つのアクセス可能なサービスサーバの真のドメイン名とを搬送する、ステップと、
    少なくとも1つのアクセス可能なサービスサーバのIPアドレスを取得するために、前記受信された真のドメイン名を解決するステップと、
    前記解決された少なくとも1つのアクセス可能なサービスサーバのIPアドレスを、前記事前に設定されたサービスサーバのIPアドレスとして見なすことによって、前記端末ドメイン名と前記事前に設定されたリスト内の前記事前に設定されたサービスサーバのIPアドレスとの間の対応関係を設定するステップと
    をさらに有する、請求項1に記載のパケット受信方法。
  3. 前記端末装置によって送信される前記DNSパケットを受信する前記ステップの前に、
    前記端末装置にDNSクエリ要求を送信するステップであって、その結果、前記端末装置はDNSパケットを送信する、ステップ
    をさらに有する、請求項2に記載のパケット受信方法。
  4. 前記サービスサーバのIPアドレスを取得するために、前記受信されたサーバドメイン名を解決する前記ステップの後に、
    前記解決されたサービスサーバのIPアドレスが、前記事前に設定されたリスト内の、前記受信された端末ドメイン名に対応する前記事前に設定されたサービスサーバのIPアドレスに属する場合、前記端末装置と、前記サービスサーバのIPアドレスに対応する前記サービスサーバとの間の接続を確立するステップ
    をさらに有する、請求項1乃至3のいずれか1項に記載のパケット受信方法。
  5. 前記サービスサーバのIPアドレスを取得するために、前記受信されたサーバドメイン名を解決する前記ステップの後に、
    前記解決されたサービスサーバのIPアドレスが、前記事前に設定されたリスト内の、前記受信された端末ドメイン名に対応する前記事前に設定されたサービスサーバのIPアドレスに属する場合、前記端末装置の前記端末ドメイン名と前記事前に設定されたリスト内の前記事前に設定されたサービスサーバのIPアドレスとを比較することによって、前記サービス要求のサービスタイプを決定するステップ
    をさらに有する、請求項1乃至3のいずれか1項に記載のパケット受信方法。
  6. ディープ・パケット・インスペクション(DPI)装置であって、
    端末装置によって送信されるサービス要求のパケットを受信するように構成される受信部であって、前記パケットは、前記端末装置を示す端末ドメイン名と前記端末装置の前記サービス要求のサービスサーバを示すサーバドメイン名とを搬送する、受信部と、
    サービスサーバのインターネット・プロトコル(IP)アドレスを取得するために、前記受信部によって受信された前記サーバドメイン名を解決するように構成される解決部と、
    前記解決部によって解決された前記サービスサーバのIPアドレスが、事前に設定されたリスト内の、前記受信された端末ドメイン名に対応する事前に設定されたサービスサーバのIPアドレスに属さない場合、前記パケットを破棄するように構成される処理部と
    を有する、DPI装置。
  7. 前記受信部はさらに、前記端末装置によって送信されるドメイン・ネーム・システム(DNS)パケットを受信するように構成され、前記DNSパケットは、前記端末ドメイン名と、前記端末ドメイン名に対応する少なくとも1つのアクセス可能なサービスサーバの真のドメイン名とを搬送し、
    前記解決部はさらに、少なくとも1つのアクセス可能なサービスサーバのIPアドレスを取得するために、前記受信部によって受信された前記真のドメイン名を解決するように構成され、
    前記処理部はさらに、前記解決部によって解決された前記少なくとも1つのアクセス可能なサービスサーバのIPアドレスを、前記事前に設定されたサービスサーバのIPアドレスとして見なすとともに、前記端末ドメイン名と前記事前に設定されたリスト内の前記事前に設定されたサービスサーバのIPアドレスとの間の対応関係を設定するように構成される
    請求項6に記載のDPI装置。
  8. 前記端末装置にDNSクエリ要求を送信するように構成される、送信部
    をさらに有する、請求項7に記載のDPI装置。
  9. 前記処理部はさらに、前記解決部によって解決された前記サービスサーバのIPアドレスが、前記受信部によって受信された、前記事前に設定されたリスト内の、前記受信された端末ドメイン名に対応する前記事前に設定されたサービスサーバのIPアドレスに属する場合、前記端末装置と、前記サービスサーバのIPアドレスに対応する前記サービスサーバとの間の接続を確立するように構成される
    請求項6乃至8のいずれか1項に記載のDPI装置。
  10. 前記処理部はさらに、前記解決部によって解決された前記サービスサーバのIPアドレスが、前記受信部によって受信された、前記事前に設定されたリスト内の、前記受信された端末ドメイン名に対応する前記事前に設定されたサービスサーバのIPアドレスに属する場合、前記端末装置の前記端末ドメイン名と前記事前に設定されたリスト内の前記事前に設定されたサービスサーバのIPアドレスとを比較することによって、前記サービス要求のサービスタイプを決定するように構成される
    請求項6又は8に記載のDPI装置。
  11. 請求項6乃至10のいずれか1項に記載のDPI装置と、
    サービス要求の前記パケットを前記DPI装置に送信するように構成される端末装置であって、前記パケットは、前記端末装置を示す前記端末ドメイン名と前記端末装置の前記サービス要求の前記サービスサーバを示す前記サーバドメイン名とを搬送する、端末装置と
    を有するシステム。
JP2015518769A 2012-06-30 2012-06-30 パケット受信方法、ディープ・パケット・インスペクション装置及びシステム Expired - Fee Related JP6007458B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2012/077994 WO2014000303A1 (zh) 2012-06-30 2012-06-30 一种报文接收方法、深度包检测设备及系统

