JP6499098B2 - 転送制御装置、アプリケーション分析制御システム、転送制御方法及びアプリケーション分析制御方法 - Google Patents

転送制御装置、アプリケーション分析制御システム、転送制御方法及びアプリケーション分析制御方法 Download PDF

Info

Publication number
JP6499098B2
JP6499098B2 JP2016026488A JP2016026488A JP6499098B2 JP 6499098 B2 JP6499098 B2 JP 6499098B2 JP 2016026488 A JP2016026488 A JP 2016026488A JP 2016026488 A JP2016026488 A JP 2016026488A JP 6499098 B2 JP6499098 B2 JP 6499098B2
Authority
JP
Japan
Prior art keywords
control device
packet
transfer
control
application analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016026488A
Other languages
English (en)
Other versions
JP2017147525A (ja
Inventor
英臣 西原
英臣 西原
千晴 森岡
千晴 森岡
俊介 本間
俊介 本間
裕太 渡辺
裕太 渡辺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2016026488A priority Critical patent/JP6499098B2/ja
Publication of JP2017147525A publication Critical patent/JP2017147525A/ja
Application granted granted Critical
Publication of JP6499098B2 publication Critical patent/JP6499098B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、転送制御装置、アプリケーション分析制御システム、転送制御方法及びアプリケーション分析制御方法に関するものであり、特に、IP(Internet Protocol)ネットワークにおけるパケットフローのアプリケーション分析について、分散配備された転送制御装置からアプリケーション分析制御装置へのコピーフローからステアリングフローへのスイッチング方式に関するものである。
ユーザの要望を踏まえ、パケットのペイロードまで分析し、アプリケーションレベルのセキュリティ攻撃(例えば、Slow Read DoS攻撃の様なサーバとクライント間のHTTP(Hypertext Transfer Protocol)レスポンスを長時間化することでサーバ側の負荷を増加させる攻撃)の検知や、アプリケーション単位でフロー制御するニーズが高まってきている。これらのサービス提供に向け、DPI(Deep Packet Inspection)装置など、アプリケーションレベルで分析制御するシステムを大規模なキャリアネットワーク(NW)で活用する検討がなされている。
アプリケーションレベルでユーザフローを分析制御する場合、処理コストが高く、大規模キャリアNWでは非常にコストが高くなる。現在、大規模キャリアNWにて、低コストでアプリケーション単位に分析制御を可能とする方式として、高度な分析が必要なフローを、転送制御装置から遠隔のデータセンタ(DC)などへ集約配備したアプリケーション分析制御装置へ転送する方式が検討されている(非特許文献1参照)。
アプリケーション分析制御装置では、管理装置から設定を指示されたユーザポリシに基づき、入力されるフロー(以下、分析対象フロー)に対して分析を行い、ユーザポリシの制御対象条件に合致したフロー(以下、制御対象フロー)を検出すると制御を行い、条件に合致しないフロー(以下、制御対象外フロー)に対しては制御を行わない。
久保庭,本間,福岡,森岡,吉川,"経済的なアプリケーション識別制御基盤アーキテクチャの検討,"2014年電子情報通信学会総合大会,B-6-65,2014年3月
従来方式では、アプリケーション分析制御装置でアプリケーション分析して、制御対象フローであるかどうかを判定した結果は、転送制御装置に通知されない。そのため、転送制御装置は、制御対象フローであるかどうかにかかわらず、フロー終了まで分析対象フローをアプリケーション分析制御装置へ転送する。制御対象フローだけでなく、制御対象外フローも、フロー終了まで転送され続けるため、アプリケーション分析制御装置でフロー終了まで制御対象フローであるかを識別する処理が必要であるだけでなく、それらをアプリケーション分析制御装置から宛先へ転送し続ける必要があり、アプリケーション分析制御装置での処理負荷が大きくなっている。
本発明は、アプリケーション分析制御装置でのフロー識別処理又は転送処理負荷を削減することを目的とする。
本発明の一形態に係る転送制御装置は、
ユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置に、転送ポリシに従って、受信したパケットを転送する転送制御装置であって、
前記アプリケーション分析制御装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信する分析結果受信部と、
前記分析結果受信部が前記アプリケーション分析制御装置から制御対象結果を受信するまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するパケットヘッダ識別機能部と、
前記パケットの宛先アドレスに基づいて前記パケットを転送する宛先制御機能部と、
を有し、
前記パケットヘッダ識別機能部は、前記分析結果受信部が前記アプリケーション分析制御装置から制御対象結果を受信した場合、制御対象フローに対応するパケットを前記アプリケーション分析制御装置に転送し、制御対象外フローに対応するパケットを前記宛先制御機能部に転送することを特徴とする。
また、本発明の一形態に係るアプリケーション分析制御システムは、
ユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置と、転送ポリシに従って、受信したパケットをアプリケーション分析制御装置に転送する転送制御装置とを有するアプリケーション分析制御システムであって、
前記アプリケーション分析制御装置は、
ユーザポリシに基づき、転送制御装置から転送されたパケットのフローが制御対象フローであるか否かを判定する分析部と、
