WO2005117374A1

WO2005117374A1 - 中継装置、パケットフィルタリング方法及びパケットフィルタリングプログラム

Info

Publication number: WO2005117374A1
Application number: PCT/JP2005/009632
Authority: WO
Inventors: Kenji Kono; Takahiro Shinagawa; Kabir Md.Rahat
Original assignee: Japan Science And Technology Agency
Priority date: 2004-05-31
Filing date: 2005-05-26
Publication date: 2005-12-08
Also published as: EP1737172A4; JP4418302B2; US7633957B2; CN100473060C; KR20060063957A; KR100752955B1; JP2005347853A; CN1839601A; EP1737172A1; TW200642389A; US20070242681A1; TWI332341B; IL178267A0

Abstract

　中継装置１０は、通信メッセージをパケット毎に中継する中継装置であって、受信されたパケットが受信すべき順序で受信されたものであるか否かを判断する順序判断部１３と、受信すべき順序で受信されたものでないと判断された場合、パケットを保持しておくと共に、パケットの中継を行うよう制御するパケット保持部１４と、受信されたパケットのペイロードと保持されたパケットのペイロードとを合併する合併部１５と、パケットのペイロードが予め定められたルールを満たすものであるか否かを検証する検証部１６と、パケットがルールを満たすとされた場合に当該パケットの中継を行うよう制御する中継制御部１７とを備える。これにより、通信遅延の増大を防ぎ、プロトコルの種類によらずにアプリケーション層プロトコルにおける不正な通信メッセージの検出をすることが可能となる。

Description

明細書

中継装置、パケットフィルタリング方法及びパケットフィルタリングプログラム

技術分野

[0001] 本発明は、通信メッセージをパケット毎に中継する中継装置、当該中継装置におけるバケツトフィルタリング方法、及びバケツトフィルタリングプログラムに関する。

背景技術

[0002] 従来から、インターネット網等の通信システムにおいて、外部からの攻撃を防ぐために、ネットワーク上で送受信されるデータをフィルタリングする様々な技術が提案されている。外部からの攻撃の例として、バッファ溢れ攻撃やフォーマット文字列攻撃等が存在する力このような種類の攻撃の多くは、 OSl (Open Systems Interconnection )参照モデルのアプリケーション層のプロトコル（例えば、 HTTP (HyperText Transfer Protocol)や SMTP (Simple Mail Transfer Protocol)等が相当する）に定められた通信規約に違反した通信メッセージを用、て攻撃を行う。

[0003] アプリケーション層のプロトコルに違反したメッセージは、データの中身、即ちバケツトのペイロード (パケットのうちヘッダの情報を除いた、本来転送したいデータ本体）に不正の原因があるので、パケットのヘッダ情報を参照して不正なデータを検出するパケットフィルタリングでは検出されない。アプリケーション層プロトコルにおける不正メッセージを検出するには、データの中身を参照する必要があり、このようにして不正メッセージを検出するものとして、アプリケーションゲートウェイがある（例えば、下記非特許文献 1参照)。

非特許文献 1 :伊藤幸夫，紫藤政義，野ロ修著「図解'標準最新 VPNノ、ンドブック」秀和システム、 2003年 5月 , p. 56 - 61

発明の開示

発明が解決しょうとする課題

[0004] アプリケーションゲートウェイは、サーバとクライアントとの間に介在するプロキシの一種であり、送受信されるデータをメッセージストリームとして監視する。即ち、バケツトとしてネットワークを流れるデータをアプリケーションゲートウェイにおいて通信メッセージとして再構成し、再構成された通信メッセージを解析することにより不正を検出する。従って、アプリケーションゲートウェイでは、通信メッセージが不正なものでないと判断するまでパケットを中継しないため、ネットワークにおけるパケットの流れがー且中断されて通信遅延の原因となる。また、アプリケーションゲートウェイは、上記不正な通信メッセージの検出をプロトコル毎に行うため、プロトコルの数だけ必要となる。

[0005] 本発明は、上記課題を解決するために成されたものであり、通信遅延の増大を防ぎ、プロトコルの種類によらずにアプリケーション層プロトコルにおける不正な通信メッセージの検出をすることができる中継装置、パケットフィルタリング方法及びパケットフィルタリングプログラムを提供することを目的とする。

課題を解決するための手段

[0006] このような目的を達成するために、本発明による中継装置は、通信メッセージをパケット毎に中継する中継装置であって、受信されたパケットが受信すべき順序で受信されたものである力否かを判断する順序判断手段と、順序判断手段によりパケットが受信すべき順序で受信されたものでな、と判断された場合、当該パケットを保持しておくと共に、当該パケットの中継を行うよう制御するパケット保持手段と、パケット保持手段により保持されたパケットが、保持された後に受信されたパケットと併せて検証すベきものであるか否かを、受信すべき順序に基づいて判断して、その判断に基づき当該受信されたパケットのペイロードと当該保持されたパケットのペイロードとを合併する合併手段と、順序判断手段により受信すべき順序でパケットが受信されたと判断された場合に、当該パケットのペイロード、又は合併手段により合併された当該パケットのペイロードが予め定められたルールを満たすものであるか否かを検証すると共に、その検証内容に関する情報を通信メッセージにおける次の検証に用いるために保持しておく検証手段と、検証手段によりパケットがルールを満たすとされた場合に当該パケットの中継を行うよう制御し、検証手段によりパケットがルールを満たさないとされた場合に当該パケットの中継を禁止するよう制御する中継制御手段と、を備えることを特徴とする。

[0007] 上記した中継装置によれば、パケットを受信する度にペイロードに関して不正の検証を行って当該パケットを送信するので、アプリケーション層プロトコルにおける不正な通信メッセージの検出において通信遅延の増大を防ぐことができる。また、不正の検証に用いるルールはアプリケーション層プロトコルの種類によらずに設定できるので、プロトコルの種類によらずに不正な通信メッセージの検出をすることができる。

[0008] また、検証手段による検証、及び検証内容に関する情報の保持は、その一例として、オートマトンを用いることにより行われることが好ましい。オートマトンを用いた場合には、検証、及び検証内容の保持を行うための上記のルールを宣言的に記述することができ、ルールの作成、検証及び保守が容易となる。

[0009] ところで、本発明は、上記のように中継装置の発明として記述できる他に、以下のようにパケットフィルタリング方法及びパケットフィルタリングプログラムの発明としても記述することができる。これらはカテゴリーが異なるだけで、実質的に同一の発明であり、同様の作用'効果を奏する。

[0010] 本発明によるパケットフィルタリング方法は、通信メッセージをパケット毎に中継する中継装置におけるパケットフィルタリング方法であって、受信されたパケットが受信すべき順序で受信されたものであるカゝ否かを判断する順序判断ステップと、順序判断ステツプにお、てパケットが受信すべき順序で受信されたものでな、と判断された場合、当該パケットを保持しておくと共に、当該パケットの中継を行うよう制御するパケット保持ステップと、パケット保持ステップにおいて保持されたパケットが、保持された後に受信されたパケットと併せて検証すべきものであるか否かを、受信すべき順序に基づいて判断して、その判断に基づき当該受信されたパケットのペイロードと当該保持されたパケットのペイロードとを合併する合併ステップと、順序判断ステップにお、て受信すべき順序でパケットが受信されたと判断された場合に、当該パケットのペイ口ード、又は合併ステップにおいて合併された当該パケットのペイロードが予め定められたルールを満たすものであるか否かを検証すると共に、その検証内容に関する情報を通信メッセージにおける次の検証に用いるために保持しておく検証ステップと、検証ステップにおいてパケットがルールを満たすとされた場合に当該パケットの中継を行うよう制御し、検証ステップにおヽてパケットがルールを満たさなヽとされた場合に当該パケットの中継を禁止するよう制御する中継制御ステップと、を備えることを特徴とする。また、検証ステップにおける検証、及び検証内容に関する情報の保持は、その一例として、オートマトンを用いることにより行われることが好ましい。

[0011] 本発明によるパケットフィルタリングプログラムは、通信メッセージをパケット毎に中継する中継装置に、受信されたパケットが受信すべき順序で受信されたものであるか否かを判断する順序判断処理と、順序判断処理によりパケットが受信すべき順序で受信されたものでないと判断された場合、当該パケットを保持しておくと共に、当該パケットの中継を行うよう制御するパケット保持処理と、パケット保持処理により保持されたパケットが、保持された後に受信されたパケットと併せて検証すべきものである力否かを、受信すべき順序に基づいて判断して、その判断に基づき当該受信されたパケットのペイロードと当該保持されたパケットのペイロードとを合併する合併処理と、順序判断処理により受信すべき順序でパケットが受信されたと判断された場合に、当該パケットのペイロード、又は合併処理により合併された当該パケットのペイロードが予め定められたルールを満たすものであるカゝ否かを検証すると共に、その検証内容に関する情報を通信メッセージにおける次の検証に用いるために保持しておく検証処理と、検証処理によりパケットがルールを満たすとされた場合に当該パケットの中継を行うよう制御し、検証処理によりパケットがルールを満たさないとされた場合に当該パケットの中継を禁止するよう制御する中継制御処理と、を実行させることを特徴とする。また、検証処理による検証、及び検証内容に関する情報の保持は、その一例として、オートマトンを用いることにより行われることが好まし、。

発明の効果

[0012] 上述のように本発明によれば、パケットを受信する度にペイロードに関して不正の検証を行って当該パケットを送信するので、アプリケーション層プロトコルにおける不正な通信メッセージの検出において通信遅延の増大を防ぐことができる。また、不正の検証に用いるルールはアプリケーション層プロトコルの種類によらずに設定できるので、プロトコルの種類によらずに不正な通信メッセージの検出をすることができる。図面の簡単な説明

[0013] [図 1]図 1は、実施形態に係る中継装置の構成を示す図である。

[図 2]図 2は、パケットの送信及び受信の順番の例を示した図である。 [図 3]図 3は、実施形態において中継装置で実行される処理を示すフローチャートである。

[図 4]図 4は、オートマトンの表現の例を示す図である。

[図 5]図 5は、実施形態に係るパケットフィルタリングプログラムの構成を示す図である符号の説明

[0014] 10· · ·中継装置、 11…受信部、 12…送信部、 13· · ·順序判断部、 14· · ·パケット保持部、 15· · ·合併部、 16· · ·検証部、 17· · ·中継制御部、 20…送信元、 30…送信先、 40 …記録媒体、 40a…プログラム格納領域、 41 · · ·パケットフィルタリングプログラム、 41 a…順序判断モジュール、 41b…パケット保持モジュール、 41c…合併モジュール、 4 Id…検証モジュール、 41e…中継制御モジュール。

発明を実施するための最良の形態

[0015] 以下、図面を参照しつつ本発明の好適な実施形態について詳細に説明する。なお、図面の説明においては、同一又は相当部分には同一符号を付し、重複する説明を省略する。

[0016] 図 1に、本実施形態に係る中継装置 10の構成を示す。中継装置 10は、送信元 20 から送信されるパケットを送信先 30に送信することにより、パケットの中継を行う。中継装置 10は、具体的には CPU及びメモリ等力も構成されており、例えばルータゃブリッジ等の情報処理装置により実現されることが好ましい。送信元 20は、例えばデータを送信するサーバ装置、あるいは別の中継装置が相当する。送信先 30は、例えばデータの送信先であるクライアント装置が相当する。

[0017] ここでパケットとは、通信メッセージであるデータを、ネットワークを介して送受信するために小さく分割して送信先等のアドレス等の制御情報を付加したデータをさす。一連のパケットは、データの送信先により受信されると、再編成されて元のデータに戻される。パケットのサイズは、データリンク層におけるデータ送信可能なサイズによって決定される。

[0018] 本実施开態では、パケットの送信は TCP (Transmission Control Protocol)による例を主に用いる。パケットは、通信メッセージであるデータが分割された際に上述した制御情報を格納したヘッダが付加される。このヘッダには、パケットからデータを正しく再構成 (復元)するための順序の情報であるシーケンス番号等が格納されて、る。データの再構成は、シーケンス番号が若いもの力も順番にパケットのペイロードを連結させること〖こより行われる。なお、送信された一連のパケットは、データの送信先で必ずしもシーケンス番号の順番通りに受信されるとは限らない。これは、各パケットがネットワーク上の異なるルートを経由して中継される等の理由力もである。シーケンス番号は、ペイロードのサイズに基づいて次のように決定される。例えば、最初のパケットのシーケンス番号が 2001で、ペイロードのサイズが 1000バイトだとすると、次のパケットのシーケンス番号は 3001、その次のパケットのシーケンス番号は 4001となる。

[0019] パケットの分割と再構成の簡単な例を図 2に示す。図 2に示すように、データの送信側で送信するデータを、再構成するための "1"、 "2"、 "3"、 "4"という順番の情報を各パケットのヘッダに付加して分割し、その順番で送信したとする。データの受信側では、必ずしも" 1"、 "2"、 "3"、 "4"という順番でパケットを受信するとは限らず、図 2 に示すように "1"、 "3"、 "2"、 "4"という順番でパケットを受信する場合がある。そのような場合でも、パケットのヘッダに含まれる順番の情報を参照してデータを再構成することがでさる。

[0020] 引き続いて、中継装置 10の各機能について説明する。図 1に示すように、中継装置 10は、受信部 11と、送信部 12と、順序判断部 13 (順序判断手段)と、パケット保持部 14 (パケット保持手段)と、合併部 15 (合併手段)と、検証部 16 (検証手段)と、中継制御部 17 (中継制御手段）とを備える。なお、中継装置 10は、プロキシのように、送信先 30に送信される通信メッセージに係る全てのパケットを中継するものであるとする。

[0021] 受信部 11は、送信元 20から送信された中継すべきパケットを受信する部分である。送信部 12は、受信部 11により受信された中継すべきパケットを所定の送信先 30に送信する部分である。

[0022] 順序判断部 13は、受信部 11により受信されたパケットを参照して、そのパケットが受信すべき順序で受信されたものである力否かを判断する部分である。ここで、受信すべき順序としては、例えばデータを再構成する順番、即ちシーケンス番号が若い順番が用いられるのがよい。受信すべき順序で受信されたものである力否かの判断は、例えばパケットのヘッダの情報を参照して行われることが好ましい。判断結果に関する情報は、パケット保持部 14、合併部 15及び検証部 16にそれぞれ送信される

[0023] パケット保持部 14は、順序判断部 13により、受信されたパケットが受信すべき順序で受信されたものでなヽと判断された場合、この受信されたパケット (パケットのコピー )を保持しておく部分である。また、パケット保持部 14は、このパケットを所定の送信先 30に送信するように送信部 12を制御する。

[0024] 合併部 15は、パケット保持部 14により保持されているパケットが、当該保持された後に受信部 11により受信されたパケットと併せて検証されるべきものである力否かを判断し、当該判断に基づいて受信されたパケットのペイロードと保持されているパケットのペイロードとを合併する部分である。ここでの検証は、検証部 16による検証である。具体的な判断方法等は後述する。

[0025] 検証部 16は、順序判断部 13により、受信されたパケットが受信すべき順序で受信されたものであると判断された場合、パケットのペイロードが予め定められたルールを満たすものである力否かを検証する部分である。ここで、検証対象となるパケットのぺィロードは、受信されたパケットのペイロードが合併部 15によりパケット保持部 14に保持されたパケットのペイロードと合併されたものである場合は、合併されたペイロードであるものとする。また、検証部 16は、同一の通信メッセージにおける次の検証に用いるために、当該検証内容に関する情報を保持しておく。同一の通信メッセージにおける次のパケットの検証において、保持された検証内容に関する情報を用いることによりメッセージストリームを検証することと同様の効果を得ることができる。不正な通信メッセージの検出は、受信したパケットのみをルールで検証するのみでは不十分で、パケットから構成されるメッセージストリームを検証することにより可能となるからである。なお、同一の通信メッセージにおいて、受信したパケット (パケットのコピー）を全て保持しておき、これらを用いて受信したパケットまでを、その都度再構成して、そのデータに対して検証を行うことも可能である。

[0026] 検証部 16による検証は、具体的には、検証対象となるペイロードを文字列のデータとして扱ヽ、この文字列データが予め定められたルールを満たすカゝ否かを判断することにより行うのがよい。ここで、予め定められたルールとしては、アプリケーション層プロトコルに定められた通信規約に違反した通信メッセージを検出するものを用いるのが好ましい。そのようなルールは、例えば当該文字列データが所定のパターンに当てはまる、あるいは当てはまらないというものがある。また、それ以外にも、文字列以外の制御コードが含まれないなどがある。これは、不正な通信メッセージには、制御コードが含まれるものが多ぐそれを検出するためのものである。また、このルールに特定のプロトコルに対応したものを含ませることとすると、そのプロトコルにおける不正な通信メッセージの検出をより精度よく行うことが可能となる。

[0027] 中継制御部 17は、検証部 16によりパケットがルールを満たすとされた場合に当該パケットの送信を行うよう送信部 12を制御し、検証部 16によりパケットがルールを満たさないとされた場合に当該パケットの送信を禁止するよう送信部 12を制御する部分である。

[0028] 以下、図 3のフローチャートを用いて、本実施形態における中継装置 10により実行される処理を説明する。本処理は、送信元 20から送信先 30に送信される、通信メッセージに係るパケットが中継装置 10により中継されるときに行われる。 TCPでは、送信元 20と中継装置 10との間にコネクションが確立された後、パケットの送信がなされる。

[0029] パケットが送信されると、中継装置 10では、受信部 11が到着したパケットを受信する（S01)。受信部 11は、受信したパケットがどのコネクションによるものかを、パケットのヘッダ情報に含まれる、送信元 20及び送信先 30の IP (Internet Protocol)アドレス、送信元 20及び送信先 30のポート番号、並びにアプリケーション層プロトコルを特定する情報等を参照することにより特定し、保持しておく。また、受信部 11は、パケットのヘッダ情報を参照することによりパケットがどの通信メッセージのものか特定する。また、受信部 11は、これらの情報や中継装置 10が保持するルーティングテーブルに基づ、て送信先 30 (中継先)を特定する。

[0030] 続いて、順序判断部 13が、受信されたパケットが受信すべき順序で受信されたものであるか否かを判断する（S02)。当該判断は、受信されたパケットを読出し、ノケットのヘッダに含まれるシーケンス番号を参照することにより行う。

[0031] 例えば、図 2における" 1"のパケットにように、受信すべき順序で受信されているものであると判断された場合、続いて合併部 15が、受信したパケットと合併すべきパケットがパケット保持部 14により保持されているパケットの中に有るか否かの判断を行う (S03)。 "1"のパケットの場合は、同一の通信メッセージにおける最初に受信したパケットなので、合併すべきパケットは存在しない。なお、図 2においてはパケットからデータを再構成することとしている力中継装置 10においては、通常、データは再構成しない。

[0032] 続いて、検証部 16が受信したパケットのペイロードがルールを満たすものであるか否かを検証する（S05)。ここで、パケットがルールを満たすもの、即ち不正な通信メッセージに係るものでないと判断された場合は、中継制御部 17が、このパケットを送信先 30に送信するよう送信部 12に対して制御を行う。制御を受けた送信部 12は、パケットの送信を行う（S06)。なお、ここでの不正な通信メッセージに係るものでないとの判断は、受信されたパケットまでの情報力もの判断である。即ち、この判断以降に受信されるパケットの情報から、不正な通信メッセージに係るものであるとされる場合がある。また、パケットがルールを満たすものであると判断された場合、検証部 16は、検証内容に関する情報を保持しておく。この時点でその通信メッセージにおける全てのパケットを送信した場合、処理は終了となる（S08)。

[0033] 検証部 16による検証により、パケットがルールを満たさないもの、即ち不正な通信メッセージに係るものであるとされた場合は、中継制御部 17が、このパケットを送信先 3 0に送信するのを禁止するよう送信部 12に対して制御を行う。制御を受けた送信部 1 2は、パケットの送信を禁止する（S07)。パケットの送信が禁止されると、それ以降受信したパケットについても、全て送信を禁止し、処理は終了となる。なお、一連のパケットの検証処理において、途中のパケットでパケットがルールを満たさないものと判断された場合は、それ以前のパケットは送信先 30に既に送信されてしまっているが、送信先 30では、通常、パケットが全て到着するまでデータをアプリケーション層に上げな!、ので、不正な通信メッセージによる攻撃等を防ぐことができる。

[0034] S08において、全てのパケットを送信していない場合は、引き続いて受信部 11がパケットの受信を行う（SOI)。続いて、順序判断部 13が、受信されたパケットが受信すべき順序で受信されたものである力否かを判断する（S02)。ここで、例えば図 2における" 3"のパケットにように、受信すべき順序で受信されたものでない（"3"のパケットより前に受信すべき" 2"のパケットより前に受信している）と判断された場合は、バケツト保持部 14がそのパケットのコピーを保持する（S09)。続いて、パケット保持部 14は、そのパケットを送信先 30に送信するよう送信部 12に対して制御を行う。制御を受けた送信部 12は、パケットの送信を行う（S10)。この処理により、受信すべき順序より早い順序で受信されたパケットが、パケット保持部 14により保持されたこととなる。

[0035] 引き続いて、受信部 11がパケットの受信を行い（S01)、順序判断部 13が受信されたパケットが受信すべき順序で受信されたものである力否かを判断する（S02)。ここで、例えば図 2における" 2"のパケットにように、 "1"のパケットまでが検証されており、受信すべき順序で受信されて、るものであると判断された場合、続、て合併部 15が、受信したパケットと合併すべきパケットがパケット保持部 14により保持されているパケットの中に有るか否かの判断を行う（S03)。その判断のために、順序判断部 13は、パケット保持部 14により保持されるパケットを読出し、パケットのヘッダのシーケンス番号を参照する。この判断は、保持されたパケットが受信されたパケットと併せて検証すべきものであるか否かを、受信すべき順序に基づいて判断することにより行う。例えば、受信されたパケットの後に続く順番のパケットが、保持されたパケットの中にある場合、その保持されたパケットは受信されたパケットと併せて検証すべきものであると判断され、それらは合併されるものと判断される。例えば、図 2の例で" 3"のパケットが保持されており、 "2"のパケットが受信された場合、 "3"のパケットは" 2"のパケットに続くものであるので、保持された" 3"のパケットは受信された" 2"のパケットと合併されるものと判断される。

[0036] 続いて、合併部 15は、それらのパケットのペイロード同士を、検証部 16により検証が可能となるように合併させる（S04)。続いて、検証部 16は、合併されたペイロードがルールを満たすものであるか否かを検証する（S05)。ここでの検証は、同じ通信メッセージに係るパケットの検証が、この検証の前に行われている場合は、検証部 16 に保持されている検証内容に関する情報を用いる。図 2における例では、 "2"及び" 3 "のパケットのペイロードに関して検証を行う場合、その前に行われた" 1"の検証内容を参照することにより行う。

[0037] ここで、パケットがルールを満たすもの、即ち不正な通信メッセージに係るものでないと判断された場合は、中継制御部 17が、このパケットを送信先 30に送信するよう送信部 12に対して制御を行う。制御を受けた送信部 12は、パケットの送信を行う（S06 )。パケット保持部 14により保持されているパケットは既に送信がなされているので、ここで送信されるパケットには保持されているパケットを含まないこととするのが好ましい。この時点でその通信メッセージにおける全てのパケットを送信した場合、処理は終了となる（S08)。ルールを満たさないものと判断された場合は、上述の処理と同様である。

[0038] 本実施形態に係る中継装置 10によれば、パケットを受信する度にペイロードに関して不正の検証を行って当該パケットを送信するので、アプリケーション層プロトコルにおける不正な通信メッセージの検出において通信遅延の増大を防ぐことができる。また、不正の検証に用いるルールはアプリケーション層プロトコルの種類によらずに設定できるので、プロトコルの種類によらずに不正な通信メッセージの検出をすることができる。

[0039] なお、検証部 16による検証、及び検証内容に関する情報の保持は、オートマトンを用いることにより行われることとするのが好ましい。オートマトンによる検証は、ノケットのペイロードの内容に基づいた状態遷移により行うことができる。また、検証内容の保持はオートマトンでの状態を検証内容に対応するものとしておき、その状態を検証部 16により検証を行うごとに保持しておくことにより行うことができる。

[0040] オートマトンによる表現としては、例えば図 4に示すようなものがある。例えば、まず図 4の例（a)に示すように正規表現を用いて英字からなるメッセージを" echojnessage "として定義しておく。また、図 4の例 (b)に示すように初期状態 (INITIAL)として、 "re ceive"という状態を定義する。状態" receive"は、ペイロードの内容力 S "echojnessage" に合致する場合、状態" reply"に遷移することを括弧内で定義している。図 4の例（c) に示すように状態 "reply"は、受信したパケットを送信する状態である。即ち、図 4の例 (a)〜（c)で示されるオートマトンは、このように、パケットのペイロードが英字からなる文字列であることを判定することができる。また、図 4の例（d)に示すように、メッセ一ジ長のサイズを判断することもできる。

[0041] このようにオートマトンを用いることにより、検証、及び検証内容の保持を行うための上記のルールを宣言的に記述することができ、ルールの作成、検証及び保守が容易となる。またアプリケーション層プロトコルにおける通信メッセージのやりとりを厳密に記述することができる。

[0042] また、分割されたパケットが更に分割されるフラグメンテーションが起きた場合は、フラグメントされたデータに含まれるフラグ等を参照して、パケットの順番を判断し、上述の処理を行うことができる。

[0043] 上述した一連の処理 (パケットフィルタリング方法)を中継装置 10に実行させるためのパケットフィルタリングプログラムについて説明する。図 5に示すように、パケットフィルタリングプログラム 41は、中継装置 10に備えられる記録媒体 40に形成されたプログラム格納領域 40a内に格納される。

[0044] パケットフィルタリングプログラム 41は、順序判断モジュール 41aと、パケット保持モジュール 41bと、合併モジュール 41cと、検証モジュール 41dと、中継制御モジユール 4 leとを備えて構成される。順序判断モジュール 41aを実行させて実現する機能は、中継装置 10が備える順序判断部 13の機能と同様である。同様に、パケット保持モジュール 41bはパケット保持部 14の機能に、合併モジュール 41cは合併部 15の機能に、検証モジュール 41dは検証部 16の機能に、中継制御モジュール 41eは中継制御部 17の機能にそれぞれ対応してヽる。

[0045] パケットフィルタリングプログラム 41は、その一部若しくは全部が、通信回線等の伝送媒体を介して伝送され、他の機器により受信されて記録 (インストールを含む)される構成としてもよい。また、上記のプログラムは、コンピュータ読取可能な記録媒体に記録して頒布することが可能である。このような記録媒体には、例えばノヽードディスク及びフレキシブルディスク等の磁気媒体、 CD— ROM及び DVD— ROM等の光学媒体、フロプティカルディスク等の磁気光学媒体、あるいは、プログラム命令を実行又は格納するように特別に配置された、例えば RAM、 ROM,及び半導体不揮発性メモリなどのハードウェアデバイスなどが含まれる。また、このような記録媒体カもプログラム等を読み取る記録媒体読取用のドライブ (例えばフレキシブルディスクドライブ等

)を中継装置 10に対して接続してお!、てもよ!/、。

産業上の利用可能性

本発明は、通信遅延の増大を防ぎ、プロトコルの種類によらずにアプリケーション層プロトコルにおける不正な通信メッセージの検出をすることができる中継装置、バケツトフィルタリング方法及びパケットフィルタリングプログラムとして利用可能である。

Claims

請求の範囲

[1] 通信メッセージをパケット毎に中継する中継装置であって、

受信されたパケットが受信すべき順序で受信されたものである力否かを判断する順序判断手段と、

前記順序判断手段により前記パケットが前記受信すべき順序で受信されたものでないと判断された場合、当該パケットを保持しておくと共に、当該パケットの中継を行うよう制御するパケット保持手段と、

前記パケット保持手段により保持されたパケットが、保持された後に受信されたパケットと併せて検証すべきものである力否かを、前記受信すべき順序に基づ、て判断して、その判断に基づき当該受信されたパケットのペイロードと当該保持されたパケットのペイロードとを合併する合併手段と、

前記順序判断手段により前記受信すべき順序でパケットが受信されたと判断された場合に、当該パケットのペイロード、又は前記合併手段により合併された当該パケットのペイロードが予め定められたルールを満たすものであるか否かを検証すると共に、その検証内容に関する情報を前記通信メッセージにおける次の検証に用いるために保持しておく検証手段と、

前記検証手段により前記パケットが前記ルールを満たすとされた場合に当該バケツトの中継を行うよう制御し、前記検証手段により前記パケットが前記ルールを満たさないとされた場合に当該パケットの中継を禁止するよう制御する中継制御手段と、を備える中継装置。

[2] 前記検証手段による検証、及び検証内容に関する情報の保持は、オートマトンを用 V、ることにより行われることを特徴とする請求項 1に記載の中継装置。

[3] 通信メッセージをパケット毎に中継する中継装置におけるパケットフィルタリング方法であって、

受信されたパケットが受信すべき順序で受信されたものである力否かを判断する順序判断ステップと、

前記順序判断ステップにおいて前記パケットが前記受信すべき順序で受信されたものでないと判断された場合、当該パケットを保持しておくと共に、当該パケットの中継を行うよう制御するパケット保持ステップと、

前記パケット保持ステップにおいて保持されたパケットが、保持された後に受信されたパケットと併せて検証すべきものである力否かを、前記受信すべき順序に基づ、て判断して、その判断に基づき当該受信されたパケットのペイロードと当該保持されたパケットのペイロードとを合併する合併ステップと、

前記順序判断ステップにおいて前記受信すべき順序でパケットが受信されたと判断された場合に、当該パケットのペイロード、又は前記合併ステップにおいて合併された当該パケットのペイロードが予め定められたルールを満たすものであるか否かを検証すると共に、その検証内容に関する情報を前記通信メッセージにおける次の検証に用いるために保持しておく検証ステップと、

前記検証ステップにおいて前記パケットが前記ルールを満たすとされた場合に当該パケットの中継を行うよう制御し、前記検証ステップにおいて前記パケットが前記ルールを満たさな、とされた場合に当該パケットの中継を禁止するよう制御する中継制御ステップと、

を備えるパケットフィルタリング方法。

[4] 前記検証ステップにおける検証、及び検証内容に関する情報の保持は、オートマトンを用いることにより行われることを特徴とする請求項 3に記載のパケットフィルタリング方法。

[5] 通信メッセージをパケット毎に中継する中継装置に、

受信されたパケットが受信すべき順序で受信されたものである力否かを判断する順序判断処理と、

前記順序判断処理により前記パケットが前記受信すべき順序で受信されたものでないと判断された場合、当該パケットを保持しておくと共に、当該パケットの中継を行うよう制御するパケット保持処理と、

前記パケット保持処理により保持されたパケットが、保持された後に受信されたパケットと併せて検証すべきものである力否かを、前記受信すべき順序に基づ、て判断して、その判断に基づき当該受信されたパケットのペイロードと当該保持されたパケットのペイロードとを合併する合併処理と、前記順序判断処理により前記受信すべき順序でパケットが受信されたと判断された場合に、当該パケットのペイロード、又は前記合併処理により合併された当該パケットのペイロードが予め定められたルールを満たすものであるか否かを検証すると共に、その検証内容に関する情報を前記通信メッセージにおける次の検証に用いるために保持しておく検証処理と、

前記検証処理により前記パケットが前記ルールを満たすとされた場合に当該バケツトの中継を行うよう制御し、前記検証処理により前記パケットが前記ルールを満たさな Vヽとされた場合に当該パケットの中継を禁止するよう制御する中継制御処理と、前記検証処理による検証、及び検証内容に関する情報の保持は、オートマトンを用いることにより行われることを特徴とする請求項 5に記載のパケットフィルタリングプログラム。