Publications (2)

Publication Number Publication Date
JP2015525991A JP2015525991A (ja) 2015-09-07
JP6007458B2 true JP6007458B2 (ja) 2016-10-12

Family

ID=47484676

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015518769A Expired - Fee Related JP6007458B2 (ja) 2012-06-30 2012-06-30 パケット受信方法、ディープ・パケット・インスペクション装置及びシステム

Country Status (5)

Country Link
US (1) US9578040B2 (ja)
EP (1) EP2869508A4 (ja)
JP (1) JP6007458B2 (ja)
CN (1) CN102884764B (ja)
WO (1) WO2014000303A1 (ja)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103973506B (zh) * 2013-01-30 2016-10-12 腾讯科技(深圳)有限公司 一种域名校验方法、装置及系统
CN103634314B (zh) * 2013-11-28 2017-06-16 新华三技术有限公司 一种基于虚拟路由器vsr的服务访问控制方法及设备
CN104601573B (zh) * 2015-01-15 2018-04-06 国家计算机网络与信息安全管理中心 一种Android平台URL访问结果验证方法及装置
CN105991627A (zh) * 2015-03-13 2016-10-05 杭州迪普科技有限公司 数据连接建立方法及装置
CN106210160A (zh) * 2016-06-17 2016-12-07 乐视控股(北京)有限公司 一种域名设置方法及装置
CN106230775B (zh) * 2016-07-13 2020-01-03 新华三技术有限公司 防止攻击url规则库的方法以及装置
JP6493426B2 (ja) * 2017-02-02 2019-04-03 日本電気株式会社 通信システム、通信制御方法および通信プログラム
CN109246256A (zh) * 2017-07-10 2019-01-18 中国电信股份有限公司 域名解析方法和系统、授信域名系统服务器
JP6493475B1 (ja) * 2017-09-28 2019-04-03 日本電気株式会社 通信装置、通信システム、通信制御方法、通信プログラムおよびデバイス接続制御プログラム
CN110519750B (zh) * 2018-05-21 2021-04-20 华为技术有限公司 报文处理方法、设备及系统
CN109688100B (zh) * 2018-09-07 2022-06-17 平安科技(深圳)有限公司 Nat穿透方法、装置、设备及存储介质
CN110784467B (zh) * 2019-10-29 2021-10-26 维沃移动通信有限公司 一种消息中的网络链接处理方法、电子设备
CN111163184B (zh) * 2019-12-25 2022-07-01 杭州迪普科技股份有限公司 一种报文特征的提取方法和装置
CN111314197B (zh) * 2020-02-03 2021-06-29 杭州迪普科技股份有限公司 域名资源管理装置及域名资源管理方法
CN113395367B (zh) * 2020-03-13 2023-04-28 中国移动通信集团山东有限公司 Https业务识别方法、装置、存储介质及电子设备
TW202241091A (zh) * 2021-04-07 2022-10-16 聚騰科技股份有限公司 網路連線的服務類型的辨識方法
CN113726689B (zh) * 2021-07-27 2023-06-13 新华三信息安全技术有限公司 一种安全业务处理方法以及装置