前記分析部における制御対象フローであるか否かを示す制御対象結果を前記転送制御装置に通知する分析結果通知部と、
を有し、
前記転送制御装置は、
前記アプリケーション分析制御装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信する分析結果受信部と、
前記分析結果受信部が前記アプリケーション分析制御装置から制御対象結果を受信するまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するパケットヘッダ識別機能部と、
前記パケットの宛先アドレスに基づいて前記パケットを転送する宛先制御機能部と、
を有し、
前記パケットヘッダ識別機能部は、前記分析結果受信部が前記アプリケーション分析制御装置から制御対象結果を受信した場合、制御対象フローに対応するパケットを前記アプリケーション分析制御装置に転送し、制御対象外フローに対応するパケットを前記宛先制御機能部に転送することを特徴とする。
また、本発明の一形態に係るアプリケーション分析制御システムは、
アプリケーション分析制御装置に設定するユーザポリシ及び転送制御装置に設定する転送ポリシを管理する管理装置と、前記管理装置により設定されたユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置と、前記管理装置により設定された転送ポリシに従って、受信したパケットをアプリケーション分析制御装置に転送する転送制御装置とを有するアプリケーション分析制御システムであって、
前記アプリケーション分析制御装置は、
ユーザポリシに基づき、転送制御装置から転送されたパケットのフローが制御対象フローであるか否かを判定する分析部と、
前記分析部における制御対象フローであるか否かを示す制御対象結果を前記管理装置に通知する分析結果通知部と、
を有し、
前記管理装置は、
前記アプリケーション分析制御装置から制御対象結果を受信し、受信した制御対象結果を前記転送制御装置に転送する分析結果転送部を有し、
前記転送制御装置は、
前記管理装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信する分析結果受信部と、
前記分析結果受信部が前記管理装置から制御対象結果を受信するまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するパケットヘッダ識別機能部と、
前記パケットの宛先アドレスに基づいて前記パケットを転送する宛先制御機能部と、
を有し、
前記パケットヘッダ識別機能部は、前記分析結果受信部が前記管理装置から制御対象結果を受信した場合、制御対象フローに対応するパケットを前記アプリケーション分析制御装置に転送し、制御対象外フローに対応するパケットを前記宛先制御機能部に転送することを特徴とする。
また、本発明の一形態に係る転送制御方法は、
ユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置に、転送ポリシに従って、受信したパケットを転送する転送制御装置における転送制御方法であって、
前記アプリケーション分析制御装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信するステップと、
前記アプリケーション分析制御装置から制御対象結果が受信されるまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するステップと、
前記パケットの宛先アドレスに基づいて前記パケットを転送するステップと、
前記アプリケーション分析制御装置から制御対象結果を受信した場合、制御対象フローに対応するパケットを前記アプリケーション分析制御装置に転送し、制御対象外フローに対応するパケットを、前記パケットの宛先アドレスに基づいて転送するステップと、
を有することを特徴とする。
また、本発明の一形態に係るアプリケーション分析制御方法は、
ユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置と、転送ポリシに従って、受信したパケットをアプリケーション分析制御装置に転送する転送制御装置とを有するアプリケーション分析制御システムにおけるアプリケーション分析制御方法であって、
前記アプリケーション分析制御装置が、ユーザポリシに基づき、転送制御装置から転送されたパケットのフローが制御対象フローであるか否かを判定するステップと、
前記アプリケーション分析制御装置が、制御対象フローであるか否かを示す制御対象結果を前記転送制御装置に通知するステップと、
前記転送制御装置が、前記アプリケーション分析制御装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信するステップと、
前記転送制御装置が、前記アプリケーション分析制御装置から制御対象結果が受信されるまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するステップと、
前記転送制御装置が、前記パケットの宛先アドレスに基づいて前記パケットを転送するステップと、
前記転送制御装置が、前記アプリケーション分析制御装置から制御対象結果を受信した場合、制御対象フローに対応するパケットを前記アプリケーション分析制御装置に転送し、制御対象外フローに対応するパケットを、前記パケットの宛先アドレスに基づいて転送するステップと、
を有することを特徴とする。
また、本発明の一形態に係るアプリケーション分析制御方法は、
アプリケーション分析制御装置に設定するユーザポリシ及び転送制御装置に設定する転送ポリシを管理する管理装置と、前記管理装置により設定されたユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置と、前記管理装置により設定された転送ポリシに従って、受信したパケットをアプリケーション分析制御装置に転送する転送制御装置とを有するアプリケーション分析制御システムにおけるアプリケーション分析制御方法であって、
前記アプリケーション分析制御装置が、ユーザポリシに基づき、転送制御装置から転送されたパケットのフローが制御対象フローであるか否かを判定するステップと、
前記アプリケーション分析制御装置が、制御対象フローであるか否かを示す制御対象結果を前記管理装置に通知するステップと、
前記管理装置が、前記アプリケーション分析制御装置から制御対象結果を受信し、受信した制御対象結果を前記転送制御装置に転送するステップと、
前記転送制御装置が、前記管理装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信するステップと、
前記転送制御装置が、前記管理装置から制御対象結果を受信するまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するステップと、
前記転送制御装置が、前記パケットの宛先アドレスに基づいて前記パケットを転送するステップと、
前記転送制御装置が、前記管理装置から制御対象結果を受信した場合、制御対象フローに対応するパケットを前記アプリケーション分析制御装置に転送し、制御対象外フローに対応するパケットを、前記パケットの宛先アドレスに基づいて転送するステップと、
を有することを特徴とする。
本発明によれば、アプリケーション分析制御装置でのフロー識別処理又は転送処理負荷を削減することが可能になる。
本発明の実施例1に係るアプリケーション分析制御システムの構成例を示す図 本発明の実施例1に係る転送制御装置の機能ブロック図 転送ポリシの例を示す図 コピー管理テーブルの例を示す図 本発明の実施例1に係るアプリケーション分析制御装置の機能ブロック図 本発明の実施例1に係るアプリケーション分析制御方法のシーケンス図 本発明の実施例2に係るアプリケーション分析制御システムの構成例を示す図 本発明の実施例2に係る転送制御装置の機能ブロック図 本発明の実施例2に係るアプリケーション分析制御装置の機能ブロック図 本発明の実施例2に係る管理装置の機能ブロック図 本発明の実施例2に係るアプリケーション分析制御方法のシーケンス図 本発明の実施例3に係るアプリケーション分析制御システムの構成例を示す図 本発明の実施例3に係る転送制御装置の機能ブロック図 本発明の実施例3に係るアプリケーション分析制御装置の機能ブロック図 本発明の実施例3に係る管理装置の機能ブロック図 本発明の実施例3に係る中継装置の機能ブロック図 本発明の実施例3に係るアプリケーション分析制御方法のシーケンス図
以下、図面を参照して本発明の実施例について説明する。
本発明の実施例では、ユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置と、転送ポリシに従って、受信したパケットをアプリケーション分析制御装置に転送する転送制御装置とを有するアプリケーション分析制御システムにおいて、以下の2つを実現することで、アプリケーション分析制御装置でのフロー識別処理及び転送処理負荷を削減する。
(1)アプリケーション分析制御装置にてユーザポリシに基づき、制御対象フローであるか否かを判定するまでの間は、転送制御装置にてパケットをコピーし、コピー元パケット(以下、主信号)は宛先アドレスに基づいて通常の経路へ転送する。コピーされたパケット(以下、コピーパケット)はアプリケーション分析制御装置へ転送し分析後に破棄することにより、アプリケーション分析制御装置における転送処理を削減する。
(2)更に、アプリケーション分析制御装置で制御対象フローであるかを判定した後は、転送制御装置から制御対象フローのみをアプリケーション分析制御装置へ転送して制御し、制御対象外フローはアプリケーション分析制御装置を経由せず転送制御装置から宛先へ転送することにより、アプリケーション分析制御装置のフロー識別処理を削減する。
なお、アプリケーション分析制御システムは、ユーザポリシ、転送ポリシ、ネットワークトポロジ情報等を管理する管理装置を更に含んでもよい。以下では、まず、管理装置がない場合の実施例(実施例1)を記載し、その後、管理装置がある場合の実施例(実施例2、実施例3)を記載する。
<実施例1>
図1に、本発明の実施例1に係るアプリケーション分析制御システムの構成例を示す。図1には、管理装置がない場合のネットワーク構成が示されている。アプリケーション分析制御システムは、転送制御装置10と、アプリケーション分析制御装置20とを有する。
アプリケーション分析制御装置20にてアプリケーションレベルで分析制御することを希望するユーザ(契約ユーザ)は、どのようなフローをアプリケーション分析制御装置20にて分析制御するかという転送ポリシと、どのような制御をアプリケーション分析制御装置20にて行うかというユーザポリシをあらかじめ設定する。
転送制御装置10は、パケットを宛先に転送するルータ等のネットワーク装置であり、あらかじめ設定された転送ポリシに合致するパケットのフローをアプリケーション分析制御装置20に転送する。
アプリケーション分析制御装置20は、あらかじめ設定されたユーザポリシに基づき制御を行う制御装置であり、転送制御装置10から転送されたパケットのフローが制御対象フローである場合には制御を行い、制御対象外フローである場合には制御を行わない。例えば、アプリケーション分析制御装置20は、特定のフローに対して帯域制御を行ったり、通信不能にしたりする制御を行う。
転送制御装置10及びアプリケーション分析制御装置20は、CPU(Central Processing Unit)等のプロセッサ、RAM(Random Access Memory)やROM(Read Only Memory)等のメモリ装置、ハードディスク等の記憶装置等から構成されたコンピュータでもよい。例えば、転送制御装置10及びアプリケーション分析制御装置20の機能及び処理は、記憶装置又はメモリ装置に格納されているデータやプログラムをプロセッサが実行することによって実現されてもよい。
図2に、本発明の実施例1に係る転送制御装置10の機能ブロック図を示す。転送制御装置10は、パケットヘッダ識別機能部101、宛先制御機能部103、及び分析結果受信部105を具備している。転送制御装置10は、あらかじめ、転送ポリシを保持している。図3に、転送ポリシの例を示す。転送ポリシは、転送フロー条件と転送先情報を保持している。転送フロー条件は、例えば、送信元アドレス(Src IP)、宛先アドレス(Dst IP)、送信元ポート(Src Port)、宛先ポート(Dst Port)、及びプロトコル(Protocol)を示す5tuple情報で構成される。転送先情報は、転送フロー条件に合致する場合のパケットの転送先のアプリケーション分析制御装置を示す。なお、制御対象外フローをアプリケーション分析制御装置に転送しないようにするため、以下では「装置#0」の転送先情報が用いられる。
パケットヘッダ識別機能部101は、アプリケーション分析制御装置20から制御対象フローであるか否かを判定した結果を受信するまで、受信したパケットをコピーし、転送ポリシに従って、コピーされたパケットをアプリケーション分析制御装置20に転送する。また、パケットヘッダ識別機能部101は、アプリケーション分析制御装置20から制御対象フローであるか否かを判定した結果を受信した場合、制御対象フローに対応するパケットをアプリケーション分析制御装置20に転送し、制御対象外フローに対応するパケットを宛先制御機能部103に転送する。
パケットヘッダ識別機能部101は、パケットヘッダ識別部111とパケットコピー部113で構成される。パケットヘッダ識別部111は、入力するフローを、転送ポリシに基づき指定されたアプリケーション分析制御装置へ転送する。転送ポリシの転送先情報が「装置♯0」の場合は、宛先制御機能部103へ入力フローを転送する。
パケットコピー部113では、転送ポリシの転送フロー条件に合致したフロー情報と当該フローに対してパケットコピーするか否かを識別するフラグ(以下、パケットコピーフラグ)で構成されるテーブル(以下、コピー管理テーブル)を保持している。図4に、コピー管理テーブルの例を示す。フロー条件は、例えば、送信元アドレス(Src IP)、宛先アドレス(Dst IP)、送信元ポート(Src Port)、宛先ポート(Dst Port)、及びプロトコル(Protocol)を示す5tuple情報で構成される。パケットコピーフラグは、「0」又は「1」で表され、「0」はパケットコピー部113においてパケットがコピーされないことを示し、「1」はパケットコピー部113においてパケットがコピーされることを示す。パケットヘッダ識別部111に入力されたフローが、転送ポリシの転送フロー条件に合致した場合は、コピー管理テーブルを参照し、新規にフロー情報を登録する。既にフロー情報が登録されている場合、何も行わない。コピーパケットフラグの初期値は「1」に設定される。一定時間適用されないフロー情報については、コピー管理テーブルから削除される。パケットコピー部113は、パケットヘッダ識別部111より入力されたフローに対しコピー管理テーブルを参照し、コピーパケットフラグが「1」であればパケットをコピーし、転送ポリシを参照してコピーパケットを当該フローの転送先であるアプリケーション分析制御装置へ転送し、主信号を装置内の宛先制御機能部103へ転送する。コピーパケットフラグが「0」であれば、パケットコピーは行わず、転送ポリシに基づき、入力フローを転送先であるアプリケーション分析制御装置へ転送する。
宛先制御機能部103は、従来のルータ機能であり、パケットヘッダの宛先アドレスに基づいてパケットを転送する。
分析結果受信部105は、アプリケーション分析制御装置から、分析対象フローが制御対象フローであるか否かを判定した結果を受信する。分析結果受信部105は、アプリケーション分析制御装置から、分析対象フローが制御対象フローか否かを判定した結果と当該フローの5tuple情報(以下、制御対象結果)を受信すると、コピー管理テーブルの当該フローのコピーパケットフラグを「0」に変更する。さらに、制御対象結果が、制御対象外フローの場合は、転送ポリシの当該フローの転送先情報を「装置♯0」に変更する。制御対象結果が、制御対象フローの場合は、転送先情報を変更しない。
図5に、本発明の実施例1に係るアプリケーション分析制御装置20の機能ブロック図を示す。アプリケーション分析制御装置20は、分析制御機能部201を具備する。分析制御機能部201は、フロー識別部211、分析部213、分析結果通知部215、及び制御部217で構成される。アプリケーション分析制御装置20は、あらかじめ、ユーザ毎に、ユーザ識別情報とユーザポリシを保持している。ユーザポリシは、制御対象フロー条件と当該フローに適用する制御内容の情報を有する。ユーザ識別情報は、例えば、ユーザのIPアドレス、VLAN情報、端末識別情報、回線情報、及び当該ユーザを収容している転送制御装置情報である。
フロー識別部211は、制御対象フロー情報が登録されているテーブル(以下、制御フローテーブル)を保持している。制御対象フロー情報は、例えば、送信元アドレス(Src IP)、宛先アドレス(Dst IP)、送信元ポート(Src Port)、宛先ポート(Dst Port)、及びプロトコル(Protocol)を示す5tuple情報で構成される。フロー識別部211は、フローが入力されると、制御フローテーブルを参照し、制御フローテーブルに存在しない場合は分析部213へ転送し、制御フローテーブルに存在する場合は制御部217へ転送する。
分析部213では、入力されたフローに対してユーザポリシに基づき分析を行い、制御対象か否かを判定する。分析部213での処理後、入力フローのパケットは転送されず破棄される。判定完了後、制御対象結果は分析結果通知部215へ送信される。
分析結果通知部215は、分析部213から制御対象結果を受信すると、当該フローのフロー情報からユーザ識別情報を特定し、当該ユーザが収容されている転送制御装置10の分析結果受信部105へ制御対象結果を送信する。さらに、制御対象結果が制御対象フローの場合、分析結果通知部215は、当該フローのフロー情報をフロー識別部211が保持する制御フローテーブルに新規フローとして登録する。既にフロー情報が登録されている場合は、何も行わない。制御対象外フローの場合は、特に実施しない。フロー識別部211で一定時間適用されないフロー情報については制御フローテーブルから削除される。
制御部217では、入力されたフローに対し、ユーザポリシに基づき、条件に合致したフローに対して制御を行い、その後、転送元の転送制御装置へフローを転送する。
次に、装置間の処理フローについて説明する。図6に、本発明の実施例1に係るアプリケーション分析制御方法のシーケンス図を示す。本実施例では、同一の転送制御装置10から上り方向及び下り方向のトラヒックをアプリケーション分析制御装置20へ転送する。
転送制御装置10に入力されたフローは、パケットヘッダ識別機能部101に入力される。パケットヘッダ識別機能部101にフローが入力されると、当該ユーザの転送ポリシに基づき、転送フロー条件に合致するか検索する。転送フロー条件に合致し、かつ、コピー管理テーブルに記載されているパケットコピーフラグが「1」の場合は、パケットコピー部113でパケットをコピーする(S111)。コピーパケットは、当該ユーザの転送ポリシに基づき、転送先として指定されたアプリケーション分析制御装置20へ転送される(S113)。主信号は宛先制御機能部103へ転送され、本来の宛先へ転送される(S115)。
アプリケーション分析制御装置20に入力されたコピーパケットは、フロー識別部211に入力される。フロー識別部211では、制御フローテーブルに基づき、フロー条件に合致するか検索する。合致しない場合は、分析部213にパケットを転送する。合致する場合は、制御部217にパケットを転送する。
分析部213にコピーパケットが入力すると、ユーザポリシに基づいて分析し、制御対象か否かを判定する(S117)。分析部213での処理後、コピーパケットは転送されず破棄される。
分析結果通知部215は、分析部213から制御対象結果を受信すると、制御対象フローの場合は当該フロー情報をフロー識別部211が保持する制御フローテーブルに登録する。制御対象外フローの場合は、何も行わない。
アプリケーション分析制御装置20の分析結果通知部215は、制御対象結果の当該フロー情報とアプリケーション分析制御装置20が保持するユーザ識別情報から、当該ユーザが収容されている転送制御装置へ制御対象結果を通知する(S119)。
転送制御装置10の分析結果受信部105は、制御対象結果を受信する。
転送制御装置10の分析結果受信部105で受信した制御対象結果が、制御対象外フローの場合、分析結果受信部105はコピー管理テーブルの当該フローのコピーパケットフラグを「0」に、転送ポリシの転送先情報を「装置♯0」に書き換える(S131)。パケットコピーが停止し、当該フローは宛先制御機能部103へ転送され、本来の宛先へ転送される(S133)。
制御対象結果が、制御対象フローの場合、分析結果受信部105はコピー管理テーブルの当該フローのコピーパケットフラグを「0」に書き換える(S131)。パケットコピーが停止し、転送先のアプリケーション分析制御装置20へ主信号を転送する(S135)。
アプリケーション分析制御装置20に入力された主信号は、フロー識別部211に入力され、制御フローテーブルに基づき、制御部217に入力される。制御部217では、ユーザポリシに基づき、入力された主信号に対して制御を行う(S137)。
ユーザポリシに基づく制御後のフローは、アプリケーション分析制御装置20から、転送制御装置10へ転送され、宛先制御機能部103を経由して、本来の宛先へ転送される。
<実施例2>
図7に、本発明の実施例2に係るアプリケーション分析制御システムの構成例を示す。図7には、管理装置がある場合のネットワーク構成が示されている。アプリケーション分析制御システムは、転送制御装置10と、アプリケーション分析制御装置20と、管理装置30とを有する。
管理装置30は、契約ユーザ毎に、ユーザ識別情報、ユーザポリシ、及び転送ポリシを保持している。管理装置30は、アプリケーション分析制御装置20に対してユーザポリシの設定を指示し、転送制御装置10に対して転送ポリシの設定を指示する。管理装置30は、アプリケーション分析制御装置20から制御対象結果を受信すると、該当フローのフロー情報と管理装置が保持するユーザ識別情報から、該当ユーザが収容される転送制御装置へ制御対象結果を通知する。
管理装置30は、CPU(Central Processing Unit)等のプロセッサ、RAM(Random Access Memory)やROM(Read Only Memory)等のメモリ装置、ハードディスク等の記憶装置等から構成されたコンピュータでもよい。例えば、管理装置30の機能及び処理は、記憶装置又はメモリ装置に格納されているデータやプログラムをプロセッサが実行することによって実現されてもよい。
図8に、本発明の実施例2に係る転送制御装置10の機能ブロック図を示す。転送制御装置10は、パケットヘッダ識別機能部101、宛先制御機能部103、及び分析結果受信部105を具備している。
パケットヘッダ識別機能部101では、契約ユーザの通信開始契機で、管理装置30へ通信開始通知を送信する。通信開始通知には、ユーザ識別情報が含まれる。管理装置30は通信開始通知を受信すると、送信元の転送制御装置10に当該ユーザの転送ポリシの設定を指示し、アプリケーション分析制御装置20に当該ユーザポリシの設定を指示する。図3に示す通り、転送ポリシは、転送フロー条件と転送先情報を保持している。また、ユーザポリシは、制御対象フロー条件と当該フローに適用する制御内容の情報を有する。
分析結果受信部105は、管理装置30から制御対象結果を受信すると、コピー管理テーブルの、当該フローのコピーパケットフラグを「0」に変更する。さらに、制御対象結果が、制御対象外フローであれば当該フローの転送先情報を「装置♯0」に変更する。制御対象フローの場合は、転送先を変更しない。
パケットコピー部113及び宛先制御機能部103の機能については、実施例1と同様である。
図9に、本発明の実施例2に係るアプリケーション分析制御装置20の機能ブロック図を示す。アプリケーション分析制御装置20は、フロー識別部211、分析部213、分析結果通知部、及び制御部217を具備している。
分析結果通知部215は、分析部213から制御対象結果を受信すると、その結果を管理装置30へ送信する。上記以外の分析結果通知部215の機能、並びにフロー識別部211、分析部213、及び制御部217の機能については、実施例1と同様である。
図10に、本発明の実施例2に係る管理装置30の機能ブロック図を示す。管理装置30は、管理機能部301を具備している。管理機能部301は、ポリシ設定部311及び分析結果転送部313で構成される。
ポリシ設定部311は、アプリケーション分析制御装置20にユーザポリシの設定を指示し、転送制御装置10に転送ポリシの設定を指示する。
分析結果転送部313は、アプリケーション分析制御装置20から制御対象結果を受信し、受信した制御対象結果を転送制御装置10に転送する。分析結果転送部313は、制御対象結果を受信すると、該当フロー情報と管理装置が保持するユーザ識別情報から、当該フローが経由する転送制御装置10の分析結果受信部105へ制御対象結果を送信する。
次に、装置間の処理フローについて説明する。図11に、本発明の実施例2に係るアプリケーション分析制御方法のシーケンス図を示す。本実施例では、上り方向及び下り方向のトラヒックを、同一の転送制御装置からアプリケーション分析制御装置へ転送する。
管理装置30のポリシ設定部311は、契約ユーザの通信開始契機で通信開始通知を受信すると、アプリケーション分析制御装置20に当該ユーザポリシの設定を指示し(S201)、送信元の転送制御装置10に当該ユーザの転送ポリシの設定を指示する(S203)。
ステップS211〜S217については、実施例1のステップS111〜S117と同様である。
アプリケーション分析制御装置20の分析結果通知部215は、制御対象結果を分析結果通知部215から管理装置30へ通知する(S219)。
管理装置30の分析結果転送部313は、制御対象結果を受信すると、該当フロー情報と管理装置30が保持するユーザ識別情報から、当該フローが経由する転送制御装置10の分析結果受信部105へ制御対象結果を送信する(S221)。
転送制御装置10の分析結果受信部105は、管理装置30より制御対象結果を受信する。
以降のステップS231〜S237については、実施例1のステップS131〜S137と同様である。
<実施例3>
図12に、本発明の実施例3に係るアプリケーション分析制御システムの構成例を示す。図12には、管理装置があり、かつ中継装置がある場合のネットワーク構成が示されている。アプリケーション分析制御システムは、転送制御装置10と、アプリケーション分析制御装置20と、管理装置30と、中継装置40とを有する。
中継装置40は、パケットを中継するルータ等のネットワーク装置であり、管理装置30により設定された中継転送ポリシに従って、入力フローを転送先に転送する。
中継装置40は、CPU(Central Processing Unit)等のプロセッサ、RAM(Random Access Memory)やROM(Read Only Memory)等のメモリ装置、ハードディスク等の記憶装置等から構成されたコンピュータでもよい。例えば、転送制御装置10及びアプリケーション分析制御装置20の機能及び処理は、記憶装置又はメモリ装置に格納されているデータやプログラムをプロセッサが実行することによって実現されてもよい。
図13に、本発明の実施例3に係る転送制御装置10の機能ブロック図を示す。転送制御装置10は、パケットヘッダ識別機能部101、宛先制御機能部103、及び分析結果受信部105を具備している。これらは、実施例2と同様である。
図14に、本発明の実施例3に係るアプリケーション分析制御装置20の機能ブロック図を示す。アプリケーション分析制御装置20は、フロー識別部211、分析部213、分析結果通知部215、及び制御部217を具備している。フロー識別部211、分析部213及び分析結果通知部215については、実施例2と同様である。
制御部217では、入力されたフローに対し、ユーザポリシに基づき、条件に合致した制御対象フローを検知すると制御を行い、その後、中継装置40へフローを転送する。
図15に、本発明の実施例3に係る管理装置30の機能ブロック図を示す。管理装置30は、管理機能部301を具備している。管理機能部301は、ポリシ設定部311及び分析結果転送部313で構成される。管理装置30は、実施例2で記載した保持情報以外に、ネットワークトポロジ情報と中継装置に設定する転送ポリシ(以下、中継転送ポリシ)を保持している。
ポリシ設定部311は、アプリケーション分析制御装置20に対してユーザポリシの設定を指示し、転送制御装置10に転送ポリシ、中継装置40に中継転送ポリシの設定を指示する。設定する転送制御装置及び中継装置を指定する際には、当該フロー情報とネットワークトポロジ情報を参照し、当該フローが経由する転送制御装置及び中継装置を指定する。上記以外の機能については、実施例2と同様である。
図16に、本発明の実施例3に係る中継装置40の機能ブロック図を示す。中継装置40は、パケットヘッダ識別部401を具備している。アプリケーション分析制御装置20からパケットヘッダ識別部401へフローが入力されると、パケットヘッダ識別部401は、中継転送ポリシに基づき、転送先の転送制御装置へ送信する。転送制御装置10から入力されるフローは透過し、アプリケーション分析制御装置20へ送信する。
次に、装置間の処理フローについて説明する。図17に、本発明の実施例3に係るアプリケーション分析制御方法のシーケンス図を示す。本実施例では、上り方向及び下り方向のトラヒックを、それぞれキャリア網の入り口の転送制御装置からアプリケーション分析制御装置へ転送する。
ステップS301〜S303、S311〜S317については、実施例2のステップS201〜S203、S211〜S217と同様である。
アプリケーション分析制御装置20の分析結果通知部215は、制御対象結果を分析結果通知部215から管理装置30へ通知する(S319)。
管理装置30は、制御対象結果を受信する。
制御対象結果が制御対象フローの場合、管理装置30は、当該フロー情報と管理装置が保持するネットワークトポロジ情報を参照し、当該フローが経由する転送制御装置10及び中継装置40を特定する。そして、転送制御装置10に制御対象結果を通知し(S321)、中継装置40に中継転送ポリシの設定を指示する(S323)。
制御対象結果が制御対象外フローの場合、管理装置30は、当該フロー情報と管理装置30が保持するネットワークトポロジ情報を参照し、当該フローが経由する転送制御装置を特定し、転送制御装置10に制御対象結果を送信する(S321)。
以降のステップS331〜S337については、実施例2のステップS231〜S237と同様である。
ユーザポリシに基づく制御後は、アプリケーション分析制御装置20から、中継装置40へ主信号が転送される。
中継装置40に主信号が入力されると、中継装置40のパケットヘッダ識別部401に入力する。パケットヘッダ識別部401では、当該ユーザの中継転送ポリシに基づき、指定された転送制御装置へ転送される。
当該転送制御装置10に主信号が入力された後は、宛先制御機能部103を経由して、本来の宛先へ転送される。
<本発明の実施例の効果>
以上のように、本発明の実施例では、制御対象フローか否かを判定後は、転送制御装置から制御対象フローのみをアプリケーション分析制御装置へ転送して制御し、制御対象外フローはアプリケーション分析制御装置を経由せず転送制御装置から本来の宛先へ転送することにより、アプリケーション分析制御装置のフロー識別処理及び転送処理を削減することができる。
また、制御対象か否かを判定している間は、主信号のパケットはアプリケーション分析制御装置へ転送されないため、アプリケーション分析制御装置における転送処理を削減することができる。
このように、本発明の実施例では、アプリケーション分析制御装置での制御対象結果を転送制御装置へ通知することで、制御対象フローのみをアプリケーション分析制御装置へ転送することができる。なお、転送制御装置への制御対象結果の通知は、管理装置を介して行うこともできる。そのため、制御対象フローか否かを判定した後は、転送制御装置は、制御対象外フローをアプリケーション分析制御装置へ転送する必要がない。従って、アプリケーション分析制御装置でのフロー識別処理及び転送処理負荷を削減することが可能となる。
説明の便宜上、本発明の実施例に係る転送制御装置、アプリケーション分析制御装置、管理装置及び中継装置は機能的なブロック図を用いて説明しているが、本発明の実施例に係る転送制御装置、アプリケーション分析制御装置、管理装置及び中継装置は、ハードウェア、ソフトウェア又はそれらの組み合わせで実現されてもよい。例えば、本発明の実施例は、コンピュータに対して本発明の実施例に係る転送制御装置、アプリケーション分析制御装置、管理装置及び中継装置の各機能を実現させるプログラム、コンピュータに対して本発明の実施例に係る方法の各手順を実行させるプログラム等により、実現されてもよい。また、各機能部が必要に応じて組み合わせて使用されてもよい。また、本発明の実施例に係る方法は、実施例に示す順序と異なる順序で実施されてもよい。
以上、アプリケーション分析制御装置でのフロー識別処理又は転送処理負荷を削減するための手法について説明したが、本発明は、上記の実施例に限定されることなく、特許請求の範囲内において、種々の変更・応用が可能である。
10 転送制御装置
101 パケットヘッダ識別機能部
103 宛先制御機能部
105 分析結果受信部
111 パケットヘッダ識別部
113 パケットコピー部
20 アプリケーション分析制御装置
201 分析制御機能部
211 フロー識別部
213 分析部
215 分析結果通知部
217 制御部
30 管理装置
301 管理機能部
311 ポリシ設定部
313 分析結果転送部
40 中継装置
401 パケットヘッダ識別部

Claims (7)

  1. ユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置に、転送ポリシに従って、受信したパケットを転送する転送制御装置であって、
    前記アプリケーション分析制御装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信する分析結果受信部と、
    前記分析結果受信部が前記アプリケーション分析制御装置から制御対象結果を受信するまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するパケットヘッダ識別機能部と、
    前記パケットの宛先アドレスに基づいて前記パケットを転送する宛先制御機能部と、
    を有し、
    前記パケットヘッダ識別機能部は、前記分析結果受信部が前記アプリケーション分析制御装置から制御対象結果を受信した場合、制御対象フローに対応するパケットを前記アプリケーション分析制御装置に転送し、制御対象外フローに対応するパケットを前記宛先制御機能部に転送する、転送制御装置。
  2. ユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置と、転送ポリシに従って、受信したパケットをアプリケーション分析制御装置に転送する転送制御装置とを有するアプリケーション分析制御システムであって、
    前記アプリケーション分析制御装置は、
    ユーザポリシに基づき、転送制御装置から転送されたパケットのフローが制御対象フローであるか否かを判定する分析部と、
    前記分析部における制御対象フローであるか否かを示す制御対象結果を前記転送制御装置に通知する分析結果通知部と、
    を有し、
    前記転送制御装置は、
    前記アプリケーション分析制御装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信する分析結果受信部と、
    前記分析結果受信部が前記アプリケーション分析制御装置から制御対象結果を受信するまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するパケットヘッダ識別機能部と、
    前記パケットの宛先アドレスに基づいて前記パケットを転送する宛先制御機能部と、
    を有し、
    前記パケットヘッダ識別機能部は、前記分析結果受信部が前記アプリケーション分析制御装置から制御対象結果を受信した場合、制御対象フローに対応するパケットを前記アプリケーション分析制御装置に転送し、制御対象外フローに対応するパケットを前記宛先制御機能部に転送する、アプリケーション分析制御システム。
  3. アプリケーション分析制御装置に設定するユーザポリシ及び転送制御装置に設定する転送ポリシを管理する管理装置と、前記管理装置により設定されたユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置と、前記管理装置により設定された転送ポリシに従って、受信したパケットをアプリケーション分析制御装置に転送する転送制御装置とを有するアプリケーション分析制御システムであって、
    前記アプリケーション分析制御装置は、
    ユーザポリシに基づき、転送制御装置から転送されたパケットのフローが制御対象フローであるか否かを判定する分析部と、
    前記分析部における制御対象フローであるか否かを示す制御対象結果を前記管理装置に通知する分析結果通知部と、
    を有し、
    前記管理装置は、
    前記アプリケーション分析制御装置から制御対象結果を受信し、受信した制御対象結果を前記転送制御装置に転送する分析結果転送部を有し、
    前記転送制御装置は、
    前記管理装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信する分析結果受信部と、
    前記分析結果受信部が前記管理装置から制御対象結果を受信するまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するパケットヘッダ識別機能部と、
    前記パケットの宛先アドレスに基づいて前記パケットを転送する宛先制御機能部と、
    を有し、
    前記パケットヘッダ識別機能部は、前記分析結果受信部が前記管理装置から制御対象結果を受信した場合、制御対象フローに対応するパケットを前記アプリケーション分析制御装置に転送し、制御対象外フローに対応するパケットを前記宛先制御機能部に転送する、アプリケーション分析制御システム。
  4. 前記管理装置は、ネットワークトポロジ情報と、中継装置に設定する中継転送ポリシとを更に管理し、
    前記管理装置の前記分析結果転送部は、前記ネットワークトポロジ情報を参照して、制御対象結果の制御対象フローが経由する中継装置に中継転送ポリシの設定を更に指示する、請求項に記載のアプリケーション分析制御システム。
  5. ユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置に、転送ポリシに従って、受信したパケットを転送する転送制御装置における転送制御方法であって、
    前記アプリケーション分析制御装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信するステップと、
    前記アプリケーション分析制御装置から制御対象結果が受信されるまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するステップと、
    前記パケットの宛先アドレスに基づいて前記パケットを転送するステップと、
    前記アプリケーション分析制御装置から制御対象結果を受信した場合、制御対象フローに対応するパケットを前記アプリケーション分析制御装置に転送し、制御対象外フローに対応するパケットを、前記パケットの宛先アドレスに基づいて転送するステップと、
    を有する転送制御方法。
  6. ユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置と、転送ポリシに従って、受信したパケットをアプリケーション分析制御装置に転送する転送制御装置とを有するアプリケーション分析制御システムにおけるアプリケーション分析制御方法であって、
    前記アプリケーション分析制御装置が、ユーザポリシに基づき、転送制御装置から転送されたパケットのフローが制御対象フローであるか否かを判定するステップと、
    前記アプリケーション分析制御装置が、制御対象フローであるか否かを示す制御対象結果を前記転送制御装置に通知するステップと、
    前記転送制御装置が、前記アプリケーション分析制御装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信するステップと、
    前記転送制御装置が、前記アプリケーション分析制御装置から制御対象結果が受信されるまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するステップと、
    前記転送制御装置が、前記パケットの宛先アドレスに基づいて前記パケットを転送するステップと、
    前記転送制御装置が、前記アプリケーション分析制御装置から制御対象結果を受信した場合、制御対象フローに対応するパケットを前記アプリケーション分析制御装置に転送し、制御対象外フローに対応するパケットを、前記パケットの宛先アドレスに基づいて転送するステップと、
    を有するアプリケーション分析制御方法。
  7. アプリケーション分析制御装置に設定するユーザポリシ及び転送制御装置に設定する転送ポリシを管理する管理装置と、前記管理装置により設定されたユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置と、前記管理装置により設定された転送ポリシに従って、受信したパケットをアプリケーション分析制御装置に転送する転送制御装置とを有するアプリケーション分析制御システムにおけるアプリケーション分析制御方法であって、
    前記アプリケーション分析制御装置が、ユーザポリシに基づき、転送制御装置から転送されたパケットのフローが制御対象フローであるか否かを判定するステップと、
    前記アプリケーション分析制御装置が、制御対象フローであるか否かを示す制御対象結果を前記管理装置に通知するステップと、
    前記管理装置が、前記アプリケーション分析制御装置から制御対象結果を受信し、受信した制御対象結果を前記転送制御装置に転送するステップと、
    前記転送制御装置が、前記管理装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信するステップと、
    前記転送制御装置が、前記管理装置から制御対象結果を受信するまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するステップと、
    前記転送制御装置が、前記パケットの宛先アドレスに基づいて前記パケットを転送するステップと、
    前記転送制御装置が、前記管理装置から制御対象結果を受信した場合、制御対象フローに対応するパケットを前記アプリケーション分析制御装置に転送し、制御対象外フローに対応するパケットを、前記パケットの宛先アドレスに基づいて転送するステップと、
    を有するアプリケーション分析制御方法。
JP2016026488A 2016-02-16 2016-02-16 転送制御装置、アプリケーション分析制御システム、転送制御方法及びアプリケーション分析制御方法 Active JP6499098B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016026488A JP6499098B2 (ja) 2016-02-16 2016-02-16 転送制御装置、アプリケーション分析制御システム、転送制御方法及びアプリケーション分析制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016026488A JP6499098B2 (ja) 2016-02-16 2016-02-16 転送制御装置、アプリケーション分析制御システム、転送制御方法及びアプリケーション分析制御方法

Publications (2)

Publication Number Publication Date
JP2017147525A JP2017147525A (ja) 2017-08-24
JP6499098B2 true JP6499098B2 (ja) 2019-04-10

Family

ID=59683307

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016026488A Active JP6499098B2 (ja) 2016-02-16 2016-02-16 転送制御装置、アプリケーション分析制御システム、転送制御方法及びアプリケーション分析制御方法

Country Status (1)

Country Link
JP (1) JP6499098B2 (ja)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006164038A (ja) * 2004-12-09 2006-06-22 Nippon Telegr & Teleph Corp <Ntt> DoS攻撃あるいはDDoS攻撃に対処する方法、ネットワーク装置、および分析装置
JP5169999B2 (ja) * 2009-06-03 2013-03-27 Necインフロンティア株式会社 サービス停止攻撃検出システム、ネットワーク中継装置、サービス停止攻撃防御方法
JP2011188276A (ja) * 2010-03-09 2011-09-22 Hitachi Ltd トラヒック観測システム
CN106464577B (zh) * 2014-06-18 2019-10-29 日本电信电话株式会社 网络系统、控制装置、通信装置以及通信控制方法

Also Published As

Publication number Publication date
JP2017147525A (ja) 2017-08-24

Similar Documents

Publication Publication Date Title
CN107241186B (zh) 网络设备和用于网络通信的方法
US9148383B2 (en) Transparent middlebox with graceful connection entry and exit
EP2995042B1 (en) Data plane learning of bi-directional service chains
US9264400B1 (en) Software defined networking pipe for network traffic inspection
US7990847B1 (en) Method and system for managing servers in a server cluster
US20230179523A1 (en) Packet processing method and apparatus, and related device
EP2944065B1 (en) Rule swapping in a packet network
CN108353068B (zh) Sdn控制器辅助的入侵防御系统
WO2017066359A1 (en) Determining direction of network sessions
EP3135005A1 (en) A method and system for deep packet inspection in software defined networks
JP2007184799A (ja) パケット通信装置
KR20160042441A (ko) 애플리케이션-인식 네트워크 관리
CN113364804B (zh) 一种流量数据的处理方法和装置
CN102065017B (zh) 一种报文处理方法及装置
CN107566298B (zh) 一种生成表项的方法和设备
US9847927B2 (en) Information processing device, method, and medium
JP6499098B2 (ja) 転送制御装置、アプリケーション分析制御システム、転送制御方法及びアプリケーション分析制御方法
JP7003864B2 (ja) 振分装置、通信システムおよび振分方法
US20170322862A1 (en) Information processing apparatus, method, and medium
JP6623702B2 (ja) ネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法。
JP4677501B2 (ja) 中継装置および中継方法
JP6184381B2 (ja) 暗号化されたデータフローを分類する方法および装置、コンピュータプログラム、ならびに情報記憶手段
WO2016047088A1 (ja) ゲートウェイ装置、セッション管理方法、およびセッション管理プログラム記録媒体
US8660143B2 (en) Data packet interception system
JP2002108729A (ja) ネットワーク接続装置及び同装置に適用されるファイアウォール制御プログラムを記憶したコンピュータ読み取り可能な記憶媒体

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171218

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181022

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181030

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181210

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190312

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190314

R150 Certificate of patent or registration of utility model

Ref document number: 6499098

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150