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6108330A (en) * 1997-09-26 2000-08-22 3Com Corporation Apparatus and methods for use therein for an ISDN LAN modem that selects among a plurality of DNS servers for responding to a DNS query
US6256671B1 (en) * 1998-06-24 2001-07-03 Nortel Networks Limited Method and apparatus for providing network access control using a domain name system
JP3758482B2 (ja) * 2000-08-28 2006-03-22 富士通株式会社 ネットワーク間通信セキュリティプログラムを記録した媒体および装置
US6961783B1 (en) * 2001-12-21 2005-11-01 Networks Associates Technology, Inc. DNS server access control system and method
US7228359B1 (en) * 2002-02-12 2007-06-05 Cisco Technology, Inc. Methods and apparatus for providing domain name service based on a client identifier
US6950660B1 (en) * 2002-05-10 2005-09-27 Qualcomm, Incorporated Provisioning a mobile device in a wireless communication system
JP2004180159A (ja) * 2002-11-28 2004-06-24 Ntt Docomo Inc 通信制御装置、パケットフィルタリング方法、及びプログラム
US7372809B2 (en) * 2004-05-18 2008-05-13 Time Warner Cable, Inc. Thwarting denial of service attacks originating in a DOCSIS-compliant cable network
JP4489676B2 (ja) * 2005-09-28 2010-06-23 富士通株式会社 通信システム
US7730187B2 (en) * 2006-10-05 2010-06-01 Limelight Networks, Inc. Remote domain name service
US8274985B2 (en) * 2005-12-30 2012-09-25 United States Cellular Corporation Control of cellular data access
US7948977B2 (en) * 2006-05-05 2011-05-24 Broadcom Corporation Packet routing with payload analysis, encapsulation and service module vectoring
US8275895B1 (en) * 2006-12-21 2012-09-25 Crimson Corporation Systems and methods for establishing a trusted dynamic host configuration protocol connection
US8397057B2 (en) * 2007-08-13 2013-03-12 Sap Ag Generic hub to increase security when accessing business systems
CN101141396B (zh) * 2007-09-18 2010-12-15 华为技术有限公司 报文处理方法和网络设备
CN101399749B (zh) * 2007-09-27 2012-04-04 华为技术有限公司 一种报文过滤的方法、系统和设备
JP2009272659A (ja) * 2008-03-03 2009-11-19 Nec Corp 通信制御装置、通信制御方法および通信システム
JP4592789B2 (ja) * 2008-07-29 2010-12-08 日本電信電話株式会社 通信制御装置、通信制御方法および通信制御処理プログラム
US9225794B2 (en) * 2009-03-31 2015-12-29 Google Inc. Adaptive DNS pre-resolution
US9270646B2 (en) * 2009-04-20 2016-02-23 Citrix Systems, Inc. Systems and methods for generating a DNS query to improve resistance against a DNS attack
CN101945053B (zh) * 2010-10-12 2012-11-28 杭州华三通信技术有限公司 一种报文的发送方法和装置
CN102004789A (zh) 2010-12-07 2011-04-06 苏州迈科网络安全技术股份有限公司 Url过滤系统的应用方法
CN102572014B (zh) * 2012-03-07 2015-12-02 华为终端有限公司 消息处理方法、装置和系统
JP6171445B2 (ja) * 2013-03-21 2017-08-02 富士通株式会社 割当装置及び割当プログラム
CN104796883B (zh) * 2015-03-19 2018-08-03 深信服网络科技(深圳)有限公司 通信方法、无线接入点、无线控制器及通信系统

Also Published As

Publication number Publication date
EP2869508A4 (en) 2015-07-08
JP2015525991A (ja) 2015-09-07
CN102884764A (zh) 2013-01-16
US9578040B2 (en) 2017-02-21
CN102884764B (zh) 2015-05-27
WO2014000303A1 (zh) 2014-01-03
US20150103688A1 (en) 2015-04-16
EP2869508A1 (en) 2015-05-06

Similar Documents

Publication Publication Date Title
JP6007458B2 (ja) パケット受信方法、ディープ・パケット・インスペクション装置及びシステム
US10785037B2 (en) Managing secure content in a content delivery network
US9985968B2 (en) Techniques to authenticate a client to a proxy through a domain name server intermediary
WO2021057889A1 (zh) 一种数据处理方法、装置、电子设备及存储介质
US8122493B2 (en) Firewall based on domain names
JP6074781B2 (ja) 許可されていないサービスアクセスを防止する方法および装置
US9973590B2 (en) User identity differentiated DNS resolution
EP3203710A1 (en) Systems for improved domain name system firewall protection
JP2013098880A (ja) フィルタリングシステムおよびフィルタリング方法
CN108632221B (zh) 定位内网中的受控主机的方法、设备及系统
EP3306900A1 (en) Dns routing for improved network security
JP4693174B2 (ja) 中間ノード
US8112535B2 (en) Securing a server in a dynamic addressing environment
US20240214395A1 (en) Management of bot detection in a content delivery network
CN112491836A (zh) 通信系统、方法、装置及电子设备
CN114710302A (zh) 互联网访问的控制方法及其控制装置
CN113992583B (zh) 一种表项维护方法及装置
US20170195290A1 (en) Technique for obtaining a policy for routing requests emitted by a software module running on a client device
Bremler-Barr et al. It's Not Where You Are, It's Where You Are Registered: IoT Location Impact on MUD
GB2588126A (en) DNS Response Spoofing
JP2019195128A (ja) キャッシュdnsサーバ、改竄防止方法、及び改竄防止プログラム
Chen et al. SoCA: A Source-oriented Cooperative Approach for mitigating DoS/DDoS attack in identifier locator separation mapping based mobile Internet

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160202

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160502

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160816

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160825

R150 Certificate of patent or registration of utility model

Ref document number: 6007458

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees