WO2006090781A1

WO2006090781A1 - フィルタリングルール分析方法及びシステム

Info

Publication number: WO2006090781A1
Application number: PCT/JP2006/303277
Authority: WO
Inventors: Katsushi Matsuda
Original assignee: Nec Corporation
Priority date: 2005-02-24
Filing date: 2006-02-23
Publication date: 2006-08-31
Also published as: JPWO2006090781A1; US7792775B2; US20080215518A1; JP4662080B2

Abstract

　ネットワーク機器に設定されたパケットフィルタリング処理のルールを分析するフィルタリングルール分析システムは、優先順位が設定されたルールの集合を記憶するルール記憶部と、各ルールの適用条件としてそのルール内に記述されるパケットの属性の範囲の開始点及び終了点によって特定される極小領域とそのルールとの対応関係を示し優先順位の情報を含むマトリックス空間データを生成するマトリックス化部と、マトリックス空間データを参照してルールの重なりを分析する重なり分析部と、を備える。

Description

明細書

フィルタリングルール分析方法及びシステム

技術分野

[0001] 本発明は、パケットフィルタリングのルールを分析するフィルタリングルール分析方法及びシステムに関する。

背景技術

[0002] 企業ゃ糸且織において、その運用するネットワークのセキュリティに対する関心が高まつてきている。

[0003] 自社のネットワークを防御する方法の一つとして、ファイアウォールを用いる方法がある。ファイアウォールは、外部ネットワークと、内部ネットワークすなわち防御すべきネットワークとを接続するゲートウェイまたはルータに搭載されるネットワーク機器またはソフトウェアである。ファイアウォールは、ネットワークを流れるパケットを検査し、そのパケットを通過させたり、遮断したりすることによって、不正なアクセス等から内部ネットワークを防御する。ファイアウォールで行われる処理を、一般に、パケットフィルタリングという。ファイアウォールは、パケット属性 (例えば、送信元アドレスやポート、送信先アドレスやポート、プロトコルの種類等）を条件にしたルールの集合に基づいて、パケットの検査を行う。ファイアウォールは、例えば、「自社ネットワークの公開サーバのアドレスの特定のポートに向力う特定のプロトコルを持つパケットの通過は許可する」等のルールの集合に基づいて、パケットの通過を許可するか否かの検査を行う。ルールの集合は、ポリシーと呼ばれる。現在では、一般的なファイアウォールにおけるポリシーのルール数は数十力数百に及び、し力も各ルールの条件は複雑であるため、セキュリティの専門家ですらポリシー全体としてどうなつているのかを理解することは難しくなつてきて、る。したがってファイアウォールにおけるポリシーを最適な形で維持、管理することは、ネットワークセキュリティを維持する上で大きな課題である。

[0004] 現在、ファイアウォールのポリシーがどうなつているのかの把握は、ポリシーを一覧表示する GUI (Graphical User Interface)を実現するソフトウェアを使用して、専門家が人手で行なって、る。ポリシーのルールが最適な集合になって、るのかを判断したり、ポリシーのルールが最適な集合になってヽな、場合にそれを最適なルール集合に整形したりする等のポリシー管理についても、人手でおこなつているのが実情である。

[0005] 特開 2000— 174808号公報には、ポリシーのルール間の順序を変えることでファィァウォールのパケットフィルタリング処理効率を上げる技術が記載されて、る。特開 2000— 174808号公報に記載のデータパケットフィルタの動作方法は、パケットフィルタリングのルールにお、て、着信パケットに頻繁にマッチするルールほどルール順序の前方に移動することによって、パケットフィルタリングの処理効率を上げるものである。この方法では、あるルールと別のルールをペアとし、そのペアでルールが衝突するかどうかをチェックする。衝突とは、あるルールと別のルールを互いに入れ替えることによってルール全体の意味が変わることである。具体的には、アクションが異なり、かつ、プロトコル、ソースアドレス、ソースポート、デスティネーションアドレス、デステイネーシヨンポートのいずれかに交わり、すなわちフィールドの交わりがあること力ルールの衝突である。この方法では、全てのペアについて衝突か衝突でないかをチヱックし、衝突データを示す衝突テーブル生成する。ルールが受信パケットにマッチした回数をマッチカウントと呼ぶことにして、最後に、各ルールのマッチカウントに基づいて、マッチカウントの高いルールを前方に移動する。このとき、ルールの順序を入れ替えてもポリシー全体としては変化しな、、すなわちルール同士が衝突しなヽとヽう制約の元で、ルールの順序を入れ替える。このアルゴリズムには、バブルソート等のソーティングアルゴリズムが用いられる。

[0006] 特開 2003— 333084号公報には、ファイアウォールのポリシーにルールを追加する際に、どこに新しいルールを追加挿入するかを決定する方法が記載されている。この方法では、新しいルールと既存のルールを順に比較し、新しいルールを一部または全て含むようなルールが既存ルールにあった場合、その既存ルールの直前にその新しいルールを挿入する。ルールの包含関係をチェックするアルゴリズムは、以下のようになものである。まず、新しいルールを選択する。そして、既存のルールを順に一つずつ選択する。選択したルール同士で、インタフェースの照合、プロトコルの照合、チェインの照合、アドレスの照合、ポートの照合を行い、いずれかで不一致があった場合は、次の既存のルールを選択し、同様の照合を行う。一致している場合には、ァクシヨンの照合を行い、アクションが一致した場合には、選択した既存のルールの直前に挿入する。アクションが一致しない場合には、挿入するカゝ否かの判断をユーザに促す。

[0007] 特開 2003— 333084号公報に記載された方法では、特開 2000— 174808号公報に記載されているルールのペアのフィールドの交わりを判定するステップとほぼ同様の技術を用いている。この特開 2003— 333084号公報には、ルールに有効時刻という情報を加え、ある一定時間ごとにルール集合を走査し、有効時刻が現時刻と一致または超えて、る場合はそのルールを削除することも記載されて、る。この技術により、古、ルールを適宜消去できるようになって!/、る。

[0008] 岡城純孝、松田勝志、小川隆ー、「セキュリティ運用管理のためのポリシー言語 SC CML」、情報処理学会研究報告、 Vol. 2004, No. 129, pp. 89— 94には、様々なセキュリティ機器の設定情報を統一的に表現可能なポリシー言語である SC CML (security Connguration coordinator Markup Language)【こつヽ飞記載されている。

特許文献 1：特開 2000— 174808号公報

特許文献 2：特開 2003 - 333084号公報

非特許文献 1 :岡城純孝、松田勝志、小川隆ー、「セキュリティ運用管理のためのポリシー言語 SCCML」、情報処理学会研究報告、 Vol. 2004, No. 129, pp. 89 - 94

発明の開示

発明が解決しょうとする課題

[0009] 特開 2000— 174808号公報に記載の方法は、ルールの入れ替えを行い、フィルタリング処理の高速化を実現している。し力しながらこの方法は、ポリシーとして結局どうなって!/、るのかを知りたヽと!、う管理者の要求や、ポリシーが最適な形になって、る力どうかを知りた、と、う管理者の要求や、ポリシーを最適な形にした、と、う管理者の要求には応えることができず、その上、アルゴリズム的にルールの入れ替えができな！、ルール集合の場合、すなわち任意の 2つのルール間で衝突が起こるようなルール集合の場合、フィルタリング処理の高速ィ匕を行うこともできな、。

[0010] 特開 2003— 333084号公報に記載の方法は、新たに追加するルールをどこに揷入するかの決定を行って、るだけなので、ポリシーとして結局どうなつて、るのかを知りた！/ヽと、う管理者の要求や、ポリシーが最適な形になって、るかどうかを知りた!/、と V、う管理者の要求や、ポリシーを最適な形にした、と、う管理者の要求には応えられない。またこの方法では、有効時刻が設定されているルール集合で、現時刻以前の有効時刻を持つルールを削除しては、るが、有効時刻の設定がな、一般的なバケツトフィルタリングにおいては不要になったルールを削除してルールを最適な形にした V、と、う管理者の要求には応えられな、。

[0011] パケットフィルタリングのルールを検証する際には、パケットフィルタリング処理を行うネットワーク機器が複数存在する場合に、各機器におけるパケットフィルタリング処理の同一性を判断できることが好ましい。

[0012] 本発明の目的は、ファイアウォールのフィルタリングルールの管理を支援し、ルール間の関係の把握や、どのようなパケットが通過を許可されどのようなパケットが遮断されるのかと、うルール全体すなわちポリシーの把握を容易にすることができる、フィルタリングルール分析方法及びシステムを提供することにある。

[0013] 本発明の別の目的は、複雑になったルールの集合においてそのルールの集合を最適化することができるフィルタリングルール分析方法及びシステムを提供することにある。

[0014] 本発明の別の目的は、パケットフィルタリング処理を高速に行うことができるフィルタリングルール分析方法及びシステムを提供することにある。

[0015] 本発明のさらに別の目的は、複数の機器におけるパケットフィルタリング処理の同一性を判断できるフィルタリングルール分析方法及びシステムを提供することにある。課題を解決するための手段

[0016] 本発明によれば、フィルタリングルール分析方法は、パケットフィルタリング処理に用いられるルールであって、優先順位が設定されたルールの集合を記憶する段階と、各ルールの適用条件としてそのルール内に記述されるパケットの属性の範囲の開始点及び終了点によって特定される極小領域とそのルールとの対応関係を示す空間データであって、優先順位の情報を含む空間データを生成する空間データ生成段階と、を有する。

[0017] 本発明のフィルタリングルール分析方法においては、統合可能なルールの組み合わせを特定する統合可能ルール特定段階と、記憶されたルール集合に属するルールであって、可能統合ルール特定段階にお!、て特定された組み合わせをなすルール同士を統合するルール統合段階と、を備えていてもよい。そのように構成することで、ルール同士を統合することができ、ルール同士を統合することにより、ルールの数を減少させることができ、管理者にルールを理解させやすくすることができる。

[0018] 空間データ生成段階には、生成した空間データのうち、デフォルトルールのみに対応付けられた極小領域のデータを削除する段階を設けるようにしてもよ！ヽ。そのように構成することにより、極小領域のデータを少なくすることができ、各ルール間の関係を把握しやすくすることができる。また、極小領域の数を減少させることができるので、メモリ消費を低減することができる。

[0019] 本発明によれば、フィルタリングルール分析システムは、パケットフィルタリング処理に用いられるルールであって、優先順位が設定されたルールの集合を記憶するルール記憶手段と、各ルールの適用条件としてそのルール内に記述されるパケットの属性の範囲の開始点及び終了点によって特定される極小領域とそのルールとの対応関係を示す空間データであって、優先順位の情報を含む空間データを生成する空間データ生成手段と、を備える。

[0020] 本発明のフィルタリングルール分析システムは、さらに、空間データ生成手段によつて生成された空間データを用いて、各ルールの適用条件として記述された属性の範囲の重なりを分析する重なり分析手段を備えていてもよい。この構成では、重なり分析手段が、各ルールの適用条件として記述された属性の範囲の重なりを分析するので、フィルタリングルールの管理において、ルール間の関係を把握することができるようになる。このような重なり分析手段は、一のルールに記述された属性の範囲力その一のルールよりも優先順位が高い他のルールに記述された属性の範囲に含まれる状態または一部重複する状態を検出する構成であってもよい。そのような構成により、より優先順位の高いルールによって隠されることになるルールが検出されるので、ルール間の関係を把握することができる。

[0021] 本発明のフィルタリングルール分析システムは、パケットの属性を入力するパケット属性入力手段と、空間データ生成手段によって生成された空間データを用いて、パケットの属性がどの極小領域に該当するかを判定し、パケットの属性が該当する極小領域に対応するルールに応じた動作を確認することによって、入力された属性を有するパケットがパケットフィルタリング処理で通過を許可されるか否かを判定する通過テスト手段と、を備えた構成であってもよい。このような構成によれば、どのようなパケットが通過を許可され、どのようなパケットが遮断されるのかと!/、うルール全体の把握を容易に行うことができる。

[0022] 本発明のシステムでは、ルール記憶手段は、ルールの集合を複数組記憶し、空間データ生成手段力各ルールの適用条件としてルール内に記述されるパケットの属性の範囲の開始点及び終了点を、複数組のルールの集合に含まれる全てのルール力抽出し、その開始点及び終了点を用いて、ルールの集合ごとに空間データを生成し、複数の空間データ同士の間で対応する極小領域におけるルールの動作が一致する力否かを判定することによって、各ルールの集合に基づくパケットフィルタリング処理が同一の処理になる力否かを判定する同一性分析手段を備えた構成であつてもよい。このような構成によれば、複数の機器におけるパケットフィルタリング処理の同一性を判断できる。同一性分析手段は、複数の空間データ同士の間で対応する極小領域におけるルールの動作が一致しな、と判定した場合に、極小領域の範囲を出力する構成であってもよヽ。

[0023] 本発明のシステムでは、空間データ生成手段によって生成された空間データを参照して、削除したとしてもパケットフィルタリング処理に影響を及ぼさな、ルールを特定し、ルールを削除するルール削除手段を備えた構成としてもよい。このような構成では、ルール削除手段が不要なルールを削除するので、ルールの集合を最適化することができる。空間データ生成手段によって生成された空間データを参照して、各ルールの適用条件としてルール内に記述される属性の範囲によって特定される領域のうち、存在しなヽとしてもパケットフィルタリング処理に影響を及ぼさなヽ領域を排除するようにルールを修正するルール修正手段を備えた構成としてもょヽ。このような構成によれば、ルール修正手段によるルールの修正によって、ルールの集合を最適化することができる。ルール修正手段は、一のルールの適用条件として記述された属性の範囲のうち、より優先度が高い他のルールの適用条件として記述された属性の範囲と重なる領域を特定し、その領域における一の属性以外の全属性の範囲が、一のルールの適用条件として元々記述されていた属性の範囲と一致する場合に、一のルールにおける一の属性の範囲を狭めるように修正する構成であってもよい。あるいはルール修正手段は、適用条件として記述された属性の範囲の一部が、より優先度が高、他のルールの適用条件として記述された属性の範囲と重なるルールを、極小領域ごとに分割し、分割して得られた複数のルールのうち、より優先度が高い他のルールの適用条件として記述された属性の範囲と重なるルールを削除する構成であってちょい。

[0024] 本発明のシステムは、実際にパケットフィルタリング処理対象となった複数のバケツトの属性を参照して、各極小領域ごとに、極小領域に属性が含まれるパケットの数をカウントする頻度分析手段と、カウントされたパケット数が多、順に極小領域をソートし、極小領域の一部または全部と、その極小領域に対応するルールとに基づいて新たなルールを作成するルール作成手段とを備えた構成であってもよ!/、。このような構成によれば、ルール作成手段は、カウントされたパケット数が多い順に極小領域をソートし、その極小領域の一部または全部と、その極小領域に対応するルールとに基づいて新たなルールを作成する。したがって、実際にパケットフィルタリング処理対象となったパケットに即したルールが新たに作成されるので、パケットフィルタリング処理を高速ィ匕することができる。

[0025] ルール作成手段は、ソートした極小領域のうち、カウントされたパケット数が多い順に所定数の極小領域を選択し、その極小領域と、その極小領域に対応するルールとに基づ!/、て新たなルールを作成して、元々存在して!/、たルールの集合に追カ卩してもよい。あるいはルール作成手段は、新たに作成したルールを追加したルールの集合のうち、削除したとしてもパケットフィルタリング処理に影響を及ぼさな、ルールを特定し、そのようなルールを削除する構成であってもよい。このような構成によれば、ルールの集合を最適化することができる。さらにルール作成手段は、ソートした極小領域を全て順番に選択し、選択した極小領域と、その極小領域に対応するルールと〖こ基づいて、新たなルールを作成し、作成したルールのみによって新たなルールの集合を作成する構成であってもよい。さらにはルールイ匕手段を設け、ルール化手段が、隣接する極小領域であって、頻度分析手段によってカウントされたパケットの数の差が所定範囲内である極小領域同士を結合して、 1つの極小領域とし、極小領域の結合後に新たなルールを作成するようにしてもょ、。

[0026] 本発明のフィルタリングルール分析システムは、統合可能なルールの組み合わせを特定する統合可能ルール特定手段と、ルール記憶手段に記憶されたルール集合に属するルールであって、統合可能ルール特定手段によって特定された組み合わせをなすルール同士を統合するルール統合手段とを備えた構成であってもよ!/ヽ。このような構成によれば、ルール同士を統合することができる。ルール同士を統合することにより、ルールの数を減少させることができ、管理者にルールを理解させやすくすることができる。統合可能ルール特定手段は、動作が共通しデフォルトルールでない 2つのルールのうちの一方のルールに対応する極小領域の数と他方のルールに対応する極小領域の数との和力 2つのルールによって定まる領域に対応する極小領域の数と一致するときに、 2つのルールの組み合わせを統合可能なルールの組み合わせの候補とし、候補とした組み合わせをなす 2つのルールによって定まる領域に対応する極小領域のうち、 2つのルールによって定まる領域の頂点を含む各極小領域力 2

、ずれかに対応する場合に、 2つのルールの組み合わせを統合可能なルールの組み合わせとする構成であってもよ、。あるいは統合可能ルール特定手段力統合可能なルールの組み合わせを特定し、ルール統合手段が、特定された組み合わせをなすルール同士を統合することを、統合可能ルール特定手段が統合可能なルールの組み合わせを特定できなくなるまで繰り返す構成であってもよい。

[0027] 本発明にお、て空間データ生成手段は、生成した空間データのうち、デフオルトルールのみに対応付けられた極小領域のデータを削除する構成であってもよ、。このような構成によれば、極小領域のデータを少なくすることができ、各ルール間の関係を把握しやすくすることができる。その上、極小領域の数を減少させることができるので、メモリ消費を低減することができる。あるいは空間データ生成手段は、各ルールの適用条件としてルール内に記述されるパケットの属性の範囲の開始点の値力所定値を減算した値と、属性の範囲の終了点の値に所定値を加算した値とを用いて、各ルールの適用条件としてルール内に記述されるパケットの属性の範囲の開始点及び終了点によって特定される極小領域を定める構成であってもよい。

[0028] 本発明によれば、ファイアウォールのフィルタリングルールの管理にお!、て、ルール間の関係の把握や、どのようなパケットが通過を許可され、どのようなパケットが遮断されるのかというルール全体の把握を容易に行うことができる。本発明によれば、複雑になったルールの集合にぉ、てルールの集合を最適化することができ、パケットフィルタリング処理を高速ィ匕することができ、複数の機器におけるパケットフィルタリング処理の同一性を判断することができる。図面の簡単な説明

[0029] [図 1]本発明の第 1の実施形態のフィルタリングルール分析システムの構成を示すブロック図である。

[図 2]マトリックス化部によるマトリックス空間データ作成処理の例を示すフローチヤ一トである。

[図 3]重なり分析部による処理の例を示すフローチャートである。

[図 4]重なり分析部による処理の例を示すフローチャートである。

[図 5]ルール集合の例を示す図である。

[図 6]ルール集合を 2次元平面で表わした模式図である。

[図 7]マトリックスデータを 2次元平面で表わした模式図である。

[図 8]マトリックスのデータの記述形式の例を示す図である。

[図 9]ルールデータの例を示す図である。

[図 10]マトリックスデータの例を示す図である。

[図 11]重なり分析部による分析結果の例を示す図である。

[図 12]各ルールデータを 2次元平面で表わした模式図である。

[図 13]重なり分析部による分析結果の例を示す図である。

[図 14]本発明の第 2の実施形態のフィルタリングルール分析システムの構成を示すブロック図である。 [図 15]通過テスト部によるテスト処理の例を示すフローチャートである。

[図 16]ルール集合力導出されたマトリックスデータを 2次元平面で表わした模式図である。

[図 17]テストパケットの周辺の 2次元空間を示す模式図である。

[図 18]通過テスト部によるテスト処理結果の例を示す図である。

[図 19]本発明の第 3の実施形態のフィルタリングルール分析システムの構成を示すブロック図である。

[図 20]通過テスト部における処理の例を示すフローチャートである。

[図 21]ネットワーク構成の例を示す図である。

[図 22]ルール集合の例を示す図である。

[図 23]ルールのリストが追記されたマトリックスデータの例を示す図である。

[図 24]通過テスト部によるテスト処理結果の例を示す図である。

[図 25A]ルール集合及びテストパケットを示す図である。

[図 25B]ルール集合及びテストパケットを示す図である。

[図 26]本発明の第 4の実施形態のフィルタリングルール分析システムを示すブロック図である。

[図 27]マトリックス化部によるマトリックス空間データ作成処理の例を示すフローチヤートである。

[図 28]同一性分析部による処理の例を示すフローチャートである。

[図 29]ネットワーク構成の例を示す図である。

[図 30]ルール集合の例を示す図である。

圆 31]同一性分析部による分析結果の例を示す図である。

[図 32]ルール集合の例を示す図である。

圆 33]同一性分析部による分析結果の例を示す図である。

[図 34]本発明の第 5の実施形態のフィルタリングルール分析システムを示すブロック図である。

[図 35]ルール削除部によるルール削除やルール修正の処理経過の例を示すフローチャートである。 [図 36]ルール削除部によるルール削除やルール修正の処理経過の例を示すフローチャートである。

[図 37]ルール削除部によるルール削除やルール修正の処理経過の例を示すフローチャートである。

[図 38]ルール削除部による判定例を示す図である。

[図 39]縮小の具体例を示す図である。

[図 40]縮小の具体例を示す図である。

[図 41A]縮小可能な場合の例を示す図である。

[図 41B]縮小不可能な場合の例を示す図である。

[図 42]縮小不可能な場合の例を示す図である。

[図 43]残り領域が矩形状態である場合に、各軸の無限大方向及び無限小方向から残り領域を見た状況を示す図である。

[図 44]残り領域が矩形状態でない場合に、各軸の無限大方向及び無限小方向から残り領域を見た状況を示す図である。

[図 45]ルール削除部力ルールを縮小できるかどうかを判定し、ルールを縮小する場合を 2次元空間で模式的に示した説明図である。

[図 46]ルール削除部力ルールを縮小できるかどうかを判定し、ルールを縮小する場合を 3次元空間で模式的に示した図である。

[図 47]ルール集合の例を示す図である。

[図 48]ルール集合を 2次元空間で示した模式図である。

[図 49]ルール削除部の処理に伴うルール集合の変化を示す模式図である。

[図 50]ルール削除部の処理に伴うルール集合の変化を示す模式図である。

[図 51]ルール削除部の処理に伴うルール集合の変化を示す模式図である。

[図 52]ルール削除部による処理結果の例を示す図である。

[図 53]ルールを増加させて縮小を行う場合の例を示す模式図である。

[図 54]本発明の第 6の実施形態のフィルタリングルール分析システムを示すブロック図である。

[図 55]頻度分析部による処理の例を示すフローチャートである。 [図 56]ルールイ匕部による新たなルール集合作成処理の一例を示すフローチャートである。

[図 57]ルールイ匕部による新たなルール集合作成処理の他の例を示すフローチャートである。

[図 58]マトリックスデータの結合の例を示す模式図である。

[図 59]ルール集合の例を示す図である。

[図 60]パケット履歴の例を示す図である。

[図 61]マトリックスデータ 2次元平面で表わした模式図である。

[図 62]頻度分析部の処理によって得られるマトリックスデータの例を示す図である。

[図 63]バッファにコピーされたルール集合の変化を示す図である。

[図 64]新たに生成されたルール集合の例を示す図である。

[図 65]本発明の第 7の実施形態のフィルタリングルール分析システムにおけるマトリツタス化部の動作の例を示すフローチャートである。

[図 66]削除されるマトリックスデータの例を示す図である。

[図 67]本発明の第 8の実施形態のフィルタリングルール分析システムを示すブロック図である。

[図 68]ルール統合部によるルール統合の処理経過の例を示すフローチャートである

[図 69]統合候補を求める処理の処理経過の例を示すフローチャートである。

[図 70]統合候補としたルールの組み合わせに対して統合可能であるか否かを確認する処理の処理経過の例を示すフローチャートである。

[図 71A]ルールデータの例を示す図である。

[図 71B]ルールデータの例を示す図である。

[図 72]Mqと Ma + Mbとの比較を示す説明図である。

[図 73]2つのルールが重なっている部分のマトリックス数と、 2個のルールでできる最小多次元立方体 Qを構成するマトリックスのうち、 2つのルールと無関係なマトリックス数が一致する場合の例を示す説明図である。

[図 74A]ルールの領域の境界上のパケットを示す図である。 [図 74B]ルールの領域の境界上のパケットを示す図である。

[図 75A]ルールの各属性の開始点を表わす値力所定値を減算した値と、ルールの各属性の終了点を表わす値に所定値を加算した値とを境界点とした場合のマトリックスの例を示す説明図である。

[図 75B]ルールの各属性の開始点を表わす値力所定値を減算した値と、ルールの各属性の終了点を表わす値に所定値を加算した値とを境界点とした場合のマトリックスの例を示す説明図である。

符号の説明

[0030] 100 ルール記憶部

120 マトリックス空間記憶部

130, 131 マトリックスィ匕咅

140 重なり分析部

150, 151 通過テスト部

160 同一性分析部

170 ノレ一ノレ削除咅

180 頻度分析部

190 ノレ一ノレィ匕咅

200 ルール統合部

920 入力装置

930 出力装置

940 テスト入力装置

発明を実施するための最良の形態

[0031] 次に、本発明を実施の形態について図面を参照して説明する。なお、以下の説明にお、て、ファイアウォールのパケットフィルタリングルールとルータのアクセス制御ルールは、同様のルールであるので、両者を併せてパケットフィルタリングルールと記すことがあり、これらを単にルールと記す場合もある。

[0032] 第 1の実施形態：

図 1に示す本発明の第 1の実施形態のフィルタリングルール分析システムは、ルール分析システム 100と、入力装置 920と、出力装置 930とを備えている。ルール分析システム 100は、ルール記憶部 110と、マトリックス空間記憶部 120と、マトリックス化部 130と、重なり分析部 140とを備える。

[0033] 入力装置 920は、任意のフィルタリングルールの集合を独自の形式の記述で表わしたルール集合 910をルール分析システム 100に入力する。ここで、独自の形式の記述は、特定のネットワーク機器、例えば特定のファイアウォールや特定のルータ等に依存した記述ではなぐ各種ネットワーク機器に依存しな、共通の形式の記述であつてもよい。独自の形式の記述は、例えば、特定のネットワーク機器におけるルールの記述形式を、統一的に用いる記述形式として採用し、その形式で表わした記述であってもよい。以下の説明では、ルール集合 910が、各種ネットワーク機器に依存しな、共通の形式で記述されて、る場合を例にして説明する。

[0034] ルール分析システム 100は、ルール記憶部 110と、マトリックス空間記憶部 120と、マトリックス化部 130と、重なり分析部 140とを備える。ルール記憶部 110は、入力装置 920によって入力されたフィルタリングルールの集合すなわち独自の形式で記述されたルールの集合を記憶する。マトリックス空間記憶部 120は、ルールを多次元のマトリックス空間データとして記憶する。マトリックス空間データについては、後述する。マトリックス化部 130は、独自の形式で記述されたルールをマトリックス空間データに変換し、マトリックス空間記憶部 120に記憶させる。重なり分析部 140は、マトリックス空間データを参照してルールの重なりを分析する。

[0035] 出力装置 930は、ルール分析システム 100によって分析される結果を出力する。

[0036] マトリックス化部 130及び重なり分析部 140は、例えば、プログラムに従って動作する CPU (Central Processing Unit)や MPU (Micro Processing Unit)によつて実現される。なお、プログラムは、例えば、ルール分析システム 100が備えるプログラム記憶装置 (不図示）に記憶される。ルール記憶部 110及びマトリックス空間記憶部 120は、例えば、記憶装置によって実現される。出力装置 930は、例えば、デイスプレイ装置によって実現される。入力装置 920は、例えば、各種ネットワーク機器に依存する形式で記述されたルールの集合を、ネットワーク機器に依存しな、形式で記述されたルール集合 910に変換して出力するルール変換システム (不図示）とのィンタフースによって実現される。

[0037] なお、ここで述べたルール変換システム (不図示）は、各種ネットワーク機器に接続され、その各種ネットワーク機器から、機器に依存する形式で記述されたルールを収集する。そして、ルール変換システムは、各種セキュリティ機器におけるルールの記述仕様に関する知識と、ルール集合 910に含まれるルールのフォーマット情報とを記憶し、これらの知識を参照して、収集したルールから、独自の形式のルールを生成する。ルール変換システムは、このようにして生成されたルールの集合を、ルール集合 9 10として出力する。なお、ルール変換システムにルールを収集させるサブルーチンや、収集したルールから独自の形式のルールをルール変換システムに生成させるサブルーチンは、例えば、各種ネットワーク機器ごとに予め用意される。

[0038] 次に、入力装置 920が入力するルール集合 910に含まれるルールについて説明する。フィルタリングルールは、一般に条件部分と実行部分力もなる IF— THENルールである。条件部分 (IF部）には、パケットの属性であるソース (発信元)アドレス、ソースポート、デスティネーション（あて先）アドレス、デスティネーションポート、プロトコノレを用いた範囲が条件として記述される。例えば、「デスティネーションポートの範囲が 0番〜 80番で、プロトコルの範囲が TCPである。」等の条件が記述される。条件として記述される属性の組み合わせは任意であり、条件に記述された属性の範囲すベてを満たすパケットが、その条件部分を含むルールの適用対象となる。ルールの条件部分に記述されていない属性がある場合、条件部分は、その記述されていない属性に関しては全ての範囲を示しているものとする。例えば、上記の「デスティネーションポートの範囲が 0番〜 80番で、プロトコルの範囲が TCPである。」という条件の例では、デスティネーションポートとプロトコル以外の属性に関しては、全ての範囲を示しているものとする。すなわち、この条件の下では、パケットのデスティネーションポートが 0 〜80の範囲であり、かつ、プロトコルが TCP (Transmission Control Protocol) であるパケット全てが条件に合致するパケットとなる。すなわち、ルールの適用条件としてルール内に記述された属性の範囲とは、パケットの通過許可または不許可の判定をする際にそのルールが適用される条件として記述され、パケットの各属性がそれぞれ、ルールの適用条件として記述された各属性の範囲に含まれるならば、そのパケットに関する通過許可または不許可の判定時にそのルールが適用され得ることを示すものである。実行部分 (THEN部）には、条件部分に合致したパケットの通過を許可する力許可しな、か (アクションと呼ぶ。）を記述する。

[0039] このようなルールが順に記述されたもの力パケットフィルタリングのルール集合である。各ルールには、順番 (優先順位と記す場合もある。）が定められている。ノケットフィルタリングを行うネットワーク機器は、あるパケットが到達すると、ルール集合のルールの条件部分を順にそのパケットの属性と比較する。そして、そのパケットの属性と合致したルールが見つかると、そのルールの実行部分のアクションに応じた処理を行う。特別なルールにデフォルトルールがある。デフォルトルールは、パケットがデフォルトルールを除くその他のルールの何れにも合致しない場合に実行されるルールである。すなわち、デフォルトルールは、どのようなパケットでも合致する最も広い条件部分を持つルールであり、その書式は IF— THEN形式になっていないこともある。これは、デフォルトルールであることが認識できれば、 IF部分は必要ないためのである。デフォルトルールは、一般にルール集合の先頭または最後尾に順序付けられる。本実施の形態では、デフォルトルールの順番は最後であるものとする。なお、前述のルール変換システム (不図示せず）力ネットワーク機器力収集したルールの集合を独自の形式の記述のルール集合 910に変換した場合であっても、ルール集合 91 0に含まれる各ルールは、元のネットワーク機器におけるルールの順番を保持して!/ヽるちのとする。

[0040] 次に、図 1に示したフィルタリングルール分析システムの動作を説明する。入力装置

920は、ルール集合 910をルール分析システム 100に入力して、そのルールの集合をルール記憶部 110に記憶させる。ここでは説明を単純ィ匕するため、 1つのネットヮーク機器のルールの集合であって、機器に依存しない独自の形式の記述で表わされたルールの集合が入力されてルール記憶部 110に記憶されるものとする。なお、入力装置 920は、ルールの集合の記述形式を、コンピュータ（具体的にはルール分析システム 100)が扱、やす、ように変換してもよ、。

[0041] ルール分析システム 100においてマトリックス化部 130は、ルールの条件部分で用いられる 5種類の属性、すなわちソースアドレス、ソースポート、デスティネーションァドレス、デスティネーションポート、プロトコルのそれぞれを軸とする 5次元空間を作る。マトリックス化部 130は、その 5次元空間の中に各ルールを配置した場合における各ルールの属性の範囲の開始点と終了点の交差でできる極小領域を作る。このような極小領域のことをマトリックスと呼ぶ。さらに、マトリックス化部 130は、各ルールとマトリックスの関係、各マトリックスとルールの関係を表わしたマトリックス空間データを作る。ここでは、一般的に用いられる 5つの属性、すなわちソースアドレス、ソースポート、デスティネーションアドレス、デスティネーションポート、プロトコルを用いて 5次元空間としている力属性の数は 5に限られるものではなぐいくつであっても構わない。 5 次元空間の場合、あるルールは、その 5次元空間内のある 5次元領域を表わすこととなる。

[0042] 図 2は、マトリックス化部 130によるマトリックス空間データ作成処理の例を示すフロ一チャートである。なお、図 2およびそれ以降に示すフローチャートにおいて、「残つている」という表現は、「ある要素の集合に含まれる要素のうち、選択済みを表わすチエックが付いていない要素がある」ということを意味する。ここで、チェックとは、要素が選択済みであることを示す情報である。なお、図 2およびそれ以降に示す各種フローチャートにおいて、「1つ選ぶ」という表現は、「集合に含まれる要素のうち 1つの要素を選ぶと同時にその要素にチェックをつける」ことを意味する。何らかの要素が残っている力否かの判定処理が行われ、要素が残っていると判定された場合に、残っている要素から 1つ選ぶ処理が続く。

[0043] マトリックス化部 130は、ステップ S101において、ルールの条件部分で用いられる属性 (例えば 5種類の属性)のいずれかが残っている力否かを判定する。いずれかの属性が残っているならば、マトリックス化部 130は、ステップ S102において、その属性の中から一つの属性を選び、ステップ S103において、ルール記憶部 110に記憶されている全てのルールの条件部分から、ステップ S 102で選択した属性に関する開始点と終了点を収集する。ここでは、開始点と終了点の総称を境界点と呼ぶ。次に、マトリックス化部 130は、ステップ S104において、ステップ S 103で収集した境界点をソートする。このときマトリックス化部 130は、収集した境界点の中に重複する境界点、すなわち同じ値を持つ境界点がある場合には、同じ値を持つ境界点のうち一つだけを残し、同じ値を持つ他の境界点については削除して、ソート処理を行う。ステップ S 104の後、再びステップ S 101に移行する。マトリックス化部 130は、ステップ S102〜 S 104の一連の処理を全ての属性につ!、て行う。全ての属性につ!、て境界点のソートが完了すると、ステップ S101において、属性が残っていない状態となるので、次に、ステップ S 105に処理が移行する。

[0044] ステップ S105では、マトリックス化部 130は、全ての属性（各軸）の隣り合う 2つの境界点でできる極小領域の情報 (マトリックスデータ）を作成する。 5種類の各属性に対応する各軸を有する 5次元空間の場合、この極小領域も 5次元領域となる。各軸の隣り合う 2つの境界点でできる極小領域を、上述したようにマトリックスと呼んでいる。マトリックス化部 130は、属性の範囲、すなわち隣り合う境界点のペアを各属性ごとに記述することによって、マトリックスの情報すなわちマトリックスデータを作成する。

[0045] ステップ S105の後、マトリックス化部 130は、ルール記憶部 110に記録されているルール全てについて順に、以下のステップ S106〜S108の処理を行う。まず、マトリックス化部 130は、ステップ S 106において、ルールが残っているか否かを判定し、残つているルールがあるならば、ステップ 107において、残っているルールの中から順番に従って一つのルールを選び、ステップ S108において、ステップ S107で選んだルールを構成するマトリックスを列挙し、ステップ S 107で選んだルールと、そのマトリッタスとを関係付ける。ルールには、各属性の範囲とアクションが記述されているので、ステップ S108では、その記述にマトリックス名のリストをカ卩えればよい。このような記述のことをルールデータと呼ぶ。なお、ルールを構成するマトリックスとは、ルールの条件部分が示す属性の範囲に含まれる各マトリックスである。またステップ S 108では、マトリックス化部 130は、ステップ S 107で選んだルールを構成するマトリックスそれぞれについて、そのルールと関係付ける。マトリックスデータには、各ルールと同様に、各属性の範囲が記述されているので、マトリックスデータにルール名をカ卩えればよい。ステップ S108の後、再びステップ S106に処理が移行することによって、上述したように、マトリックス化部 130は、ステップ S107〜S 108の一連の処理を全てのルールについて行うが、この一連の処理は、ルール記憶部 110に記憶されたルール集合における各ルールの順番通りに行われる。したがって、一つのマトリックス（マトリックスデータ）にカ卩えられるルールが 2つ以上ある場合、マトリックスデータにカ卩えられるルール名は、ルールの順番を維持する。例えば、ルール集合におけるルールの順番が {Rl、 R2、 R3、 R4}となっており、あるマトリックスに R2と R4が関係付けられるとする。この場合、そのマトリックスのマトリックスデータには、 {R2、 R4}という順でルール名のリストが加えられていく力 {R4、R2}という順になることはない。全てのルールについて、ステップ S 107, S 108の処理が完了すると、ステップ S 106において、ルールが残っていない状態となるので、この場合、マトリックス空間データ作成処理が終了する。

[0046] マトリックス化部 130は、図 2に示すマトリックス空間データ作成処理によって作成したルールデータ（すなわち、マトリックス名が追加されたルールデータ）とマトリックスデータ（すなわち、ルール名が追加されたルールデータ）をマトリックス空間記憶部 1 20に記憶させる。ルールデータとマトリックスデータの全集合を総称してマトリックス空間データと呼ぶ。

[0047] マトリックス化部 130がマトリックス空間データをマトリックス空間記憶部 120に記憶させた後、重なり分析部 140は、マトリックス空間記憶部 120に記憶されたマトリックス空間データを参照し、ルール間の重なりを見つけだし、その結果を出力装置 930を用いて出力する。図 3及び図 4は、重なり分析部 140による処理の例を示すフローチヤートである。重なり分析部 140は、全てのルールについてステップ S202以降の処理を行、、全てのルールにつ!、て処理が完了してルールが残って!/、な!/、状態になつた場合に、処理を終了する。以下、重なり分析部 140での処理を詳しく説明する。

[0048] まず、重なり分析部 140は、ステップ S201において、ステップ S202以降の処理を行って、な、ルールが残って、るか否かを判定する。そのようなルールが残って！/、る場合には、重なり分析部 140は、マトリックス空間記憶部 120に記憶されたルール (ルールデータ）から、昇順に一つルールを選ぶ。ここで、「昇順に」とは、予め定められて!、るルールの順番通りにと!/、う意味である。ステップ S202で選択するルールを Aとする。重なり分析部 140は、ステップ S203において、ルール Aがデフォルトルールであるか否かを判定し、ルール Aがデフォルトルールである場合、処理を終了する。本実施の形態では、デフォルトルールの順番は、ルール集合に含まれるルールのうち最後であるとしている。したがって、ステップ S202で最後のルールを選択すると、ステツプ S203で「はい」の側に分岐することとなって、処理が終了する。そのため、ステップ S201で「いいえ」の側に分岐することはありえないので、実際には、ステップ S20 1の処理は行わなくてもよい。

[0049] ステップ S203にお!/、てルール Aがデフォルトルールでな!、場合、重なり分析部 14 0は、ステップ S 204において、ルール Aを構成するマトリックスを列挙する。ルール A のルールデータには、ルール Aを構成するマトリックスがリストとして記載されているため、重なり分析部 140は、ステップ S204においてルールデータを参照すればよい。次に、重なり分析部 140は、ステップ S205において、ルール Aを構成するマトリックスのマトリックスデータに加えられたルールのリストを調べ、ルール Aを構成するマトリツタスの全てのマトリックスデータにぉ、て、先頭ルールがルール A以外であるか否かを判定する。ルール Aを構成するマトリックスの全てのマトリックスデータの!/、ずれにおいても、先頭ルールがルール A以外であるならば、処理はステップ S207に移行する。ステップ S205において先頭ルールがルール Aであるマトリックスデータが 1つでもあった場合、処理はステップ S 206に移行する。ステップ S206では、重なり分析部 140は、ルール Aを構成するマトリックスの全てのマトリックスデータのうちの一部のみでルール Aが先頭ルールになっているの力、あるいは、ルール Aを構成するマトリックスの全てのマトリックスデータでルール Aが先頭ルールになっているのかを判定する。ルール Aを構成するマトリックスの全てのマトリックスデータのうちの一部のみでルール Aが先頭ルールになっている場合、処理はステップ S209に移行する。ルール Aを構成するマトリックスの全てのマトリックスデータでルール Aが先頭ルールになっている場合、処理はステップ S201に移行し、上述した処理が繰り返されることとなる。

[0050] ステップ S205において「はい」側に分岐した場合、すなわちルール Aを構成するマトリックスの全てのマトリックスデータの、ずれにお、ても先頭ルールがルール A以外であった場合、重なり分析部 140は、図 4のステップ S207において、そのルール A以外の先頭ルールを列挙する。ステップ S207で列挙されるルールの集合を Bとする。 Bは、 1つ以上のルールの集合である。ステップ S207の後、重なり分析部 140は、ステツプ S208において、出力装置 930によって、「ルール Aはルール集合 Bによって C oncealedである」旨を出力する。「Concealed」とは、あるルール力そのルールより優先順位の高、他のルール（このルールは 1つとは限らな、）によって完全に隠されている状態であることを意味する。すなわち、あるルール力そのルールより優先順位の高い他のルールに完全に隠され、どのようなパケットが送られてきたとしても、より優先順位の高、他のルールが発火し (適用され)、隠されたルール自身は発火することがない（適用されない）ということを意味する。ステップ S208で「ルール Aはルール集合 Bによって Concealedである」という分析結果を出力した後には、処理はステップ S 201に移行し、ステップ S 201以降の処理が繰り返される。

[0051] ステップ S206において「はい」側に分岐した場合、すなわちルール Aを構成するマトリックスの全てのマトリックスデータのうちの一部のみでルール Aが先頭ルールになつている場合、重なり分析部 140は、図 4のステップ S209において、そのルール A以外の先頭ルールを列挙する。ステップ S209で列挙されるルールの集合を Cとする。続いて、重なり分析部 140は、ステップ S210において、ルール集合 Cに含まれるルールのうち、ステップ S211以降の処理が行われて!/、な!/、ルールが残って!/、るか否かを判定する。ルール集合 Cにそのようなルールが残っていなければ、処理はステップ S201に移行し、ステップ S201以降の処理が繰り返される。一方、ステップ S210においてルール集合 Cにそのようなルールが残っているならば、重なり分析部 140は、ステップ S211において、残っているルールの中からルールを一つ選ぶ。ステップ S2 11で選んだルールをルール Dとする。その後、重なり分析部 140は、ステップ S212 において、ルール Aとルール Dに共通のマトリックスを収集する。ルール Dは、ルール Aより順番が先のルールであるので、重なり分析部 140は、ルール Aを構成するマトリックスのうち、マトリックスデータにおいてルール Dがルール Aより先にリストアップされて!、るマトリックスを列挙すればよ!、。

[0052] 次に重なり分析部 140は、ステップ S213において、ステップ S212で収集したマトリッタスで構成される領域を特定する。この領域を Eとする。なお、ステップ S212で収集するマトリックスが、ルール Dを先頭ルールとするマトリックスでないのは、ルール D よりも順番が上位のルール力ルール Dの内部にある可能性がある力である。ステップ S 213で領域 Eを特定した後、重なり分析部 140は、ステップ S214において、出力装置 930を用いて、「ルール Dによって、ルール Aの範囲（領域） Eが Overlapped である」旨を出力する。「Overlapped」とは、あるルールがそのルール自身よりも優先順位の高い他のルール（このルールは 1つとは限らない）によって、一部分の領域が隠されている状態であることを意味する。ステップ S214で、「ルール Dによって、ルール Aの範囲 Eが Overlappedである」という分析結果を出力した後には、処理はステツプ S201に移行し、ステップ S201移行の処理が繰り返される。

[0053] 出力装置 930は、上述したようにステップ S 208あるいはステップ S214において、重なり分析部 140にしたがって分析結果の出力を行う。分析結果の出力態様は、特に限定されない。例えば、ディスプレイ装置によって出力装置 930を実現して、分析結果を表示出力してもよい。あるいは、 CPUによって出力装置 930を実現して、分析結果をファイルとして出力してもよ、。

[0054] なお、図 2に示すマトリックス化部 130での処理手順や、図 3及び図 4に示す重なり分析部 140での処理手順は、処理手順の一例を示すものである。マトリックス化部 13 0での処理手順や重なり分析部 140での処理手順は、これらの図に示されたものに限定されなヽ。他の処理手順によって上述と同様の結果を得てもょヽ。

[0055] 次に、具体例を用いて、第 1の実施の形態における動作を説明する。

[0056] 既に説明したように、ルール集合 910 (図 1参照）に含まれるフィルタリングルールは、例えば、特定のネットワーク機器 (特定のファイアウォールや特定のルータ等）に依存した記述ではなぐ各種ネットワーク機器に依存しな、共通の形式で記述されてヽてもよい。このような共通な形式として、上述したポリシー言語 SCCMLがある。あるいは、特定のネットワーク機器におけるルールの記述形式を、統一的に用いる記述形式として採用し、その形式でフィルタリングルールが記述されていてもよい。いずれの場合であっても、ネットワーク機器に依存した記述形式から、簡単な 1対 1の文法上の置換によって、ルール集合 910に含まれる各フィルタリングルールに変換することができる。ルール集合 910に含まれる各ルールは、元のネットワーク機器におけるルールの順番を保持しているものとする。ただし、元のネットワーク機器におけるデフオルトルールの順番が最初であっても最後であっても、ルール集合 910におけるデフオルトルールの順番は最後であるものとする。デフォルトルールの条件部分は、すべての属性の最大領域 (最大範囲）をそれぞれ示してヽるものとする。

[0057] 入力装置 920は、ルール集合 910をルール分析システム 100に入力し、ルールの集合をルール記憶部 110に記憶させる。既に説明したように、入力装置 920は、入力したルールの集合の記述形式を、コンピュータ (具体的にはルール分析システム 1 00)が扱いやすいように変換してもよい。本例では、入力装置 920は、入力したルールの集合を、図 5に例示するようなデータ構造で表わされるルールの集合に変換し、そのルールの集合をルール記憶部 110に記憶させるものとする。ただし、図 5に例示するデータ構造は、例示であり、他のデータ構造で表わされるルールの集合に変換してちよい。

[0058] 図 5に例示するルール記述の形式すなわちルールのデータ構造にっ、て説明する。図 5は、 8個のルール (R1〜R8)力なるルールの集合を示している。それぞれのルールは、第 1属性の開始点、第 1属性の終了点、第 2属性の開始点、第 2属性の終了点というように、第 n属性の開始点、第 n属性の終了点まで記述され、最後にァクシヨンが記述される。ただし、図 5に示す例では、第 3属性以降の開始点と終了点については「中略」としている。例えば、ルール 1 (R1)は、第 1属性の開始点、終了点はそれぞれ 3, 5であり、同様に、第 2属性の開始点、終了点はそれぞれ 5, 7である。よつて、 R1では、第 1属性が 3〜5の範囲であり、第 2属性が 5〜7の範囲である場合に、 Dというアクションを実行することを意味する。なお、ルール中に記載された Dは、「 Deny」の略であり、通過を許可しないというアクションを示す。ルール中に記載された Aは、「Allow」の略であり、通過を許可するというアクションを示す。

[0059] 実際のフィルタリングルールの条件部分が示す属性のうち、ソースアドレスやデステイネーシヨンアドレスは、 IP (Internet Protocol)アドレスで表わされており、したがつてソースアドレス及びデスティネーションアドレスは、 0. 0. 0. 0〜255. 255. 255 . 255という範囲内すなわち IPアドレス空間内における開始点及び終了点として表わされる。ソースポートやデスティネーションポートの範囲は、 0〜65535という範囲内における開始点及び終了点で表わされる。プロトコルは、 TCPのみ、 UDP (User D atagram Protocol)のみ、または、 TCP及び UDPという範囲で表わされる。ここでは単純化のために、全ての属性の範囲を、 0〜mという整数の範囲として表わして説明する。 IPアドレス空間やプロトコルは、フィルタリングルール上での表現は違うものの、ポートと同様な全順序をもつ一次元線分 (あるいは点）として表わされるため、上述の 0〜mという整数の範囲で表わした説明であっても、この説明を IPアドレス空間やプロトコルに容易に適用することが可能である。例えば、 TCPを 0、 UDPを 1とすれば、「TCPのみ」は、開始点及び終了点を 0にすることで表わすことができ、「TCP及び UDP」という範囲は開始点を 0、終了点を 1とすることで表わすことができる。

[0060] 上述したようにルールを記述したデータがルールデータであり、図 5に示すデータがルールデータに該当する。図 5に示すルールデータにおいて「中略」とした第 3属性以降の開始点及び終了点がないものとし、図 5に示すルールデータの 2つの属性（第 1属性及び第 2属性）について 2次元空間で表わすと、図 6に示すようになる。図 6 において X軸 (横軸）は第 1属性に対応し、 Y軸 (縦軸）は第 2属性に対応する。各ルールの条件部分における第 1属性及び第 2属性によって定まる範囲を矩形で表わしている。ルールのアクションが「通過を許可」を意味する Aの場合は、その矩形を白色で表わし、アクションが「通過を禁止」を意味する Dの場合は、矩形内に模様、具体的には多数の点を描画した模様を付して表わしている。図 6では、ルールの優先順位が低い矩形が下層になり、ルールの優先順位が高い矩形ほど上層になるように、重ねて描画している。図 6では、 2つの属性によって定まる範囲を 2次元で表わしている力ルールの条件部分が示す属性が 5個ある場合には、 5次元空間として表わされることになる。

[0061] マトリックス化部 130は、ルール記憶部 110によって記憶されるルールデータを参照し、マトリックス空間データを作成し、マトリックス空間記憶部 120に記録する。マトリックス化部 130による処理の具体例を、図 2及び図 5〜図 10を用いて以下に説明する。図 5に示すルールデータの場合、「中略」とした部分も含めて第 n属性までの n個の属性があるが、以下の説明では、最初の 2つの属性を用いて説明する。属性の数は何個であっても同様の処理を繰り返せばよ!/、。

[0062] マトリックス化部 130は、最初にステップ S101 (図 2参照）に移行したときに、属性が 2つ残っているのでステップ S 102に移行し、最初の属性 (第 1属性)を選択する。続く、ステップ S103では、全てのルール R1〜R8 (図 5参照）から、選択した第 1属性の開始点及び終了点を収集する。図 5に示すルールデータの場合、マトリックス化部 130 ίま、： R1力ら 3と 5を、： R2力ら 2と 8を、： R3力ら 11と 13を、： R4力ら 5と 9を、： R5力ら 1と 7を、 R6力ら 10と 14を、 R7力ら 4と 7を、 R8力ら 0と 15を、それぞれ収集する。次のステツプ S104では、マトリックス化部 130は、これらの境界点のうち、重複する境界点を削除し、その上で境界点をソートする。この結果、第 1属性については、 0、 1、 2、 3、 4、 5、 7、 8、 9、 10、 11、 13、 14、 15という値力得られる。マトリックスィ匕咅は、同様の処理 (ステップ S101〜S104)を第 2属性についても行う。この結果、第 2属性につヽては、 0、 1、 3、 4、 5、 7、 8、 10、 11、 12、 13と!ヽぅ値力得られる。第 2属'性につ!ヽて処理が完了してステップ S 101に移行した場合、他の属性が残っていないため、ステツプ S 105に移行する。

[0063] ステップ S105では、マトリックス化部 130は、ある属性の隣り合う 2つの境界点の間の範囲と、別の属性の隣り合う 2つの境界点の間の範囲によって定められる極小領域 (マトリックス）を作成する。マトリックス化部 130は、各属性おける隣り合う 2つの境界点を変化させることにより、作成し得るマトリックスを全て作成する。例えば、図 6に示すように各軸 (各属性)ごとに境界点が得られている場合には、図 7に示すような 130 個のマトリックスを作成する。

[0064] マトリックスのデータの記述形式の例を図 8に示す。本例では、 1番目から 130番目までのマトリックスがあり、それぞれ M001〜M 130とする。そして、それぞれのマトリツタスは、ルールデータと同様に、各属性の開始点と終了点のペアの列挙して記述することにより表わされる。例えば、マトリックス M001は、第 1属性力^〜 1の範囲で、第 2属性が 0〜1の範囲の領域である。図 8に示す例では 3つ目以降の属性については省略して!/、る。上述したようにマトリックスを記述したデータをマトリックスデータと呼ぶ力図 8に示すデータがマトリックスデータに該当する。

[0065] 次に、マトリックス化部 130は、ルール記憶部 110に記憶されているルールデータ全てについて、順に、ステップ S106〜S108の処理を行う。まず、最初にステップ S1 06に移行したときにはルールが全て残っているため、ステップ S 107に移行する。最初にステップ S107に移行したときには、マトリックス化部 130は、最初のルール R1を選択する。そして、ステップ S108に移行し、そのルール R1を構成するマトリックスを列挙する。 R1は、図 7からも明らかなように、 M056と M057の 2つのマトリックス力ら構成されている。なお、 M056は、図 7に示す M053の 3つ隣りのマトリックスであり、 M057は、さらにその一つ隣りのマトリックスである。マトリックス化部 130は、図 9の 1 行目の下線部分に示すように、 R1のルールデータの最後にこれら 2つのマトリックス M056, M057を追記する。さらにマトリックス化部 130は、それら 2つのマトリックス M 056, M057のマトリックスデータの最後に選択したルール（ここでは R1)を追記する。 ί列免 ίま、、 Μ056のマトリックスデータ【こ関して ίま、 Μ056= (3、 4、 5、 7、後略）【こ対して「R1」を追記し、 M056= (3、 4、 5、 7、中略、 R1)とする。 M057のマトリックスデータに関しても同様である。

[0066] ステップ S108の処理が終了すると、ステップ S106に処理が戻り、残りのルール全てについて同様の処理が行われる。その結果、ルールデータには、図 9に示すように、マトリックスのリストが追記され、マトリックスデータには、図 10に示すように、ルールのリストが追記される。なお、既に説明したように、ルールデータとマトリックスデータの全集合を総称してマトリックス空間データと呼ぶ。マトリックス化部 130は、マトリックス空間データをマトリックス空間記憶部 120に記録して、処理を終了する。

[0067] 図 2に示すフローチャートでは、ステップ S105の後、昇順に、すなわちルールの順番通りに、ルールを 1つずつ選び、ルールデータに構成しているマトリックスのリストを追加する。ただし、デフォルトルールは全てのマトリックスカゝら構成されるため、デフォルトルールのルールデータには、全てのマトリックスから構成されることを示すデータを追加するだけでもよい。図 9に示す例では、全てのマトリックスカゝら構成されることを示すデータとして、「ALL」というデータを追記している。マトリックス化部 130は、マトリックスデータに関係付けられるルールの最後には、無条件でデフォルトルールを追カロしてちょい。

[0068] 次に、重なり分析部 140による処理の具体例を、図 3〜図 4及び図 11〜図 13を用いて説明する。重なり分析とは、 2つのルール間の条件部分の重なりを調べることである。パケットフィルタリングでは、ルールを優先順位の高い方力順に調べ、あるパケットの属性が合致するルール (条件部分）が見つかると、そのルールの実行部分に記載されているアクションに従って動作が行われる。そのため、そのルールより優先順位の低いルールは、上記のパケットの属性と照合されない。すなわち、同じパケットの属性に合致するような条件部分を有するルールが 2つある場合、フィルタリング処理においては、優先順位の低い方のルールは意味をなさない。重なり分析では、このようなルールを検出する。

[0069] 重なり分析部 140は、マトリックス空間記憶部 120に記憶されているマトリックス空間データのルールデータを優先順位の高、方力も順に調べる。図 5に示すルール集合に基づいて作成されたマトリックス空間データのルールデータは図 9に示す通りである。最初にステップ S201に移行したときにはルールデータは全て残っているので、ステツプ S202に移行する。最初にステップ S202に移行したときには、重なり分析部 14 0は、まず、ルール R1を選択する。ステップ S202で選択されたルールをルール Aとするので、ここではルール R1をルール Aとする。

[0070] 次に、重なり分析部 140は、ステップ S203において、ルール Aがデフォルトルールかどうかを調べる。図 9に示すルールデータでは、デフォルトルールは R8であるため、ここでは処理は「いいえ」の側に分岐してステップ S204に移行する。重なり分析部 1 40は、ステップ S204では、ルール Aを構成するマトリックスを列挙する。ルール Aを構成するマトリックスは、ルールデータのアクション部分の後を参照すれば、即時に判別することができる。ここではマトリックス M056, M057が列挙される。次のステップ S 205では、重なり分析部 140は、列挙したマトリックスの先頭ルールを調べ、先頭ルールが全てルール A以外になって!/、るか否かを判定する。列挙したマトリックスは M0 56と M057であり、重なり分析部 140は、これらのマトリックスに関係付けられたルールのリストを調べる。例えばマトリックス M056に関係付けられたルールのリストは、図 10のマトリックスデータを参照すると R1と R2と R8であることが分かる（図 10の 11行目の下線部参照)。そしてこのマトリックスに関係付けられた先頭ルールは、 R1である。また同様に、 M057に関係付けられたルールにおける先頭ルールも R1である。すなわち、マトリックス M056, M057に関係付けられたルールの先頭ルールは全て Rl ( ルール A)であるため、ステップ S205では「いいえ」の側に処理が分岐し、ステップ S 206に移行する。なお、ここでは説明のために M056と M057双方の先頭ルールを調べたが、実際には、 M056を調べれば先頭ルールがルール Aとなり、全ての先頭ルールがルール A以外になることはないため、 M057に関して調べる必要はない。

[0071] ステップ S206においても、重なり分析部 140は、ステップ S205と同様に先頭ルールを調べ、ルール Aを構成するマトリックスのマトリックスデータのうち、 1つでも先頭ルールが A以外のものがあれば、ステップ S209に移行する。選択したルールが R1の場合は、ステップ S206における判定で、ルール Aを構成するマトリックス M056, MO 557の全てにお!、て先頭ルールがルール Aとなるため、ステップ S 206にお!/、て「ヽいえ」の側に処理が分岐してステップ S201に戻る。ここでは説明のために、再度、 M 056を M057双方の先頭ルールをチェックした力実際には、ステップ S205で調べたマトリックスに関して再度調べる必要はない。図 3に示すフローチャートではステツプ S205の判定の後に、ステップ S206の判定を行っている力フラグ等を用いることによってステップ S205の判定処理とステップ S206の判定処理とを同時に行ってもよい。

[0072] 1つ目のルール (R1)の処理が済むと、重なり分析部 140は、次のルールに関しても同様の処理を行う。図 9に示す例では、 R1の処理が終わったため、 R2〜R8のルールが残っている。従って、重なり分析部 140は、ステップ S201において、ルールが残っていると判定し、ステップ S202に移行する。ステップ S202では、重なり分析部 1 40は、ルール R2を選択し、ルール R2をルール Aとする。 R2はデフォルトルールではな、ため、ステップ S203では「、、え」の側に処理が分岐してステップ S204に移行する。ステップ S204において、重なり分析部 140は、ルール A (ここでは R2)を構成するマトリックスを列挙する。図 9を参照すると、ルール Aを構成するマトリックスは、 M042、 M043、 M044、中略、 Ml 10、 Ml 11の 30個のマトリックスである。次に、ステツプ S205において、重なり分析部 140は、上述の 30個のマトリックスの先頭ルールを調べる。例えば、 M042の先頭ルールは R2で、 M056の先頭ルールは R1である。ステップ S 205では全ての先頭ルールが Aでな!/、場合に「は!/、」と判断されるため、 Aが R2の場合は「いいえ」の側に処理が分岐してステップ S206に移行する。ステツプ S206では、マトリックス M056と M057の先頭ルールが R1であるため、 30個のマトリックスのうち、 2個のマトリックスの先頭ルールが A以外となる。そのため、ステップ S 206では処理は「はい」の側に分岐し、ステップ S209に移行する。 [0073] ステップ S209では、重なり分析部 140は、 30個のマトリックスにおける先頭ルールのうち、ルール Aでない先頭ルールを列挙する。ステップ S202で選択したルールが R2の場合、先頭ルールが R2 (=A)でないルールは R1となる。ステップ S209で列挙されるルールの集合を Cとする。本例ではルール集合 Cに含まれるルールは、 R1 だけであるが、ルール集合 Cに含まれる複数のルールが含まれることもある。重なり分析部 140は、ルール集合 Cに含まれる全てのルールに対して、続くステップ S210〜 S214の処理を行う。本例では、 C= {R1 }が成立し、ルール集合 Cにルール R1のみが含まれているので、ステップ S210〜S214の一連の処理は、 R1について 1回だけ行われる。そして、ステップ S214の後、再度ステップ S210に移行したときには、ルール集合 Cにルールが残って!/、な!/、状態になるので、処理はステップ S 201に移行する。

[0074] ルール集合 Cに含まれるルール R1に対するステップ S210〜S214の処理は、以下のようになる。まず、重なり分析部 140は、ステップ S210においてルール集合こルール R1が残っていると判定し、ステップ S211〖こおいて、ルール集合 Cからルールを一つ選択する。ステップ S 211で選択したルールをルール Dとする。本例では、ル一ノレ R1力レーノレ Dとなる。次に、重なり分析咅は、ステップ S212にお!/、て、ノレール A (ここでは R2)とルール D (ここでは R1)に共通なマトリックスを収集する。ルール R2を構成する 30個のマトリックスのうち、マトリックスデータにおいてルール R1がルールリストに入っているマトリックスが、ルール Aとルール Dに共通のマトリックスである。本例では、 M056と M057の 2つのマトリックス力ルール Aとルール Dに共通のマトリックスである。重なり分析部 140は、ステップ S212で収集したマトリックスで構成される領域の範囲を特定する。この範囲を Eとする。マトリックスデータによると、 M05 6の領域は、 (3, 4, 5, 7,後略）であり、 M057の領域は、 (4, 5, 5, 7,後略）である。従って、重なり分析部 140は、この 2つのマトリックスで構成される領域の範囲 Eが E = (3, 5, 5, 7,後略)であると特定する。続いて、重なり分析部 140は、ステップ S21 4において、「ルール D (ここでは R1)によって、ルール A (ここでは R2)の範囲 Eが Ov erlappedである」という分析結果を、出力装置 930を用いて出力し、ステップ S210に移行する。既に説明したように、ルール集合 Cには R1だけし力含まれていな力つたので、ステップ S210の判定結果は「いいえ」となり、処理はステップ S201に移行する。

[0075] ステップ S201にお!/、て、選択されて!、な、ルールがあると判定された場合、処理はステップ S202に移行し、重なり分析部 140は、順番通りにルールを 1つ選択する。ステップ S202で選択するルールが R3または R4である場合、ステップ S205, S206 における判定結果はいずれも「いいえ」となるので、処理は、再度、ステップ S 201に移行する。ステップ S 202で選択するルールが R5または R6である場合、ステップ S2 06における判定結果は「はい」となるので、ステップ S209以降の処理が実行される。この結果、ステップ S203で R2を選択した場合と同様に、「ルール Dによって、ルール Aの範囲 Eが Overlappedである」という分析結果が出力される。

[0076] ステップ S202で選択するルールが R7である場合について説明する。図 6に示すようにルール R7は、ルール R2に隠されているルールである。ルール Aがルール R7である場合、ステップ S203の後、処理はステップ S 204に移行する。ステップ S204では、重なり分析部 140は、ルール A (ここでは R7)を構成するマトリックスを列挙する。ルール Aを構成するマトリックスは、 M083, M084, M096, M097の 4個である。重なり分析部 140は、ステップ S205において、これら 4個のマトリックスの先頭ルールを調べる。これら 4つのマトリックスの先頭ルールは、いずれも R2であり、全てルール A ( すなわち R7)とは異なっている。従って、ステップ S205では処理は「はい」側に分岐し、ステップ S207【こ移行する。ステップ S207【こお!ヽて、重なり分析咅 140ίま、ノレ一ル Αを構成する全マトリックスの先頭ルールを列挙する。このルールの集合を Bとする。ルール Aが R7である場合、ルール Aを構成するマトリックスの先頭ルールは全て R 2である。従って、ルール集合 Bにはルール R2だけが含まれ、 B= {R2}となる。次に、重なり分析部 140は、ステップ S208において、「ルール Aはルール集合 Bによって Concealedである」 t 、う分析結果を、出力装置 930を用いて出力する。

[0077] 続いて、処理はステップ S 201を経てステップ S202に移行し、ステップ S202において、重なり分析部 140は、最後に残っている R8を選択する。 R8はデフォルトルールであるので、ステップ S203では「はい」側に処理が分岐し、処理が終了する。

[0078] 図 3及び図 4に示すフローチャートでは、昇順にルールを一つずつ選んで、そのルールを完全に隠してしまう他のルールの集合がある力、あるいは、そのルールを一部隠してしまう他のルールの集合があるかを分析している。先頭ルールは、最も優先順位が高いので、他のルールに一部または全部が隠されることがない。従って、ステツプ S202において先頭ルールを選択せず、最初にステップ S202に移行したときに² 番目のルールを選択して、以降、ステップ S 202では順番通りにルールを 1つ選択していってもよい。この場合、先頭ルールに関する処理を行わずに済むので、処理の高速化を図れる。デフォルトルールすなわち最後尾のルールは、必ず他のルールに一部または全部隠されることになるので、デフォルトルールに関してはステップ S204 以降の処理を行わないようにしている。しかし、より詳細な重なり分析のために、デフオルトルールに関してもステップ S204の処理を行、、ステップ 208またはステップ S2 14でデフォルトルールについての分析結果を出力してもよい。この場合、ステップ S2 03の判定処理を行わなければょ、。

[0079] 分析結果の出力態様は、特に限定されるものではない。例えば、分析結果を表示出力してもよいし、音声出力してもよいし、あるいはファイルとして出力してもよい。また、ルール分析システム 100と通信ネットワークを介して接続される別システムに出力装置 930を設け、その別システムにおいて分析結果を出力してもよい。この場合、ルール分析システム 100と通信ネットワークを介して接続される別システムの利用者に分析結果を知らせることができる。出力装置 930がディスプレイ装置であり、分析結果を表示出力する場合の分析結果の表示例を、図 11に示す。

[0080] 上記では、ステップ S208, S214において分析結果を順次出力する場合を説明したが、重なり分析部 140による処理が完了した後に、分析結果をまとめて表示してもよヽ。この場合、重なり分析咅 140ίま、ステップ S208, S214にお!/、て、「ノレ一ノレ D よって、ルール Aの範囲 Eが Overlappedである」等の分析結果を一時記憶装置（不図示）に記録しておけばよい。そして、重なり分析部 140による処理すなわち図 3,図 4に示す処理が完了した後、一時記憶装置に記録された分析結果を出力装置 930 力 Sまとめて出力してもよい。

[0081] 図 12に示すように模式的に表わされるルールデータを対象にして、重なり分析を行つた場合の分析結果の表示例を図 13に示す。図 13に示す例では、「R5が R3と R4 によって Concealed」であるだけでなぐより詳細に「R3によって（5, 7, 7, 10,後略 )の領域が Concealed」等の分析結果も表示している。このように、 Concealedとなる領域についてより詳細な分析結果を出力する場合には、ステップ S207の処理を、ステツプ S209〜S213と同様に行えばよい。

[0082] 第 1の実施形態のフィルタリングルール分析システムの利点を説明する。このフィルタリングルール分析システムによれば、どれほど複雑なフィルタリングルールであっても、各ルール間の関係を把握することができる。その理由は、マトリックス化部 130が、ルールをマトリックス空間データに変換し、重なり分析部 140が、任意のルールを構成するマトリックスを網羅的に調査することでルール間の重なり関係、特にあるルールが別のルールによって完全に隠された関係であることや、あるルールが別のルールによって一部隠された関係であること分析するからである。このシステムによれば、条

、フィルタリングルールであっても、各ルール間の関係を把握することができる。その理由は、任意の数の属性であってもルールをマトリックス空間データに変換でき、ルール間の重なり関係を、属性別で分析するのではなぐマトリックスを用いて分析する力である。

[0083] 第 2の実施形態：

次に本発明の第 2の実施形態のフィルタリングルール分析システムを説明する。第 2の実施形態のフィルタリングルール分析システムを示す図 14においては、第 1の実施形態におけるものと同様の構成要素については、図 1におけるものと同一の参照符号を付し、重複する説明を省略する。第 2の実施形態のフィルタリングルール分析システムは、図 1に示すものと同様のものであるが、ルール分析システム 100において重なり分析部の代わりに通過テスト部 150が設けられている点で、図 1に示したものと異なっている。さらに、本実施形態のフィルタリングルール分析システムは、テスト入力装置 940を備えている。

[0084] テスト入力装置 940は、ルール集合 910がルール全体として、どのようなパケットの通過を許可し、どのようなパケットの通過を禁止するのかをテストするためのデータをルール分析システム 100に入力するために設けられている。テストするためのデータは、例えば、パケットの属性で表わされている。テスト入力装置 940は、例えば、キーボード等の入力装置によって実現される。 [0085] 通過テスト部 150は、テスト入力装置 940が入力したデータとマトリックス空間データとに基づいて、ルール集合に基づくパケットフィルタリング処理において、どのようなパケットの通過を許可し、どのようなパケットの通過を禁止するのかをテストする。通過テスト部 150は、例えば、プログラムに従って動作する CPUによって実現される。プログラムは、例えば、ルール分析システム 100が備えるプログラム記憶装置 (不図示）に記憶される。本実施形態において、出力装置 930は、通過テスト部 150によるテスト結果を出力する。

[0086] 次に、第 2の実施形態のフィルタリングルール分析システムの動作について説明する。なお、第 1の実施形態のシステムにおけるものと同様の動作については、詳細な説明を省略する。マトリックス空間記憶部 120にマトリックス空間データが記憶されるまでの入力装置 920及びマトリックス化部 130での動作は、第 1の実施形態と同様である。

[0087] ルール分析システム 100の利用者は、ルール集合 910がどのようなパケットを通過させるのかをテストする目的で、テスト入力装置 940を用いて、パケットまたはパケットの範囲をルール分析システム 100に入力する。ここで入力するパケットまたはパケットの範囲とは、実際のパケットではなぐパケットの属性である。一般にパケットは、パケットの属性であるソースアドレス、ソースポート、デスティネーションアドレス、デスティネーシヨンポート、プロトコルの他に、パケットの内容であるペイロードを含んでいる。パケットフィルタリングは、一般にペイロード部分は参照せずにパケットの属性部分のみを参照するため、テスト入力装置 940に与えるテストデータはパケットの属性のみで十分である。通常、ネットワークを流れるパケットでは、上述のパケットの属性全てがある特定の値を持っている。すなわち、 5個の属性の 5次元空間で表わすと、ある点となる。テスト入力装置 940は、このようなパケットの属性をルール分析システム 10 0に入力する。テスト入力装置 940は、ある特定の値ではなぐある範囲として表わされたパケットの属性についてもルール分析システム 100に入力する。一部または全部の属性がある範囲として表わされた場合、 5個の属性を表わすと、 5次元空間では、 5次元以下の次元の領域となる。例えば、ある 1つの属性についてのみ範囲を指定した場合は、 1次元の領域 (すなわち、線）として表わされる。ある 2つの属性についてのみ範囲を指定した場合は、 2次元の領域 (すなわち、平面）として表わされる。ある 3 つの属性についてのみ範囲を指定した場合は、 3次元の領域 (すなわち、立体）として表わされる。同様に、ある 4つ、または 5つの属性についてのみ範囲を指定した場合には、それぞれ 4次元、または 5次元の領域として表わされる。以下、パケットの範囲も含めたパケットの属性をテストパケットと呼ぶ。テスト入力装置 940は、通過テスト部 150にテストパケットを入力する。

[0088] 通過テスト部 150は、入力されたテストパケットがルール集合 910のルール集合で通過が許可されるのか許可されないのかをテストする。図 15は、この通過テスト部 15 0によるテスト処理の例を示すフローチャートである。通過テスト部 150は、テスト入力装置 940を介してテストパケットを入力すると、テスト処理を開始する。まず、通過テスト部 150は、ステップ S301において、テストパケットの領域、すなわちテストパケットとして入力された属性が示す領域力マトリックス空間記憶部 120によって記憶されるマトリックス空間データの複数のマトリックスにまたがっているか否かを判定する。この判定処理は、以下のように行えばよい。通過テスト部 150は、各属性ごとに、テストパケットの属性の範囲を指定する開始点及び終了点力ステップ S104 (図 2参照）で決定された境界点のうち隣りあう境界点の間に収まっているか否かを判定する。この場合、開始点及び終了点が、隣り合う境界点と合致する場合も、隣りあう境界点の間に収まっていると判定するものとする。そして、全ての属性に関して、テストパケットの属性の範囲を指定する開始点及び終了点が、隣り合う境界点の間に収まっていれば、テストパケットの領域が 1つのマトリックスの領域内に収まると判定する。いずれかの属性において、テストパケットの属性の範囲を指定する開始点及び終了点が、隣り合う境界点の間に収まっていなければ、テストパケットの領域が複数のマトリックスにまた力 Sつていると判定する。

[0089] ステップ S301においてテストパケットの領域がある 1つのマトリックスの領域内に収まる場合には、処理はステップ S302に移行し、テストパケットの領域が複数のマトリツタスにまたがる場合には、処理はステップ S304に移行する。

[0090] ステップ S302において、通過テスト部 150は、テストパケットを含むマトリックスを特定する。ステップ S302で特定したマトリックスを Fとする。続いて、通過テスト部 150は、マトリックス Fのマトリックスデータを参照してそのマトリックスデータにおける先頭ルールを特定し、さらに、ステップ S303において、その先頭ルールのルールデータにおけるアクションを参照し、そのアクションが示す内容を、出力装置 930から出力して、処理を終了する。

[0091] 一方、ステップ S304では、通過テスト部 150は、テストパケットを含む複数のマトリツタス、すなわち、テストパケットの領域がまたがって存在している複数のマトリックスを列挙する。このマトリックスの集合を Gとする。通過テスト部 150は、集合 Gに含まれる各マトリックスごとに、アクションを特定する。このアクションを特定する動作は、ステツプ S303と同様に行えばよい。すなわち、通過テスト部 150は、集合 Gに含まれる各マトリックスごとに、マトリックスデータを参照してそのマトリックスデータにおける先頭ルールを特定し、その先頭ルールのルールデータにおけるアクションを参照すればよい。通過テスト部 150は、マトリックスごとにアクションを特定した上で、集合 Gに含まれるマトリックスをアクションごとに分類し、ステップ S305において、同一のアクションによって分類されたマトリックスを統合し、統合された領域とテストパケットの領域との重なり領域を求める。マトリックスを統合してテストパケットとの重なり領域を求める処理も、アクションごとに行う。その後、通過テスト部 150は、ステップ S306において、求めた重なり領域をアクションごとに出力装置 930から出力し、処理を終了する。

[0092] 本実施形態において、ステップ S303, S306における出力態様は、特に限定されるものではない。例えば、ディスプレイ装置によって実現された出力装置 930に表示出力させてもよいし、あるいは、ファイルとして出力してもよい。

[0093] なお、図 15に示した通過テスト部 150の処理手順は、単なる一例である。同様の結果を得るために他の処理手順を採用することも可能である。

[0094] 次に、具体例を用いて、第 2の実施形態のフィルタリングルール分析システムにおける動作を説明する。ここでは、ルール集合 910は、ルール全体として、どのようなパケットの通過を許可し、どのようなパケットの通過を禁止するのかを調べる対象となるルールの集合であるとする。ルール集合 910がルール分析システム 100に入力され、マトリックス空間データとしてマトリックス空間記憶部 120に記憶されるまでの動作は、第 1の実施形態の場合と同様であるので説明を省略する。 [0095] マトリックス空間記憶部 120は、図 5に例示したルール集合力も導出されたマトリックス空間データを記憶しているものとする。ここで、テスト入力装置 940がテストパケット T1をルール分析システム 100に入力したとする。テストパケットの記述形式は、マトリックスデータの初期値（図 8参照）と同様であり、各属性の開始点と終了点のペアの列挙して記述する形式であるものとする。テストパケット T1は、 Tl = (4, 5, 5, 6,後略）であるとする。テスト入力装置 940は、テストパケットを通過テスト部 150に送る。

[0096] 通過テスト部 150は、図 15に示すフローチャートに従って動作し、テスト入力装置 9 40を介してテストパケットが入力されると処理を開始する。通過テスト部 150は、まず、ステップ S301において、入力された上記のテストパケット T1の領域が複数のマトリッタスにまたがつている力否かを判定する。テストパケットの領域が複数のマトリックスにまたがっているかどうかは、図 2に示すステップ S104においてマトリックス化部 130 により作成されソートされた各属性の境界値と、テストパケットの属性の範囲を指定する開始点及び終了点とを比較することによって判断することができる。例えば、図 5に示すルール集合の場合、 1つ目の属性のソートされた境界値は、 0, 1, 3, 4, 5, 7, …（以下、略）である。テストパケット T1の 1つ目の属性の範囲は、 4〜5である。マトリックスは 2つの隣り合う境界値で定められるため、 4〜5は 1つのマトリックスの領域である。この比較を全ての属性について行い、テストパケット T1の全ての属性について 1つのマトリックス領域内であるならば、テストパケットの領域がある 1つのマトリックスの領域内に収まっていると判定し、そうでなければ、テストパケットの領域が複数のマトリッタスにまたがっていると判定すればよい。通過テスト部 150は、このような判定方法により、テストパケット T1がーつのマトリックスに収まっていると判定し、その結果、ステップ S 301では処理は「、え」の側に分岐する。

[0097] 図 16は、図 5に示すルール集合において第 2属性までしか記述されていないものとして、図 5に示すルール集合力導出されたマトリックスデータを 2次元空間に表わした模式図である。図 16では、テストパケット T1等も示している。なお、テストパケットにおいても第 2属性までしか記述されていないものとする。テストパケットの領域は、図 1 6では便宜的に角丸四角形で表わしている。

[0098] テストパケット T1がーつのマトリックスに収まっているとステップ S301において判定したのち、通過テスト部 150は、ステップ S302において、テストパケット T1を含むマトリックスを特定する。このとき、通過テスト部 150は、テストパケットの各属性の範囲を包含して!/、るマトリックスを特定すればょ、。ステップ S302で特定したマトリックスを F とする。本例では、図 16に示すように、テストパケット T1を含むマトリックスは、 M057 すなわち図 16に示す M053の 4つ隣りのマトリックスである。従って、 M057力マトリツタス Fとなる。

[0099] 次のステップ S303において、通過テスト部 150は、マトリックス F (M057)のマトリツタスデータを参照して、そのマトリックスデータにおける先頭ルールを特定する。マトリックス Fのマトリックスデータは、 M057= (4、 5、 5、 7、中略、 Rl、 R2、 R8)である。従って、先頭ルールは R1である。さら〖こ、通過テスト部 150は、その先頭ルール R1 のルールデータにおけるアクションを参照して、そのアクションが示す内容を出力装置 930力も出力する。 R1のルールデータは、 Rl = (3、 5、 5、 7、中略、 D、 M056、 M057)であるから、アクションは D (通過を許可しない）であることが分かる。従って、テストパケット T1に関しては通過を許可しな、旨を出力装置 930から出力する。

[0100] 次に、マトリックスをまたぐようなテストパケットが入力された場合の動作を説明する。

通過テスト部 150は、テスト入力装置 940を介してテストパケット T2が入力されたとする。ここで、テストパケット T2は、 T2= (6、 9、 6、 9、後略)であるとする。なお、テストパケット Τ2が第 2属性までしかないものとして 2次元空間に Τ2を表わすと、 Τ2は、図 16に示すように表わされる。

[0101] テストパケット Τ2の領域が複数のパケットにまたがっているとステップ S301で判定すると、通過テスト部 150は、ステップ S304に移行して、テストパケットを含む複数のマトリックスを列挙する。ここで通過テスト部 150は、各属性がいずれもテストパケットの各属性の一部を含んで、るマトリックスを全て列挙すればょ、。ステップ S304で列挙されたマトリックスの集合を Gとする。図 17は、テストパケット Τ2の周辺の二次元空間を示す模式図である。本例では、テストパケット Τ2は、図 17に示す Μ058〜Μ06 0、 Μ071〜Μ073、及び Μ084〜Μ086の各マトリックスにまた力 ^つて!/ヽる。従って、これらのマトリックスの集合が集合 Gとなる。すなわち、 G= {M058、 M059、 M060 、 M071、 M072、 M073、 M084、 M085、 M086}である。 [0102] 次のステップ S305では、通過テスト部 150は、集合 Gに含まれる各マトリックスごとにアクションを特定する。マトリックスごとのアクションを特定する動作は、ステップ S30 3においてマトリックス Fのアクションを特定する動作と同様に行えばよい。図 17では、アクションが A (通過を許可する）であるマトリックスを白色領域で示し、アクションが D ( 通過を許可しなヽ）であるマトリックスには模様 (多数の点を描画した模様)を付して示している。通過テスト部 150は、アクションが Aであるマトリックスすなわち通過を許可するマトリックスである M058, M059, M071, M072, M084, M085を統合して、領域を作成する。この領域は、（5, 8, 5, 10,後略）と表わせる。同様に、通過テスト部 150は、アクションが Dであるマトリックスすなわち通過を許可しないマトリックスである M060, M073, M086を統合して、領域を作成する。この領域は、 (8, 9, 5, 1 0,後略）と表わせる。通過テスト部 150は、この 2つの領域それぞれについて、テストパケット T2との重なり領域を求める。アクションが Aである領域（5, 8, 5, 10,後略）と T2との重なり領域は、（6、 8、 6、 9、後略）と求められる。アクションが Dである領域（8 , 9, 5, 10,後略）と T2との重なり領域は、（8、 9、 6、 9、後略）と求められる。次に、通過テスト部 150は、ステップ S306において、求めた重なり領域をアクションごとに出力装置 930から出力する。すなわち、通過テスト部 150は、テストパケット T2の領域のうち、通過が許可される領域と、通過が許可されない領域をそれぞれ出力する。

[0103] 通過テスト部 150による処理結果すなわちテスト結果の出力態様は、特に限定されるものではない。例えば、表示出力や音声出力であってもよいし、あるいはファイルとして出力してもよい。また、ルール分析システム 100と通信ネットワークを介して接続される別システムに出力装置 930を設け、その別システムにおいてテスト結果を出力してもよい。この場合、ルール分析システム 100と通信ネットワークを介して接続される別システムの利用者にテスト結果を知らせることができる。出力装置 930がディスプレイ装置であり、テスト結果を表示出力する場合の分析結果の表示例を図 18に示す。なお図 18では、テストパケットとして上記のテストパケット Tl, T2が入力された場合の結果の表示例を示して、る。

[0104] 上記の例では、ステップ S303, S306において、テスト結果を順次出力する場合を示したが、通過テスト部 150による処理が完了した後に、テスト結果をまとめて表示してもよヽ。この場合、通過テスト咅 150ίま、ステップ S303, S306【こお!ヽてテスト結果を一時記憶装置 (不図示）に記録しておけばよい。通過テスト部 150による図 15に示す処理が完了した後、一時記憶装置に記録されたテスト結果を出力装置 930がまとめて出力してもよい。

[0105] 第 2の実施形態のフィルタリングルール分析システムの利点について説明する。第 2の実施形態のフィルタリングルール分析システムによれば、どのような複雑なフィルタリングルールであっても、また属性数が多いフィルタリングルールであっても、ルール全体でどのようなパケットが通過するかどうかを把握することができる。その理由は、任意のテストパケットを入力することで、ルール全体としてそのテストパケットが通過する力しな、かをテストするためである。

[0106] 第 3の実施形態：

次に本発明の第 3の実施形態のフィルタリングルール分析システムを説明する。第 3の実施形態のフィルタリングルール分析システムを示す図 19においては、第 2の実施形態におけるものと同様の構成要素については、図 14におけるものと同一の参照符号を付し、重複する説明を省略する。ただし、第 3の実施形態のフィルタリング分析ツールでは、通過テスト部の動作は第 2の実施形態の場合と異なるので、通過テスト部に対して第 2の実施形態の場合と異なる参照符号を付与するものとする。

[0107] 第 3の実施形態のフィルタリングルール分析システムは、通過テスト部 151を備えている。このフィルタリングルール分析システムでは、ルール集合として、複数のルールの集合、すなわち複数のネットワーク機器それぞれに対応するルール集合)が入力装置 920からルール分析システム 100に入力される。マトリックス化部 130は、複数のルール集合力マトリックス空間データを作成し、マトリックス空間記憶部 120に記憶させる。マトリックス化部 130の動作は、第 1の実施形態の場合と同様である。マトリツタス空間記憶部 120は、複数のルール集合力も作成されたマトリックス空間データを記憶する。通過テスト部 151は、このマトリックス空間データとテストパケットとに基づいて、複数のルール集合全体として、換言すれば、複数のネットワーク機器全体として、どのようなパケットを通過させ、どのようなパケットを通過させないのかをテストする。通過テスト部 151は、例えば、プログラムに従って動作する CPUによって実現される。なお、プログラムは、例えば、ルール分析システム 100が備えるプログラム記憶装置 (不図示）に記憶される。

次に、本実施形態のフィルタリングルール分析システムの動作について説明する。本実施形態では、上述したように、入力装置 920には、複数（2つ以上）のルール集合が入力される。入力装置 920がルール分析システム 100に入力するルール集合が複数であったとしても、マトリックス空間データを作成して、マトリックス空間記憶部 12 0に記憶させるまでの動作は、第 1の実施形態及び第 2の実施形態の場合と同様である。ただし、複数のルール集合には順番が設定されているものとする。そして、マトリックス化部 130は、各ルール集合に基づいて作成された各マトリックス空間データにおいてもこの順番が維持されるように、マトリックス空間データを作成する。例えば、パケットが順番に 2つのファイアウォールに流されるとする。そして、最初のファイアゥオールに対応するルール集合を R100、次のファイアフォールに対応するルール集合を R200とする。この場合、 R100が最初のルール集合であり、 R200が 2番目のルール集合であると予め順番が設定され、そのように順番が設定されたルール集合 R1 00、 R200が入力装置 920に入力される。マトリックス化部 130は、ルール集合 R100 , R200の順番がそのまま維持されるように、ルール集合 R100, R200力らマトリックス空間データを作成する。このとき、ルール集合 R100に含まれる各ルールの順番が維持されるように、マトリックス化部 130は、ルール集合 R100のルールデータの順番を定める。ただし、デフォルトルールのルールデータは、ルール集合 R100のルールデータにおける最後のものとする。同様に、ルール集合 R200に含まれる各ルールの順番が維持されるように、ルール集合 R200のルールデータの順番を定める。このときも、デフォルトルールのルールデータは、ルール集合 R200のルールデータにおける最後のものとする。さらに、ルール集合 R100のルールデータの後に、ルール集合 R200の各ルールデータが続くように順番を定める。例えば、 R100のルール力、 R12、 R13とあり、 R13がデフォルトルールであって、 R200のルール力 R21、 R22 とあり、 R22がデフォルトルールであるとする。この場合、マトリックス化部 130は、ルールデータの順番を、 Rl l, R12, R13, R21, R22と定めてマトリックス空間データを生成する。 [0109] ルール集合 R100のルールの条件部分に示される属性が 5種類で、ルール集合 R 200のルールの条件部分に示される属性力種類である場合、ルール集合 R100にあってルール集合 R200にはない属性がルール集合 R200のルールの条件部に示されているものとして、マトリックス化部 130はマトリックス空間データを作成する。この場合、ルール集合 R200に追加する属性の範囲は、その属性のとり得る全範囲とする。このように、複数のルール集合において属性の種類が異なる場合、マトリックス化部 130は、あるルール集合にはないが他のルール集合にはある属性を、そのルール集合に追加する。

[0110] 以下の説明において、マトリックスデータに追記されるルールのリストのうち、同じルール集合に属するルールの組をルールセットと呼ぶ。

[0111] 図 20は、通過テスト部 151における処理の一例を示している。第 2の実施形態における通過テスト部 150による処理と同じ処理に関しては、図 15におけるものと同一の参照符号を付して、その詳細な説明を省略する。本実施の形態では、第 2の実施の形態におけるステップ S303 (図 15)の代わりに、ステップ S309 (図 20)の処理を行う。また第 2の実施形態におけるステップ S305 (図 15)の代わりに、ステップ S310 (図 20)の処理を行う。

[0112] 通過テスト部 151は、第 2の実施形態の場合と同様に、ステップ S301において、テストパケットの領域が複数のマトリックスにまたがっているか否かを判定し、 1つのマトリッタスの領域内に収まる場合には、ステップ S302に移行して、テストパケットを含むマトリックス Fを特定する。ステップ S302の次のステップ S309では、通過テスト部 151 は、マトリックス Fのアクションを特定し、そのアクションが示す内容を、出力装置 930 力も出力する。ただし、マトリックス Fのアクションを特定する処理力第 2の実施形態におけるステップ S303 (図 15参照）とは異なる。本実施の形態では、通過テスト部 15 1は、以下のようにマトリックス Fのアクションを特定する。

[0113] まず、通過テスト部 151は、マトリックス Fのマトリックスデータを参照してそのマトリツタスデータにおける先頭ルールを特定する。この先頭ルールは、 1番目のルールセットにおける先頭ルールでもある。通過テスト部 151は、この先頭ルールのルールデータにおけるアクションを参照し、アクションが A、すなわち「通過を許可する」である場合には、次のルールセットにおける先頭ルールをマトリックスデータに追記されたリストの中から特定する。通過テスト部 151は、この先頭ルールのルールデータにおけるアクションを参照し、アクションが Aである場合には、さらに次のルールセットにおける先頭ルールをマトリックスデータに追記されたリストの中力特定する。このような動作を繰り返し、ルールデータにおけるアクションが D、すなわち「通過を許可しない」となるものがあった場合には、通過テスト部 151は、マトリックス Fのアクションが Dであると定める。一方、最後のルールセットにおける先頭ルールをマトリックスデータに追記されたリストの中力特定し、そのルールのルールデータにおけるアクションが Aであつた場合には、通過テスト部 151は、マトリックス Fのアクションが Aであると定める。

[0114] 例えば、マトリックス Fのマトリックスデータに追記されているルールが（Rl l、 R13、 R21、 R22)であり、 Rl lのアクションが A (「通過を許可する」）である場合は、通過テスト部 151は、ルールデータ中の次のルールセットの先頭ルールのアクションを出力する。この例では、 R21のアクションが出力される。ルール集合が 3個以上あった場合は、 2個目以降のルールセットの先頭ルールが「通過を許可する」である限り、通過テスト部 151は、次のルールセットの先頭ルールを探し、アクションが D (「通過を許可しない」）である場合はそこで終了して、そのアクションを出力する。全てのルールセットの先頭ルールが「通過を許可する」の場合は、通過テスト部 151は、「通過を許可する」を出力する。ここでは、先頭ルール R11のアクションが Aであるものとして説明した力 R11のアクションが Dである場合には、通過テスト部 151は、そのまま「通過を許可しない」旨を出力する。

[0115] ステップ S301においてテストパケットが複数のマトリックスにまたがっていると判定した場合にはステップ S304に移行し、通過テスト部 151は、テストパケットを含む複数のマトリックスを列挙する。このマトリックスの集合を集合 Gとする。

[0116] 次のステップ S310では、通過テスト部 151は、集合 Gに含まれる各マトリックスごとにアクションを特定し、集合 Gに含まれるマトリックスをアクションごとに分類する。そして、通過テスト部 150は、同一のアクションによって分類されたマトリックスを統合し、統合された領域とテストパケットの領域との重なり領域を求める。ただし、集合 Gに含まれる各マトリックスごとにアクションを特定する場合には、ステップ S309と同様に、各マトリックスのアクションを特定する。すなわち、集合 Gに含まれるあるマトリックスのアクションを特定する場合には、通過テスト部 151は、以下のように処理を行う。

[0117] まず、通過テスト部 151は、マトリックスのマトリックスデータを参照してそのマトリックスデータにおける先頭ルールを特定する。この先頭ルールは、 1番目のルールセットにおける先頭ルールでもある。通過テスト部 151は、この先頭ルールのルールデータにおけるアクションを参照し、アクションが Aである場合には、次のルールセットにおける先頭ルールをマトリックスデータに追記されたリストの中力も特定する。通過テスト部 151は、この先頭ルールのルールデータにおけるアクションを参照し、アクションが A である場合には、さらに次のルールセットにおける先頭ルールをマトリックスデータに追記されたリストの中力特定する。このような動作を繰り返し、ルールデータにおけるアクションが D、すなわち「通過を許可しない」となるものがあった場合には、通過テスト部 151は、マトリックス Fのアクションが Dであると定める。一方、最後のルールセットにおける先頭ルールをマトリックスデータに追記されたリストの中力特定し、そのルールのルールデータにおけるアクションが Aであった場合には、通過テスト部 151は、マトリックス Fのアクションが Aであると定める。

[0118] 次のステップ S306では、通過テスト部 151は、求めた重なり領域をアクションごとに出力装置 930から出力する

なお、図 20に示す通過テスト部 151の処理手順は、単なる一例である。同様の結果を得るために他の処理手順を採用することも可能である。

[0119] 次に、具体例を用いて、第 3の実施形態のフィルタリングルール分析システムの動作を説明する。ここでは、図 21に示すようなネットワーク構成におけるルータ 820及びファイアウォール 830が、ルータ 820及びファイアウォール 830全体としてどのようなパケットを通過させ、どのようなパケットを通過させないのかをテストするものとする。図 21に示すネットワーク構成では、例えばインターネットなどの外部ネットワーク 810 、ルータ 820、ファイアウォール 830、 PC (パーソナルコンピュータ） 840力この順に接続されている。外部ネットワーク 810から PC840に送られるパケットは、ルータ 820 を通過し、さらにファイアウォール 830を通過しないと、 PC840に到達しない。ルータ 820には、図 22に示すルール集合 R100 (ルール R11〜R13)が設定されているものとする。同様に、ファイアウォール 830には、図 22〖こ示すルール集合 R200 (ルール R21, R22)が設定されているものとする。ただし図 22では、各ルールを、ネットヮーク機器に依存しない形式で記述している。図 22では、各ルール集合ごとに、各ル一ルを模式的に 2次元空間として図示している。なお、図 22は、後述するテストパケット T3の領域も示して!/、る。

[0120] 図 22に示す各ルール集合 RIOO, R200が入力装置 920から入力され、ルール記憶部 110に記憶されているものとする。なお、入力装置 920には、例えば、ルータ 82 0やファイアウォール 830からルールを収集し、そのルールを独自の形式の記述のルールに変換するルール変換システム（不図示）が出力したルールが入力されてヽてもよい。

[0121] マトリックス化部 130は、ルール記憶部 110によって記憶されている各ルール集合 R100, R200からマトリックス空間データを作成し、生成したマトリックス空間記憶データをマトリックス空間記憶部 120に記憶させる。このとき、マトリックス化部 130は、ルールの順番を Rl l, R12, R13, R21, R22と定めてマトリックス空間データを作成する。従って、マトリックスデータに追記されるルールのリストにおいて、最初に R100に属するルールが先に記述され、その後に R200に属するルールが記述される。このようにルールのリストが追記されたマトリックスデータの例を図 23に示す。なお、作成されたマトリックス空間データに基づいてルールの模式図を表わすとすると、図 22に示す 2つの模式図を重ねた模式図となる。

[0122] 続いて、通過テスト部 151は、テスト入力装置 940を介してテストパケット T3を入力したとする。テストパケット T3は、 T3= (4、 6、 4、 5、後略)であるものとする。本例において、テストパケット Τ3の領域は、複数のマトリックスにまたがらない。従って、ステップ S301 (図 20参照）の判定の後、処理はステップ S302に移行する。本例では、通過テスト部 151は、ステップ S302において、テストパケットを含むマトリックスが MT01 (図 23参照）であると特定する。すなわち、通過テスト部 151は、 MT01をマトリックス Fとする。

[0123] 続いてステップ S309において、通過テスト部 151は、マトリックス F (MT01)のマトリックスデータにおける先頭ルールを特定する。この先頭ルールは R12であり（図 23の MT01を参照）、通過テスト部 151は、 R12のルールデータにおけるアクションを参照する。このアクションは A (「通過を許可する」）なので、通過テスト部 151は、マトリックス F (MT01)のマトリックスデータにおける次のルールセットの先頭ルールを探す。この先頭ルールは R22である（図 23の MT01を参照）。通過テスト部 151は、 R22のルールデータにおけるアクションを参照する。このアクションは D (「通過を許可しな！、」 ) である。よって、通過テスト部 151は、マトリックス Fのアクションが Dすなわち「通過を許可しない」であると定め、「通過を許可しない」旨を出力装置に出力する。このとき、どのルール集合に基づくパケットフィルタリングで通過を許可され、どのルール集合に基づくパケットフィルタリングで通過を許可されな力つたかかについても出力してよい。本例では、最初のルールセットの先頭ルールのアクションは Aであり、次のルールセットの先頭アクションが Dであったので、最初のルール集合 R100に基づくバケツトフィルタリングでは通過を許可され、 2番目のルール集合 R200に基づくパケットフィルタリングでは通過が許可されな、ことを出力してもよ、。

[0124] この結果、テストパケット T3は、 PC440までは到達しないことがわかる。 1つ目のルール集合である R100のパケットフィルタリング機器であるルータ 820では、テストパケット T3は通過を許可されるが、 2つ目のルール集合である R200のパケットフィルタリング機器であるファイアウォール 830では、通過を許可されな、ことが分かる。

[0125] 入力されたテストパケットが、例えば、（3、 4、 2、 3、後略)であるとする。この場合も処理はステップ S301 (図 20参照）の後、ステップ S 302に移行する。本例では、通過テスト部 151は、テストパケットを含むマトリックスが MT02 (図 23参照）であると特定する。すなわち、通過テスト部 151は、 MT02をマトリックス Fとする。この後のステップ S309において、通過テスト部 151は、マトリックス F (MT02)のマトリックスデータにおける先頭ルールを特定する。図 23に示すように、この先頭ルールは R11であり、通過テスト部 151は、 R11のルールデータにおけるアクションを参照する。このァクションは Dであるので、通過テスト部 151は、そこでアクションを特定する処理を終了して、「通過を許可しない」旨を出力する。

[0126] 入力されたテストパケットが、例えば、（4、 7、 1、 2、後略)であるとする。この場合も、処理はステップ S 302に移行し、この例では、通過テスト部 151は、テストパケットを含むマトリックスが MT03 (図 23参照）であると特定する。すなわち、 MT03をマトリツタス Fとする。この後のステップ S309において、通過テスト部 151は、マトリックス F (M T03)のマトリックスデータにおける先頭ルールを特定する。図 23に示すようにこの先頭ルールは R12であり、 R12のアクションは Aである。そのため、通過テスト部 151は、次のルールセットにおける先頭ルールを探す。この先頭ルールは R21であり、 R21 のアクションも Aである。次のルールセットは存在しないので、通過テスト部 151は、この時点でアクションを特定する処理を終了して、「通過を許可する」旨を出力する。

[0127] 通過テスト部 151による処理結果 (テスト結果)の出力態様は、特に限定されるものではなぐ例えば、表示出力や音声出力であってもよいし、あるいはファイルとして出力してもよい。また、ルール分析システム 100と通信ネットワークを介して接続される別システムに出力装置 930を設け、その別システムにおいてテスト結果を出力してもよい。この場合、ルール分析システム 100と通信ネットワークを介して接続される別システムの利用者にテスト結果を知らせることができる。出力装置 930がディスプレイ装置であり、テスト結果を表示出力する場合の分析結果の表示例を図 24に示す。なお、ステップ S309, S306では、出力すべきテスト結果を一時記憶装置 (不図示）に記録しておいて、その後、一時記憶装置に記録されたテスト結果を出力装置 930が出力してちょい。

[0128] 以上の説明は、図 20に示すフローチャートのステップ S301の後に、ステップ S302 に移行する場合のものである。次に、ステップ S301からステップ S310に移行して、マトリックスの統合を行う場合の具体例を示す。テストパケットとして T4= (l, 4, 1, 4 ,後略)を入力したとする。図 22と同様に Τ4を模式的に表わすと、図 25Αに示すようになる。テストパケット Τ4を入力した場合、 Τ4の領域は、複数のマトリックスにまたがる。従って、図 20に示すステップ S301の判定の後、処理は、ステップ S304に移行する。図 25Βに示すように、テストパケット Τ4は、 9個のマトリックス Μ001〜Μ009にまたがつているとする。この場合、通過テスト部 151は、ステップ S304において、 Μ0 01〜Μ009の各マトリックスを列挙する。そして、このマトリックスの集合が集合 Gとなる。

[0129] ステップ S310では、通過テスト部 151は、集合 Gに含まれる各マトリックスごとにァクシヨンを特定する。本例では、図 25Bに示すように、通過テスト部 151は、ルール集合 R200のノレ一ノレ R22【こ基づ!/ヽて、 MOOl, M002, M004, M007, M008のァクシヨンは Dであると特定し、ノレ一ノレ集合 R100のノレ一ノレ 11に基づ!/ヽて、 M005, M006 のアクションは Dであると特定し、ルール集合 R200のルール R21に基づいて、 MOO 3, M009のアクションは Aであると特定する。通過テスト部 151は、同一のアクションによって分類されたマトリックスを統合する。本例では、 MOOl, M002, M004〜M 006, M007, M008が統合されることになるが、これらのマトリックスの領域は図 25B に示すように矩形とはならず、凸形となる。この場合、各属性の開始点及び終了点のペアを列挙することによって統合された領域を表わすことはできない。そこで、同一ァクシヨンのマトリックスを統合する際には、まず、統合すべき領域内における最大矩形領域を特定し、その領域を各属性の開始点及び終了点のペアを列挙することによつて表わす。本例では、 MOOl, M002, M004, M005, M007, M008によって最大矩形領域が得られる。よって、この最大矩形領域を各属性の開始点及び終了点のペアを列挙することによって表わす。この領域は、（1, 3, 1, 4,後略）と表わされる。また、統合すべき領域内における残りの領域に関しても、最大矩形領域と特定し、その領域を各属性の開始点及び終了点のペアで表わすことを繰り返す。本例では、残りの領域は M006であり、この M006の領域を各属性の開始点及び終了点のペアで表わせばよい。この領域は、（3, 4, 2, 3,後略）と表わされる。よって、アクション Dのマトリックスの統合結果は、 (1, 3, 1, 4,後略)及び（3, 4, 2, 3,後略）となる。

[0130] アクション Aのマトリックス M003と M009は離れて存在しているので、通過テスト部 151は、離れて存在している領域、ここではマトリックスごとに、各属性の開始点及び終了点のペアで領域を表わせばょ、。

[0131] そして、通過テスト部 151は、ステップ S306において、各アクションの各領域ごとに、テストパケットとの重なり領域を求め、求めた重なり領域をアクションとともに出力する。

[0132] 第 3の実施形態のフィルタリングルール分析システムの利点について説明する。第 3の実施形態のフィルタリングルール分析システムによれば、複数のパケットフィルタリング機器によってフィルタリングを行うような環境で、どのような複雑なフィルタリングルールであっても、また、属性数が多いフィルタリングルールであっても、複数のパケットフィルタリング機器全体でどのようなパケットが通過するかどうかを把握することができる。その理由は、複数のルール集合力マトリックス空間データを作成し、そのマトリックス空間データに基づいてテストパケットが通過する力しないかをテストするためである。

[0133] 第 4の実施形態：

次に本発明の第 4の実施形態のフィルタリングルール分析システムを説明する。第 4の実施形態のフィルタリングルール分析システムを示す図 26においては、第 1の実施形態におけるものと同様の構成要素については、図 1におけるものと同一の参照符号を付し、重複する説明を省略する。第 2の実施形態のフィルタリングルール分析システムは、図 1に示すものと同様のものであるが、ルール分析システム 100において重なり分析部の代わりに同一性分析部 160が設けられて、る点で、図 1に示したものと異なっている。第 4の実施形態のフィルタリング分析ツールでは、マトリクス化部の動作は第 1の実施形態の場合と異なるので、マトリクス化部に対して第 1の実施形態の場合と異なる参照符号を付与するものとする。

[0134] この実施形態では、ルール記憶部 110に複数のルール集合が記憶されて、るものとする。マトリックス化部 131は、その複数のルール集合の数だけマトリックス空間データを作成する。すなわち、マトリックス化部 131は、各ルール集合ごとに、それぞれマトリックス空間データを作成するとともに、各ルール集合に対応する各マトリックス空間データを作成する際に、各ルール集合カゝら得られる全ての境界点を用いてマトリツタスデータを作成する。

[0135] 同一性分析部 160は、各ルール集合に基づくパケットフィルタリング動作が同一の動作になる力否かについて分析する。同一性分析部 160は、例えば、プログラムに従って動作する CPUによって実現される。このプログラムは、例えば、ルール分析システム 100が備えるプログラム記憶装置 (不図示）に記憶される。

[0136] 次に、本実施形態のフィルタリングルール分析システムの動作について説明する。

既に述べたようにこの実施形態では、ルール記憶部 110に複数のルール集合が記憶されるが、入力装置 920は、複数のルール集合をルール分析システム 100に入力し、各ルール集合をそれぞれルール記憶部 110に記憶させればょ、。

[0137] 図 27は、マトリックス化部 131によるマトリックス空間データ作成処理の例を示している。図 27に示すステップ S101〜S104の処理は、第 1の実施形態におけるステツプ S101〜S104 (図 2参照）の処理と同様である。ただし、第 1の実施形態では、ステップ S103において、 1つのルール集合に含まれる全てのルールの条件部分から、ステツプ S102で選択した属性に関する開始点及び終了点を収集して、た。この第 4の実施形態では、マトリックス化部 131は、ステップ S 103において、ルール記憶部 110 に記憶されて、る全ルール集合に含まれる全てのルールの条件部分から、ステップ S102で選択した属性に関する開始点と終了点を収集する。そして、マトリックス化部 131は、ステップ S104において、全ルール集合に含まれる全てのルールから収集した境界点（開始点及び終了点)をソートする。なお、境界点の中に重複する境界点、すなわち同じ値を持つ境界点がある場合、同じ値を持つ境界点のうち一つだけを残し、同じ値を持つ他の境界点については削除する点に関しては、第 4の実施形態は、第 1の実施形態と同様である。

[0138] ステップ S101において、属性が残っていないと判定された場合、処理は、ステップ S111に移行する。ステップ S 111では、マトリックス化部 131は、ルール記憶部 110 に記憶されて、る各ルール集合ごとにマトリックスデータを作成する。一つのルール集合に対応するマトリックスデータを作成する処理は、第 1の実施形態におけるステツプ S105 (図 2参照）と同様である。ただし、第 4の実施形態では、マトリックスデータ作成の際に、ステップ S104でソートした境界点を用いる。なお、図 27に示すステップ S 111では、「2組作る」と記載して!/、るが、ルール記憶部 110に記憶されて!、るルール集合の数が 3つ以上であっても、各ルール集合ごとにマトリックスデータを作成する。

[0139] 続いて、マトリックス化部 131は、ステップ S 112, 113において、各ルール集合ごとにマトリックス空間データを作成する。図 27に示した例では、 2組目のルール集合についてマトリックス空間データを作成した後に処理を終了している力ルール記憶部 110に記憶されているルール集合の数が 3つ以上である場合も、上述したように、各ルール集合ごとにマトリックスデータが作成される。なお、ステップ S112, 113に示した 1つのルール集合に対応するマトリックス空間データを作成する処理では、第 1の実施形態と同様に、ステップ S106〜S108 (図 2参照）の処理を繰り返し実行すればよい。

[0140] 各ルール集合と 1対 1に対応するマトリックス空間データが複数組作成された場合、各マトリックス空間データに含まれるルールデータの数が異なることはある力 S、各マトリックス空間データに含まれるマトリックスデータの数は共通である。この理由は、全てのルール集合から境界点（属性の開始点及び終了点）を収集してその境界点をソートし、いずれのマトリックスデータもこのソート結果により得られる境界点を用いて作成している力もである。

[0141] 同一性分析部 160は、ルール記憶部 110に記録されている複数のルール集合が同じ意味を持つルール集合であるかどうかを検査する。換言すれば、同一性分析部 160は、各ルール集合に基づくパケットフィルタリング動作が同一の動作になるか否かについて分析する。

[0142] 図 28は、同一性分析部 160による処理の例を示している。各ルール集合ごとに対応するマトリックス空間データが存在するので、マトリックス空間データは複数組存在することになる。ここでは、 2つのルール集合とそれぞれ 1対 1に対応する 2組のマトリックス空間データが存在する場合を例にして説明する。この 2組のマトリックス空間データに含まれるルールデータ数が異なっていても、マトリックスデータの数は同数である。以下の説明では、 1組目のマトリックス空間データにおけるマトリックスを基準に説明する。

[0143] 同一性分析部 160は、基準とする 1組目のマトリックス空間データにおける全てのマトリックスデータを順次選択しながら、ステップ S401〜S403に示すループ処理を行う。まず、同一性分析部 160は、ステップ S401において、基準とするマトリックス空間データにおいて未選択のマトリックスデータが残っている力否かを判定する。マトリツタスデータ全てについてチェックが済んでいる場合、すなわち全てのマトリックスデータが選択済みである場合には、処理はステップ S404に移行し、未選択のマトリックスデータが残っている場合には、同一性分析部 160は、ステップ S402において、基準とするマトリックス空間データにおける未選択のマトリックスデータを 1つ選択する。

[0144] 次に、同一性分析部 160は、選択した 1組目のマトリックスデータに対応するマトリクスデータを 2組目のマトリックス空間データの中力選択する。すなわち、同一性分析部 160は、各属性においてペアとなる境界点力選択した 1組目のマトリックスデータと共通のマトリックスデータを、 2組目のマトリックス空間データの中力も選択する。同一性分析部 160は、ステップ S403において、選択した 2つのマトリックスデータにおける先頭ルールのアクションを調べ、アクションが異なっているならば、ノッファ（不図示）に記録する。このとき同一性分析部 160は、先頭ルールのアクションが異なって V、る 2つのマトリックスデータを特定できる情報をバッファに記録すればょ、。例えば、各マトリックス空間データにおける 13番目のマトリックスデータを M013として識別して!、て、 2つのマトリックス空間データからそれぞれ選択した M013の先頭ルールのアクションが異なっている場合には、同一性分析部 160は、ノッファに「M013」と記録すればよい。あるいは、選択した各マトリックスデータの最後尾に、先頭ルールのァクシヨンを追記したものをバッファに記録してもよい。例えば、「1組目 M013= (14, 15, 0, 1, 中略， D)、 2組目 M013= (14, 15, 0, 1, 中略， A)」等の形式でバッファに記録してもよい。なお、 2つのマトリックスデータの先頭ルールのアクションが共通であれば、同一性分析部 160は、ノッファに対する記録は行わない。

[0145] ステップ S403の後、処理はステップ S401に移行する。基準とするマトリックス空間データにおいて未選択のマトリックスデータが残っているならば、ステップ S402以降の処理が繰り返される。

[0146] ステップ S401において「いいえ」の側に分岐した場合、すなわち基準とするマトリツタス空間データにおいて未選択のマトリックスデータが残っていない場合には、同一性分析部 160は、ステップ S404において、ノッファにマトリックスの情報が記録されているかどうかを判定する。ここでマトリックスの情報が記録されていなければ、同一性分析部 160は、ステップ S406において、ルール記憶部 110に記録されている 2組のルール集合が同じ意味を持つルール集合であることを、出力装置 930から出力する。ステップ S404においてマトリックスの情報が記録されている場合には、同一性分析部 160は、ステップ S405において、 2組のルール集合の持つ意味に差異があること、すなわち、 2組のルール集合それぞれに基づくパケットフィルタリング動作が異なることを、出力装置 930から出力する。このとき、同一性分析部 160は、バッファに記録され、かつ先頭ルールのアクションが異なっているマトリックスの情報も、出力装置

930から出力する。さらに、異なっているアクションをそれぞれ表示するようにしてもよい。

[0147] なお、図 27に示すマトリックス化部 131の処理手順は、単なる一例である。同様の結果を得るために他の処理手順を採用することも可能である。図 28に示す同一性分析部 160の処理手順も、単なる一例である。同様の結果を得るために他の手順を採用することも可能である。上記の例では、ルール集合が 2組の場合の動作の説明を行ったが、 2組以上の任意の数のルール集合が存在する場合の動作も同様である。

[0148] 次に、具体例を用いて、第 4の実施形態のフィルタリングルール分析システムの動作を説明する。ここでは、図 21に示すようなネットワーク構成に含まれるルータ 820とファイアウォール 830のパケットフィルタリング動作の同一性、または、図 29に示すような外部ネットワーク 810と PC860, 880との間に設けられる 2つのファイアウォール 8 50, 870のパケットフィルタリング動作の同一性を分析する場合を例にして説明する。なお、このとき、図 21に示すノレータ 820、ファイアウォーノレ 830には、それぞれ図 30 に示すルール集合 R300 (ルール R31〜R33)、ルール集合 R400 (ルール R41〜R 45)がフィルタリングルールとして設定されているものとする。図 29に示す各ファイアク才ーノレ 850, 870【こ ίま、それぞれ図 30【こ示すノレ一ノレ集合 R300 (ノレ一ノレ R31〜： R3 3)、ルール集合 R400 (ルール R41〜R45)が設定されているものとする。図 30では、図 22と同様にルールを記述し、ルールの模式図も図示している。

[0149] 図 30に示す各ルール集合 R300, R400が入力装置 920から入力され、ルール記憶部 110に記憶されているものとする。なお、入力装置 920には、例えば、図 21に示すルータ 820やファイアウォール 830からルールを収集し、あるいは、図 29に示すフアイァウォール 850, 870カゝらルールを収集し、それらのルールを独自の形式の記述のルールに変換するルール変換システム（不図示）が出力したルールが入力されればよい。

[0150] 図 21に示すネットワーク構成の場合、ルータ 820とファイアウォール 830〖こ全く同じ処理を行うフィルタリングルールを設定することで、多重に防御し、セキュリティを頑健にしているものとする。このような構成は多段防御と呼ばれている。一方、図 29のネットワーク構成の場合、全く同じ環境を複数用意することで、 PCの負荷を分散させているものとする。このような構成は多重化と呼ばれる。いずれの場合にも、フィルタリング処理では同じ処理をしなければならない。本例では、このようなフィルタリング処理の同一性を検査する。

[0151] 図 29に例示する構成では、ファイアウォール 850とファイアウォール 870として同一機種 (あるいは同一ソフトウェア）のファイアウォールが用いられて、た場合は、ルールも同じものが使える。この場合には、ルール文字列の照合で同一性を検証できる。しかし、同一機種（あるいは同一ソフトウェア）のファイアウォールであっても、ルールを作成した人やルールの作成時期によって、ルール構成が異なる場合がある。ある 1 つのルールであっても、複数の書き方がある上、複数のルールで 1つのルールと同じ意味を持たせることもあり、ルール文字列の照合だけでは同一性が簡単には検証できない。本実施形態のフィルタリングルール分析システムは、このような場合の同一性の検証を行う。

[0152] マトリックス化部 131がルール集合 R300及び R400に対応するマトリックス空間データを 2組作り、マトリックス空間記憶部 120に記録するまでの処理は、第 1の実施形態とほぼ同様である。第 4の実施形態が第 1の実施形態と異なる点は、ステップ S10 7において、 2組のルール集合 R300, R440に含まれる全てのルールから開始点及び終了点 (境界点）を収集し、ステップ S104において、その境界点をソートして、マトリックス空間データを作る点である。第 1の実施形態では、 1つのルール集合からしか境界点を収集していない。

[0153] 図 30に例示する 2組のルール集合 R300, R400からマトリックス空間データを作成した場合、 1組目のマトリックス空間データは、 3個のルールデータ（R31〜R33)と、 30個のマトリックスデータを含む。 2組目のマトリックス空間データは、 5個のルールデータ (R41〜R45)と、 30個のマトリックスデータを含む。 1次元目（第 1属性）における境界点は（0、 1、 2、 4、 7、 8)であり、隣接する 2つ境界点で出来る極小領域は 5個である。 2次元目（第 2属性)における境界点は（0、 1、 2、 3、 4、 5、 7)であり、隣接する 2つ境界点で出来る極小領域は 6個である。そのため、マトリックスデータの数は、 5 X 6 = 30となる。なお、ここでは説明を簡単にするため、第 3属性以降については無視している。

[0154] マトリックス化部 131が 2組のマトリックス空間データをマトリックス空間記憶部 120に記録した後、同一性分析部 160は、その 2組のマトリックス空間データを用いて分析を行う。図 30に示す 2組のルール集合力も作成した各マトリックス空間データは、それぞれ 30個のマトリックスデータを含んでいる。そのため、図 28に示すフローチヤ一 1 ^こおヽて、同一'性分析咅 160ίま、ステップ S401〜S403のノレープを 30回繰り返す。以下、 1組目のルール集合 R300に対応するマトリックス空間データを基準とする場合を例に挙げて説明する。

[0155] 同一性分析部 160は、ステップ S401において、基準とするマトリックス空間データにおいて未選択のマトリックスデータが残っている力否かを判定する。最初にステツプ S401に移行した場合、 30個のマトリックスデータが残っているため、ステップ S40 1では「はい」側に分岐して、同一性分析部 160は、ステップ S402において、そのマトリックスデータのうちの 1つを選択する。同一性分析部 160は、例えば、先頭のマトリックスデータ（0、 1、 0、 1、中略、 R33)を選択する。続!/、てステップ S403【こお!/、て、同一性分析部 160は、そのマトリックスデータに対応するデータを、 2組目のマトリックス空間データ力選択する。ここでマトリックスデータに対応するデータとは、各属性においてペアとなる境界点力選択した 1組目のマトリックスデータと共通であるマトリックスデータのことである。ここで選択されるマトリックスデータは、この場合は 2組目における先頭のマトリックスデータとなり、（0、 1、 0、 1、中略、 R45)である。同一性分析部 160は、選択したマトリックスデータにおける先頭ルールのルールデータを参照して、先頭ルールのアクションを調べる。ここでは、同一性分析部 160は、先頭ルール R33と R45のルールデータを参照して、アクションを調べる。先頭ルール R33と R45 のルールデータにおいて、アクションはいずれも Dであるから、同一性分析部 160は、先頭のマトリックスに関しては、ノッファに記録しない。アクションが異なっている場合には、同一性分析部 160は、先頭ルールのアクションが異なっている 2つのマトリツタスデータを特定できる情報をバッファに記録する。同一性分析部 160は、この処理を、基準とするマトリックス空間データにおける全てのマトリックスデータを順に選択して行う。 [0156] その後、ステップ S404において、同一性分析部 160は、バッファにマトリックスの情報が記録されているかどうかを判定する。図 30に例示するルール集合に基づいて作成した 2組のマトリックス空間データを用いて、ステップ S401〜S403の処理を繰り返した場合、ノッファには何も記録されない。そのため、処理はステップ S406に移行し、同一性分析部 160は、 2組のルール集合 R300, R400が同じ意味を持つルール集合であることを、出力装置 930から出力する。

[0157] 同一性分析部 160による処理結果すなわち同一性分析結果の出力態様は、特に限定されるものではなぐ例えば表示出力や音声出力であってもよいし、あるいはファィルとして出力してもよい。また、ルール分析システム 100と通信ネットワークを介して接続される別システムに出力装置 930を設け、その別システムにおいて同一性分析結果を出力してもよい。この場合、ルール分析システム 100と通信ネットワークを介して接続される別システムの利用者に同一性分析結果を知らせることができる。出力装置 930がディスプレイ装置であり、同一性分析結果を表示出力する場合の分析結果の表示例を図 31に示す。

[0158] なお、ステップ S405, S406では、出力すべき同一性分析結果を一時記憶装置（不図示）に記録しておいて、その後、一時記憶装置に記録された同一性分析結果を出力装置 930が出力してもよい。

[0159] 上記の具体例は、 2組のルール集合が同じ意味を持つルール集合であることを出力する場合に関するものである。そこで以下に、 2組のルール集合が異なる意味を持つルール集合であることを出力する場合の例を示す。図 32に示すルール集合 R800 (R81〜R83)及びルール集合 R900 (R91〜R95)がルール記憶部 110に記憶され、この 2組のルール集合 R800, R900に基づいてマトリックス化部 131が作成したマトリックス空間データがマトリックス空間記憶部 120に記憶されているものとする。なお、図 32では、図 30と同様にルールを記述し、ルールの模式図も図示している。ここではルール集合 R800に対応するマトリックス空間データを基準としているとする。

[0160] 同一性分析部 160は、ルール集合 R800に対応するマトリックス空間データ力も順次マトリックスデータを選択し、ステップ S401〜S403の処理を繰り返す。同一性分析部 160は、ステップ S402においてルール集合 R800のマトリックス空間データから (2, 3, 1, 2, 中略， R82, R83)というマトリックスデータを選択した場合、次のステツプ S403では、ルール集合 R900のマトリックス空間データ力も（2, 3, 1, 2, 中略， R 95)というマトリックスデータを選択する。同一性分析部 160は、選択したマトリックスデータにおける先頭ルールのルールデータを参照して、先頭ルールのアクションを調べる。ここでは、先頭ルール R82と R95のルールデータを参照して、アクションを調ベる。先頭ルール R92のルールデータではアクションは Aであり、 R95のルールデータではアクションは Dである。従ってアクションが異なるので、同一性分析部 160は、このマトリックスの情報やアクションの情報を、例えば「1組目（2, 3, 1, 2,中略、 A)、 2 組目（2, 3, 1, 2, 中略、 D)」等の形式でバッファに記録する。

[0161] 各マトリックスデータについて、ステップ S401〜S403に示したループ処理が完了して、処理がステップ S404に移行した場合、ノッファは上記のように記録されている。この場合、同一性分析部 160は、ステップ S405において、例えば、ルール集合 R8 00, R900に基づくフィルタリング動作が異なること、バッファに記録していたマトリックスの情報、どちらのルール集合でアクションが Aとなり、どちらのルール集合でァクションが Dとなっているか等を、出力装置 930から出力する。この出力結果の例を、図 33 に示す。

[0162] 次に、第 4の実施形態のフィルタリングルール分析システムの利点について説明する。第 4の実施形態のフィルタリングルール分析システムによれば、複数のパケットフィルタリング機器がどのような複雑なフィルタリングルールで設定されて、ても、それらのフィルタリング機器が全く同一のフィルタリング処理を行うかどうかを知ることができる。その理由は、それぞれのルール集合で実現するフィルタリング処理をルールとは無関係にマトリックス単位で比較して同じアクションかどうかをチェックするからである

[0163] 第 5の実施形態：

次に本発明の第 5の実施形態のフィルタリングルール分析システムを説明する。第 5の実施形態のフィルタリングルール分析システムを示す図 34においては、第 1の実施形態におけるものと同様の構成要素については、図 1におけるものと同一の参照符号を付し、重複する説明を省略する。第 5の実施形態のフィルタリングルール分析システムは、図 1に示すものと同様のものであるが、ルール分析システム 100において重なり分析部の代わりにルール削除部 170が設けられて、る点で、図 1に示したものと異なっている。ルール削除部 170は、マトリックス空間データを参照して、ルール記憶部 110に記憶されて、るルール集合内のルールのうち、削除可能と判定されるルールを削除する。ルール削除部 170は、ルールの条件部分に記述されている属性の範囲が冗長に記述されて、ると判定した場合に、そのルールの記述を修正する。ルール削除部 170は、例えば、プログラムに従って動作する CPUによって実現される。なお、プログラムは、例えば、ルール分析システム 100が備えるプログラム記憶装置 (不図示）に記憶される。

[0164] 次に、本実施形態のフィルタリングルール分析システムの動作について説明する。

なお、第 1の実施形態と同様の動作については、その詳細な説明を省略する。マトリックス空間記憶部 120にマトリックス空間データが記憶されるまでの入力装置 920、マトリックス化部 130の動作は、第 1の実施形態の場合と同様である。

[0165] マトリックス化部 130がマトリックス空間データをマトリックス空間記憶部 120に記憶させた後、ルール削除部 170は、上記のルール削除処理及びルールの修正処理を実行する。図 35〜図 37は、ルール削除部 170によるルール削除やルール修正の処理手順の例を示している。

[0166] ルール削除部 170は、まず、ステップ S501において、ルール記憶部 110に記憶されているルール集合をバッファ（不図示）にコピーし、次に、バッファにコピーしたルール集合中のルールのうち、デフォルトルール以外の全てのルールに対してステップ S 502〜S506のループ処理を進める。このループ処理においてルール削除部 170は、ステップ S502において、バッファにコピーされたルール集合中のデフォルトルール以外のルールのうち、未選択のルールが残っているか否かを判定する。そのようなルールが残っているならば、ルール肖 IJ除部 170は、ステップ S503において、デフォルトルール以外のルールであって未選択のルールを降順に、すなわちルールの優先順位が低いものから順に、 1つ選択する。ステップ S 503で選択されるルールを Iとする。次に、ルール削除部 170は、ステップ S504において、ルール Iを構成するマトリックスに対応するマトリックスデータのうち、先頭ルールがルール Iとなっていないマトリックスデータを列挙する。ステップ S 504で列挙されるマトリックスデータの集合を Jとする。続いて、ルール肖 IJ除部 170は、ステップ S505において、マトリックスデータの集合 Jと、ルール Iを構成するマトリックスに対応するマトリックスデータの集合とがー致して!/ヽるか否かを判定する。この 2つの集合が一致しているならば、処理はステップ S506に移行する。ここで、マトリックスデータの集合 Jと、ルール Iを構成するマトリックスに対応するマトリックスデータの集合とがー致して、ると、うことは、ルール Iを構成するマトリッタスのマトリックスデータ全てにおいて先頭ルールがルール I以外であり、第 1の実施の形態で説明した「Concealed」と同じぐルール Iが別の優先度の高い 1つ以上のルールによって完全に隠されていることを意味している。ステップ S506に移行した場合、ルール削除部 170は、他のルールによって完全に隠されることになる Conceal edな状態のルール Iを削除する。一方、ステップ S505において 2つのルール集合が一致していなければ、ルール Iを削除することなぐ処理はステップ S502に移行する。このステップ S502〜S506のループ処理によって、バッファにコピーされたルール集合内から Concealedなルールが削除される。

[0167] ステップ S502において、処理が「いいえ」側に分岐した場合、すなわちデフォルトルール以外のルールのうち、未選択のルールが残っていないと判定した場合、ルール削除部 170は、ステップ S507において、ノッファに記憶されているルール集合内の各ルールに付けられたチェックをリセットする。ここでチェックとは、選択済みを表わす情報のことである。ステップ S502以降のルール処理を行い、デフォルトルール以外の全ルールを選択すると、その各ルールにチェックが付けられた状態になるので、ステップ S507では、そのチェックがリセット、すなわち全て取り去されることになる。

[0168] 次に、ルール肖 IJ除部 170は、バッファから削除されなかったルールのうち、デフオルトルール以外の全てのルールに対して、ステップ S508から始まり再びステップ S508 に戻るループ処理（図 36参照）を進める。ルール削除部 170は、まず、ステップ S50 8において、バッファに記憶されているルール集合中のデフォルトルール以外のルールのうち、未選択のルールが残っているか否かを判定する。そのようなルールが残つているならば、ルール削除部 170は、ステップ S509において、デフォルトルール以外のルールであって未選択のルールを降順に、すなわちルールの優先順位が低!ヽものから順に、 1つ選択する。ステップ S509で選択されるルールを Kとする。次に、ルール削除部 170は、ステップ S510において、以下の 3つの条件を満足するルールを列挙する。第 1の条件は、「ルール力ルール Kを構成するマトリックスに完全に含まれるルールであって、ルール Kより優先順位の高!、ルールであること」 t 、う条件である。ここで、「ルール力ルール Kを構成するマトリックスに完全に含まれるルールである」とは、換言すると、「ルールに対応する各マトリックスデータ全体が示す属性が示す範囲が、ルール Kに対応する各マトリックスデータ全体が示す属性の範囲に収まつている」という状態を意味する。第 2の条件は、「ルールに対応する各マトリックスデータ全てにぉ、て、そのルール自身が先頭ルールになって!/、ること」 t\、う条件である。第 3の条件は、「ルールのアクションがルール Kのアクションと同一であること」という条件である。ルール削除部 170は、第 1から第 3の条件を全て満足するルールを列挙する。ステップ S510で列挙されたルールの集合を Lとする。

続いて、ルール削除部 170は、ルール集合 Lに含まれる全てのルールに対してステツプ S511〜S514のループ処理を進める。このループ処理においてルール削除部 170は、まず、ステップ S511において、ルール集合 Lに含まれるルールのうち未選択のルールが残っているか否かを判定する。未選択のルールが残っていれば、ルール削除部 170は、ステップ S512〖こおいて、ルール集合 L中の未選択のルールを 1 つ選択する。ステップ S 512で選択されるルールを Mとする。続いて、ルール削除部 1 70は、優先順位がルール Kとルール Mとの間のルールであって、条件部分に記述された属性の示す範囲がルール Mの条件部分に記述された属性が示す範囲と一部でも重複するルールを検索する。そして、そのようなルールがあった場合、ルール削除咅 170ίま、ステップ S513【こお!/ヽて、ノレ一ノレ Μを構成する各マトリックス【こお!/ヽて、ノレール Μよりも優先順位が 1っ低、ルールのアクションと、ルール Μのアクションとがー致しているカゝ否かを判定する。換言すると、ルール Μを構成する各マトリックスの全マトリックスデータのルールリストにぉ、て、ルール Μの次のルールのアクションとルール Μのアクションとがー致しているか否かが判定される。なお、ルール Μよりも優先順位が 1つ低いルールは、マトリックスによって異なる場合がある。ステップ S513で、一致していると判定した場合には、ルール削除部 170は、ステップ S514において、ノッファに記録されて、るルールの中からルール Mを削除する。ステップ S 513にお!/ヽて一致して!/ヽなヽと判定された場合には、処理はそのままステップ S511に移行するここで、 2次元空間に模式的に表わしたルールを用いて、ステップ S513の判定例を説明する。図 38は、ステップ S513における判定例を示す模式的説明図である。図 38では、アクションが Aのルールを白色領域で示し、アクションが Dのルールについては、多数の点を描画した模様を付した領域で示している。図 38に示す例 1では、優先順位がルール Kとルール Mとの間のルールであって、条件部分に記述された属性の示す範囲がルール Mの条件部分に記述された属性が示す範囲と一部でも重複するルールとして、 Rl, R2が存在することを示している。このとき、ルール Mを構成する各マトリックスにおいて、ルール Mよりも優先順位が 1つ低いルールは、 R1である。ルール Mのアクションは Aであり、ルール R1のアクションは Dである。従って、ルール削除部 170は、アクションが一致しないと判定してステップ S513では「いいえ」の側に分岐し、ルール Mを削除せずにステップ S511に移行する。図 38に示す例 2では、優先順位がルール Kとルール Mとの間のルールであって、条件部分に記述された属性の示す範囲がルール Mの条件部分に記述された属性が示す範囲と一部でも重複するルールとして、 Rl, R2が存在することを示している。このとき、ルール Mを構成する各マトリックスにおいて、ルール Mよりも優先順位が 1つ低いルールは、 R1 である。ルール Mのアクションは Aであり、ルール R1のアクションも Aである。従って、ルール削除部 170は、アクションが一致すると判定してステップ S513では「はい」の側に分岐し、ステップ S514において、ルール Mを削除する。図 38に示す例 3では、優先順位がルール Kとルール Mとの間のルールであって、条件部分に記述された属性の示す範囲がルール Mの条件部分に記述された属性が示す範囲と一部でも重複するルールとして、 R1〜R3が存在することを示している。このとき、ルール Mを構成する各マトリックスにおいて、ルール Mよりも優先順位が 1つ低いルールは、 R1または R2である。ルール Mのアクションは Aであり、ルール Rl, R2のアクションも Aである。従って、ルール削除部 170は、アクションが一致すると判定してステップステップ S5 13では「はい」の側に分岐し、ステップ S 514において、ルール Mを削除する。図 38 に示す例 4では、優先順位がルール Kとルール Mとの間のルールであって、条件部分に記述された属性の示す範囲がルール Mの条件部分に記述された属性が示す範囲と一部でも重複するルールとして、 R1〜R3が存在することを示している。このとき、ルール Mを構成する各マトリックスにおいて、ルール Mよりも優先順位が 1つ低いルールは、 R1または R2である。ルール Mのアクションは Aであり、 R2のアクションは D である。従って、ルール Aを構成する一部のマトリックスでは、アクションが一致しない。よって、ルール削除部 170は、ルール Mを削除せずにステップ S511に移行する。

[0171] ルール集合 Lの全ルールについてステップ S511以降のループ処理が終了したならば、ステップ S511で「いいえ」の側に分岐し、処理はステップ S 508に移行する。このステップ S508から始まりステップ S508に戻るループ処理によって、自身より優先順位の低いルールの存在により不要と判断されるルールが、バッファ内から削除されることになる。

[0172] ステップ S508において、バッファに記憶されているルール集合中のデフォルトルール以外のルールのうち、未選択のルールが残っていないと判定した場合、処理はステツプ S515に移行する。ステップ S515では、ルール肖 IJ除部 170は、バッファに記憶されて!/、るルール集合内の各ルールに付けられたチェックをリセットする。この処理は、ステップ S507と同様のものである。

[0173] 次に、ルール肖 IJ除部 170は、バッファから削除されなかったルールのうち、デフオルトルール以外の全てのルールに対して、ステップ S516から始まり再びステップ S516 に戻るループ処理（図 37参照）を進める。このループ処理においてルール削除部 17 0は、まず、ステップ S516において、バッファに記憶されているルール集合中のデフオルトルール以外のルールのうち、未選択のルールが残って、るか否かを判定する。そのようなルールが残っているならば、ルール削除部 170は、ステップ S517において、デフォルトルール以外のルールであって未選択のルールを降順に、すなわちルールの優先順位が低いものから順に、 1つ選択する。ステップ S517で選択されるルールを Nとする。次に、ルール肖 IJ除部 170は、ステップ S518において、ルール Nを構成するマトリックスのマトリックスデータにおいて、ルール N以外のルールが先頭ルールとなって、るものがあるか否かを判定する。そのようなマトリックスデータがなければ、処理はステップ S516に移行する。ステップ S518においてそのようなマトリックスデータが存在すれば、ルール削除部 170は、そのマトリックスデータを列挙して、ステップ S519に移行する。

[0174] ステップ S519では、ルール Nを構成するマトリックスのマトリックスデータであって、ルール N以外のルールが先頭ルールとなっているマトリックスデータが表わす領域をある次元 O)について縮小できるか否力、すなわちルール Nをある次元 Oについて縮小できる力否かを調べる。縮小できない場合には、処理はステップ S516に移行し、縮小できる場合には、処理はステップ S520に移行する。

[0175] ここで、縮小について説明する。次元 Oは、ルールの条件部分に記述されるいずれかの属性を意味する。ルール Nを次元 Oについて縮小するとは、次元 Oが示す属性の範囲を狭めることにより、ルール Nの条件部分の属性を変更することである。以下に、具体例を示す。図 39は、縮小の具体例を示す説明図である。図 39では、ルール Rl, R2を模式的に示している。例 390Aに示すように、 R1方力 2よりも優先順位が高いものとする。ルール R1の条件部分が示す第 1属性の範囲は「7〜10」であり、第 2属性の範囲は「2〜7」である。同様に、ルール R2の条件部分が示す第 1属性の範囲は「1〜8」であり、第 2属性の範囲は「3〜6」である。この場合、グラフ 390Bにおいて斜線部で示した属性の範囲に当てはまるパケットに対しては、ルール R1が先に適用され、ルール R2に関しては適用されることがない。そこで、ルール R2の第 1属性の範囲を「1〜8」から、「1〜7」に狭めるように修正することで、例 390Cに示すように、ルール R2中の適用されることがない不要な領域をなくすことができる。このような属性の範囲の修正が、「縮小」に該当する。本例では、第 1属性が次元 Oに該当し、第 1属性についてルール R2を縮小していることになる。このような縮小を行っても、ルール R 1, R2全体としての意味は変わらない。すなわちパケットフィルタリングの動作は変わらない。

[0176] 図 39では、 2次元空間で表わした模式図を用いて説明したが、属性の数が 3っ以上であっても、同様に縮小処理を行える。図 40も縮小の具体例を示す説明図である。図 40では、第 1属性力も第 3属性までの各属性の範囲によって表わされるマトリックスを模式的に示している。図 40において（a)〖こ示す 2つのルール R72, R71があったとする。ここでは、 R71の優先順位の方力 ¾72よりも高いものとする。そして、（b)に示すように、各ルール R71, R72の条件部分の属性が示す範囲は一部において重なつているものとする。（c)では、ルール R72の条件部分の属性が示す範囲のうち、ルール R1の条件部分の属性が示す範囲と重なる範囲に、多数の点を描画した模様を付して R72を示している。この模様を付した領域は、ルール R71と重複し、ルール R71 の方が優先順位が高いため、この領域に当てはまるパケットに対しては、ルール R72 が適用されることはない。よって、ルール R71の条件部分が示す属性のうち、第 1属性すなわち図 40に示す X軸に対応する属性の範囲を狭めることにより、 R72を縮小することができる。

[0177] なお、図 39、図 40では、それぞれ、 2次元空間、 3次元空間における模式図を用いて説明した。属性の種類が、ソースアドレス、ソースポート、デスティネーションァドレス、デスティネーションポート、プロトコルの 5種類である場合、ルールの条件部分の属性が示す範囲は、 5次元空間の範囲となる。以下、説明を簡単にするため、 2次元空間や 3次元空間における範囲で説明する。

[0178] 次に、縮小可能な場合と縮小不可能な場合とを比較して説明する。あるルールの条件部分が示す属性の範囲のうち、他のルールの属性の範囲との重複領域を除いた領域が、矩形状態になっていれば、そのルールは縮小可能である。ここで、矩形状態とは、各属性の範囲が、開始点及び終了点のペアによって表わされる状態を意味する。すなわち、矩形状態とは、各属性の範囲が、（Al, A2, Bl, B2, CI, C2, D 1, D2, El, E2, · · ·)のように表わすことができる状態を意味する。図 41Aは縮小可能な状態を示し、図 41Bは縮小不可能な場合を示している。図 41Aに示すルール R 52は、その領域の一部（7、 9、 3、 10、後略)を R51により隠されており、この部分を除いた領域（1、 7、 3、 10、後略）は矩形状態になっている。すなわち、 (1, 7, 3, 10 )という開始点及び終了点のペアによって表わすことができる。この場合、領域（1、 7 、 3、 10、後略）における第 2属性の範囲は、元々のルールで指定されていた第 2属性の範囲 3〜： L0と一致して、る。なお第 3属性以降にぉ、ても一致して、るものとする。この場合、第 1属性についてルール R52を縮小することが可能であり、具体的には R52の領域を（1、 7、 3、 10、後略）に縮小することが可能である。ここでは、第 1属性の範囲を 1〜9から 1〜7に修正している。図 41Bに示すルール R62は、その領域の一部（7、 9、 3、 8、後略）が R61により隠されている力この部分を除いた R62の領域は矩形状態になっていない。すなわち、（Al, A2, Bl, B2,…；)という開始点及び終了点のペアによって表わすことができない。図 41Bに示す例では、ルール R62を縮小することができない。

[0179] 図 40で示したルール R71, R72の重複領域力図 42に示す領域 250であるとする。図 42において、白色領域で示したマトリックスのマトリックスデータにおける先頭ルールは R72である。一方、模様を付した領域によって示したマトリックスのマトリックスデータにおける先頭ルールは R71である。ルール 72の条件部分が示す属性の範囲のうち、他のルールの属性の範囲との重複領域 250を除いた領域は、矩形状態になつていない。すなわち、 (Al, A2, Bl, B2, ···)という開始点及び終了点のペアによつて表わすことができない。よって、図 42に示す例では、ルール R72を縮小することができない。一方、図 40において（c)で示した例では、ルール 72の条件部分が示す属性の範囲のうち、他のルールの属性の範囲との重複領域は矩形状態となっている。すなわち、（Al, A2, Bl, B2, ···)という形式で属性の範囲を表わすことができる。よって、図 40の（c)に示す例では、 R72を縮小可能である。

[0180] あるルールの条件部分が示す属性の範囲のうち、他のルールの属性の範囲との重複領域を除いた領域を残り領域と呼ぶことにする。この残り領域が矩形状態である場合、各軸の無限大方向及び無限小方向から残り領域を見た場合、全て矩形状態となる。図 43は、残り領域が矩形状態である場合に、各軸の無限大方向及び無限小方向から残り領域を見た状況を示す説明図である。図 43に示す例では、残り領域が（1 , 3, 1, 4, 1, 4)と表わされる。図 43に示すように、いずれの方向から見ても、矩形状態になっている。例えば、 Y軸及び Z軸 (あるいは、 X軸及び Y軸、 X軸及び Z軸）に対応する 2つの属性の範囲が開始点及び終了点のペアで表わせる状態になっている。図 44は、残り領域が矩形状態でない場合に、各軸の無限大方向及び無限小方向から残り領域を見た状況を示す説明図である。図 44に示す例では、残り領域が開始点及び終了点のペアの並びによつて表わすことができず、例えば（1, 3, 1, 4, 1, 4)、 (3, 4, 1, 2, 1, 4)及び（3, 4, 2, 4, 1, 2)という領域の組み合わせでなければ表わすことができない。この場合、図 44に示すように、 X軸、 Y軸、 Z軸それぞれの無限大方向から残り領域を見た場合、矩形状態とはならない。

[0181] ステップ S519において、ルール Nをある次元 Oについて縮小できるか否かを調べる場合、例えば、以下のように調べればよい。ルール削除部 170は、ルール Nを構成するマトリックスのマトリックスデータであって、ルール N以外のルールが先頭ルールとなっているマトリックスデータが表わす領域すなわち重複領域において、次元 Oに対応する属性以外の全属性が元々ルール Nで指定されて、た属性の範囲と一致している範囲が存在するかを調べればよい。そのような領域が存在するならば、その領域をなくすように次元 Oに対応する属性の範囲を狭め、ルールを縮小することができる。

[0182] なお、フィルタリングルールは、全ての属性 (次元）につ、て開始点と終了点の組み合わせで条件を記述するため、縮小後のルールの条件部分にぉ、ても各属性は開始点と終了点の組み合わせで記述されなければならない。このとき、縮小後のルールの条件部分に含まれる属性の中から任意の 2つの属性を取り出した場合、その 2 つの属性は矩形状態になっている。言い換えれば、その 2つの属性に対応する軸、例えば前述の X軸、 Y軸等が互いに直交するという仮定のもとでは、取り出された 2つの属性は矩形をなすことになる。

[0183] ステップ S520において、ルール肖 ij除部 170は、ルール Nにおける属性の範囲を狭めるようにそのルール Nを修正すなわち縮小する。そして、ルール削除部 170は、元々バッファに記憶されていたルール Nと、修正したルールとを入れ替える。図 45は、ルール削除部 170が、ルールを縮小できるかどうかを判定し、ルールを縮小する場合を 2次元空間で模式的に示した説明図である。図 45では、ルールの重複部分を斜線で示している。ルール削除部 170は、ルール Nにおける他のルールとの重複部分 (図 45に示す斜線部分)を判定する。この重複分には、 X軸に対応する属性以外の全属性、ここでは Y軸に対応する属性力元々ルール Nで指定されていた属性の範囲と一致している部分が含まれる。すなわち、図 45に示す右側 2列分のマトリックスにおいて、 Y軸に対応する範囲は、元々ルール Nで指定されていた範囲と一致する。従って、ルール削除部 170は、縮小可能と判定し、図 45に示す右側 2列分のマトリツタスをなくすように、 X軸に対応する属性の範囲を狭めて、ルール Nを修正する。 [0184] 図 46は、ルール削除部 170力ルールを縮小できるかどうかを判定し、ルールを縮小する場合を 3次元空間で模式的に示した説明図である。図 46では、多数の点を描画した模様を付すことによってルールの重複部分を表わしている。まず、図 46の上段に模式的に示したルールについて説明する。ルール削除部 170は、このルールにおける他のルールとの重複部分を判定する。この重複部分では、 X軸に対応する属性以外の全属性、ここでは Y軸、 Z軸に対応する各属性が、元々ルール Nで指定されていた属性の範囲と一致している。従って、ルール削除部 170は、縮小可能と判定する。そして、図 46の上段において、模様を付して示したマトリックスをなくすように、 X軸に対応する属性の範囲を狭めて、ルール Nを修正する。次に、図 46の下段に模式的に示したルールについて説明する。この場合、重複部分において、 X軸に対応する属性以外の全属性、ここでは Y軸、 Z軸に対応する各属性力元々ルール Nで指定されていた属性の範囲と一致しているような領域は存在しない。従って、ルール削除部 170は、縮小不可能と判定し、ステップ S520の縮小処理を行わずにステップ S516に移行する。

[0185] 図 37に示すステップ S516から始まってステップ S516に戻るループ処理を繰り返すことにより、 Overlappedなルールのうち、縮小可能なルールがバッファにおいて入れ替えられる。

[0186] ステップ S516において、バッファに記憶されているルール集合中のデフォルトルール以外のルールのうち、未選択のルールが残っていないと判定されて、「いいえ」の側に処理が分岐した場合、ルール削除部 170は、ステップ S521において、バッファの内容、具体的にはルールの集合や、削除したルールの情報、縮小したルールの情報を出力装置 930から出力する。

[0187] なお、図 35から図 37に示すルール削除部 170の処理手順は単なる一例であり、同様の結果を得るために他の処理手順を採用することも可能である。ここでは、ルール集合が 1組存在する場合を例に動作の説明を行ったが、第 3の実施形態のように、 2 組以上の任意のルール集合が存在していてもよい。そして、複数の各ルール集合について、ルールの削除や縮小を行ってもよい。

[0188] 次に、具体例を用いて、第 5の実施形態のフィルタリングルール分析システムの動作を説明する。ここでは、ルール集合として、図 47に示す R1〜R9からなるルール集合が入力されてルール記憶部 110に記憶され、このルール集合に基づいてマトリックス空間データが作成され、マトリックス空間記憶部 120に記憶されているものとする。マトリックス空間データをマトリックス空間記憶部 120に記憶するまでの処理は、第 1 の実施形態と同様である。図 48は、図 47に示すルール集合を 2次元空間に模式的に示した説明図である。

[0189] ルール削除部 170の処理について図 47及び図 48に例示したルール集合を用いて説明する。まず、ルール削除部 170は、ステップ S501において、ルール記憶部 11 0に記憶されているルール集合をバッファにコピーし、デフォルトルールである R9 (図 47参照）以外の 8個の各ルールの中に未選択のものがあれば、ステップ S502の後ステップ S503に移行し、未選択のルールを降順に 1つずつ選択する。すなわち、ステツプ S502から始まるループ処理では、ステップ S503に処理が移行する度に、 R8 , R7, · ··, R1の順にルールが 1つずつ選択される。ステップ S503で選択されたルールを Iとする。ルール削除部 170が最初にステップ S 503に移行してルールを選択した場合、ルール 8を選択するので、ルール R8がルール Iとなる。ステップ S504では、ルール削除部 170は、ルール I (R8)を構成するマトリックスに対応するマトリックスデータのうち、先頭ルールがルール R8となっていないマトリックスデータを列挙する。ルール 8を構成する各マトリックスに対応するマトリックスデータでは、いずれも先頭ルールが R6または R7となっている。従って、ルール肖 IJ除部 170は、ステップ S505において「はい」の側に分岐し、ステップ S506において、ルール 1 (ここでは R8)を削除する

[0190] 再びステップ S503に移行してルール削除部 170がルール R7を選択した場合、ルール R7を構成するマトリックスに対応するマトリックスデータには、先頭ルール力 ¾7 になるものが存在する。従って、ルール削除部 170は、ステップ S505では「いいえ」の側に分岐し、ステップ S502〖こ移行する。再びステップ S503に移行してルール R6 を選択した場合も同様である。

[0191] 再びステップ S503に移行してステップ削除部 170がルール R5を選択した場合、ルール R5を構成するマトリックスに対応する全てのマトリックスデータで、先頭ルールが R5以外のルール、具体的には R3になっている。従って、ルール削除部 170は、 R8 選択時と同様にステップ S505で「はい」の側に分岐し、ステップ S506において R5を削除する。以降、ステップ S503で、 R4〜R1を選択した場合には、ルール削除部 17 0は、 R7選択時と同様にステップ S505で「いいえ」の側に分岐し、ステップ S502に移行する。 R1を選択後、再びステップ S502に移行したときには、ルールが残っていないので、処理はステップ S507に移行する。そして、ルール削除部 170は、削除されなかったルールのチェックをリセットする。ここまでの処理において、ルール R8, R5 が削除され、ルール R1〜R4, R6, R7, R9が残っている。このルール集合（R1〜R 4, R6, R7, R9)を模式的に表わすと、図 49に示すようになる。ステップ S507の後、処理はステップ S508に移行する。

[0192] ルール削除部 170は、ステップ S508において、このルール集合に含まれる 7個のルールのうち、デフォルトルール R9以外の 6個のルールの中に未選択のものが残つていれば、ステップ S509に移行する。ステップ S509に移行するごとに、ルール削除咅 170ίま、その 6偶のノレ一ノレを降 jl匿【こ、ここで ίま R7, R6, R4, R3, · ··の jl匿【こ、 1つずつ選択する。ステップ S 509で選択されたルールを Kとする。最初にステップ S509 に移行してルールを選択した場合、ルール削除部 170はルール R7を選択するので、ルール R7がルール Kとなる。次に、ステップ S510において、ルール削除部 170は、「ルール力ルール Kを構成するマトリックスに完全に含まれるルールである」という第 1の条件、「ルールに対応する各マトリックスデータ全てにおいて、そのルール自身が先頭ルールになっていること」という第 2の条件、及び「ルールのアクションがルール Kのアクションと同一であること」という第 3の条件を満足するルールを列挙する。ルール R7がルール Kであるとき、第 1の条件を満たすルールは、 Rl, R2である。このうち、 R2は第 2の条件を満足しない。 R1は、第 2の条件及び第 3の条件も満足する。従つて、この場合、ルール削除部 170は、 R1を選択する。よって、ステップ S510で列挙されたルールの集合 Lには、ルール R1のみが含まれることになる。

[0193] 次に、ルール削除部 170がステップ S511の判定を行った場合、ルール集合 L内にルール R1が選択されずに残っているので、「はい」の側に分岐して、ステップ S512 において、ルール集合 Lからルール R1を 1つ選択する。ステップ S 512で選択されたルールを Mとする。次のステップ S513において、ルール肖 IJ除部 170は、優先順位がルール K (ここでは R7)と、ルール M (ここでは R1)との間のルールであって、条件部分に記述された属性の示す範囲がルール Mの条件部分に記述された属性が示す範囲と一部でも重複するルールを検索する。この場合、 R2が検索される。そして、ルール肖 IJ除部 170は、ルール Mを構成する各マトリックスにおいて、ルール Mよりも優先順位が 1つ低いルールのアクションと、ルール Mのアクションとがー致しているか否かを判定する。ここでは、ルール M (R1)を構成する各マトリックスのうち、一部のマトリツタスでは、ルール Mより優先度が 1つ低いルールは R2であり、残りのマトリックスでは、ルール Mより優先度が 1つい低いルールは R7である（図 49参照）。そして、ルール R2, R7のアクションは、いずれもルール M (R1)のアクションと一致する。従って、ルール削除部 170は、ステップ S513で「はい」の側に分岐し、ステップ S514においてルール R1を削除し、ステップ S511〖こ移行する。ルール集合 L内には未選択のルールが残っていないので、処理は、ステップ S511では「いいえ」の側に分岐し、ステツプ S 508に移行する。

[0194] 次に、ノレ一ノレ削除部 170は、ステップ S509において R6を選択し、 R6をルール Kとする。次に、ステップ S510において、ルール肖 IJ除部 170は、「ルール力ルール Kを構成するマトリックスに完全に含まれるルールである」という第 1の条件、「ルールに対応する各マトリックスデータ全てにぉ、て、そのルール自身が先頭ルールになって！/ヽること」という第 2の条件、及び「ルールのアクションがルール Kのアクションと同一であること」という第 3の条件を満足するルールを列挙する。ルール R6がルール Kである場合、第 1の条件を満たすルールは、 R3, R4である。このうち、 R4は第 2の条件を満足しない。 R3は、第 2の条件及び第 3の条件も満足する。よって、ステップ S510で列挙されたルールの集合 Lには、ルール R3のみが含まれる。

[0195] 次に、ルール削除部 170がステップ S511の判定を行った場合、ルール集合 L内にルール R3が選択されずに残っているので、処理は「はい」の側に分岐し、ステップ S5 12にお!/、てルール集合 Lからルール R3が 1つ選択される。次のステップ S 513において、ルール肖 IJ除部 170は、優先順位がルール K (ここでは R6)とルール M (ここでは R3)との間のルールであって、条件部分に記述された属性の示す範囲がルール Mの条件部分に記述された属性が示す範囲と一部でも重複するルールを検索する。この場合、 R4が検索される。そして、ルール削除部 170は、ルール Mを構成する各マトリックスにおいて、ルール Mよりも優先順位が 1つ低いルールのアクションと、ルール Mのアクションとがー致しているか否かを判定する。ここでは、ルール M (R3)を構成する各マトリックスのうち、一部のマトリックスでは、ルール Mより優先度が 1つ低いルールは R4となる（図 49参照）。そして、ルール R4のアクションはルール R3のァクシヨンと一致しない。従って、ルール削除部 170は、ステップ S513における「いいえ」の側に分岐して、ルール M (R3)を削除せずに、ステップ S511に移行する。ルール集合 L内には未選択のルールが残って!/、な!/、ので、処理はステップ S511の「、え」の側に分岐し、ステップ S 508に移行する。

[0196] 続いてルール削除部 170がステップ S 509においてルール R4を選択して、 R4をルール Kとした場合、「ルール力ルール Kを構成するマトリックスに完全に含まれるルールである」という第 1の条件、「ルールに対応する各マトリックスデータ全てにおいて、そのルール自身が先頭ルールになっていること」という第 2の条件、及び「ルールのアクションがルール Kのアクションと同一であること」という第 3の条件を満足するルールは存在しない。よって、ステップ S510の処理によって得られるルールの集合 Lは空集合である。従って、ステップ S511では、ルール削除部 170は、ルール集合 Lにルールは残って、な、と判定して「、、え」の側に分岐し、再びステップ S508に移行する。以降、ステップ S509で R3, R2が選択された場合の動作は、 R4が選択された場合の動作と同様である。なお、 R1は削除済みであるので、ステップ S509で R1が選択されることはない。

[0197] ルール R2をルール Kとして選択した後、再度ステップ S 508に移行した場合、未選択のルールは残って、な、ので、ルール削除部 170の処理はステップ S515に移行する。ノレ一ノレ肖 IJ除咅 170 ίま、ステップ S515にお!/ヽて、ステップ S 508力ら始まるノレ一プ処理で削除されなかったルールのチェックをリセットする。ステップ S515終了時において、バッファに記憶されているルール集合 (R2〜R4, R6, R7, R9)を模式的に表わすと、図 50に示すようになる。ステップ S515の後、処理はステップ S516に移行する。 [0198] ルール削除部 170は、ステップ S516において、このルール集合に含まれるルールのうち、デフォルトルール R9以外の 5個のルールの中に未選択のものが残っていれば、「はい」の側に分岐して、ステップ S517に移行する。ステップ S517に移行するごとに、ルール肖 IJ除部 170は、その 5個のルールを降順に、ここでは、 R7, R6, R4, R 3, R2の順に 1つずつ選択する。ステップ S 517で選択されたルールを Nとする。最初にステップ S517に移行してルールが選択された場合、ルール R7が選択されるので、ルール R7がルール Nとなる。次に、ルール削除部 170は、ステップ S518において、ルール N (ここでは R7)を構成するマトリックスのマトリックスデータにおいて、ルール N以外のルールが先頭ルールとなって!/、るものがあるか否かを判定する。ルール R7 のマトリックスデータの中には、 Rl, R2, R6を先頭ルールとするものがあるので、処理は、ステップ S518では「はい」の側に分岐し、ステップ S519に移行する。

[0199] ステップ S519では、ルール削除部 170は、ルール Nをある次元（属性）について縮小できるカゝ否かを判定する。例えば、ルール削除部 170は、ルール Nを構成するマトリックスのマトリックスデータであって、ルール N以外のルールが先頭ルールとなっているマトリックスデータが表わす領域すなわち重複領域において、ある次元 Oに対応する属性以外の全属性が元々ルール Nで指定されて、た属性の範囲と一致して!/ヽる範囲が存在するかを調べればよい。そのような範囲があれば、次元 Oについてルール Nを縮小できる。ルール N (R7)を構成するマトリックスのマトリックスデータであつて、ルール N以外のルール R6が先頭ルールとなって!/、るマトリックスデータが表わす領域（7, 8, 3, 11,後略）に着目する。この領域における第 2属性の範囲は、 3〜11 であり、元々 R7において第 2属性の範囲として指定されていた 3〜： L 1と一致する。同様に、第 3属性以降に関しても一致しているものとする。すると、第 1属性以外の全ての属性に関して領域（7, 8, 3, 11,後略）の範囲と、元々 R7において指定されていた範囲は全て一致する。よって、ステップ S519において、ルール削除部 170は、 R7 を第 1属性について縮小可能であると判定し、「はい」の側に分岐してステップ S520 に移行する。ステップ S520では、ルール削除部 170は、上記の領域（7, 8, 3, 11, 後略）をなくすように、ルール R7の第 1属性の範囲を元々の" 1〜8 "から" 1〜7 "に修正する。この結果、ルール R7は、第 1属性について縮小されることになる。その後、処理はステップ S516に移行する。

[0200] 次に、ステップ S 517で R6を選択した場合、ステップ S518の判定では「はい」側に分岐することになる。し力し、ルール R6を構成するマトリックスのマトリックスデータであって、ルール R6以外のルールが先頭ルールとなって!/、るマトリックスデータが表わす領域、すなわち重複領域において、ある属性以外の全属性が元々ルール R6で指定されていた属性の範囲と一致しているような範囲は存在しない。したがって、処理は、ステップ S519において「いいえ」側に分岐し、 R6を縮小せずにステップ S516に移行することになる。次に、ステップ S517で R4が選択された場合の動作は、 R6が選択された時と同様である。

[0201] 次に、ステップ S517においてルール削除部 170が R3を選択した場合、ルール N ( ここでは R3)を構成するマトリックスのマトリックスデータにおいて、ルール N以外のルールが先頭ルールとなっているものはない。したがって、ステップ S518では処理は「いいえ」側に分岐し、 R3を縮小せずにステップ S516に移行する。次に、ステップ S5 17で R2が選択された場合の動作は、 R3が選択された時と同様である。以上の処理が終了した時点におけるルール集合 (R2, R3, R4, R6, R7, R9)を模式的に示すと、図 51に示すようになる。

[0202] R2が選択された後、処理がステップ S516に移行した場合、ルールは残っていないので、ルール削除部 170は、ステップ S516の「いいえ」側に分岐し、ステップ S521 において、バッファに記憶されているルールの集合や、削除したルールの情報、縮小したルールの情報を出力装置 930から出力し、処理を終了する。出力装置 930がデイスプレイ装置であり、バッファに記憶されているルールの集合や、削除したルールの情報、縮小したルールの情報を表示出力する場合の表示例を図 52に示す。

[0203] ルール削除部 170による処理結果、すなわちバッファに残っているルール集合、削除したルールの情報、縮小したルールの情報の出力態様は、特に限定されるものではなぐ表示出力や音声出力であってもよいし、あるいはファイルとして出力してもよい。また、ルール分析システム 100と通信ネットワークを介して接続される別システムに出力装置 930を設け、その別システムにおいてルール削除部 170による処理結果を出力してもよい。この場合、ルール分析システム 100と通信ネットワークを介して接続される別システムの利用者に処理結果を知らせることができる。

[0204] 上記の例では、図 51と図 52に示すようにルール R2は削除されない。本来は、ルール R1が削除されたのと同じ理由で R2も削除されるべきである。図 35〜図 37に示すルール削除部 170の処理手順では R2は削除できない。しかし、ステップ S508から始まりステップ S508に戻るループ処理を、削除可能なルールが存在しなくなるまで繰り返したり、ステップ S516で「いいえ」側に分岐した場合に、再度ステップ S502から処理をやり直し、ルールの削除や修正が行われなくなるまで、ステップ S502以降の処理を繰り返してもよい。このように、ルール削除部 170による処理を繰り返せば、図 51に示す R2のように残ったルールを容易に削除できる。

[0205] 次に、第 5の実施形態のフィルタリングルール分析システムの利点について説明する。第 5の実施形態のフィルタリングルール分析システムによれば、どれほど複雑なフィルタリングルールであっても、不要なルールの削除や冗長なルールの修正ができる。その理由は、ルールをマトリックス空間データに変換して、任意のルールを構成するマトリックスを網羅的に調査することで、別のルールによって完全に隠されたルールを削除したり、別のルールによって一部隠されたルールを修正するからである。

[0206] 第 5の実施形態における上述した縮小方法では、ルールの数は変わらな、。例えば、図 50は縮小前のルールを示し、図 51は縮小後のルールを示している力いずれもルールの数は 6個であり、 R7の縮小前後でルールの数は変わっていない。ルール肖除部 170は、 1つのルールを構成するマトリックスごとにそのルールを分割して、複数のルールを生成し、他のルールに隠されることになるルールを削除することによつて、縮小と同様の結果を得てもよい。図 53は、この場合の例を示す説明図である。ルール R3は、一部の領域を、より優先度の高いルール Rl, R2によって隠されている。 R3と R1との重複領域における各属性の範囲は、元々 R3で指定されていた属性の範囲と一致しない。よって、既に説明した縮小方法では、 R3と R1との重複領域をなくすように R3を縮小することはできない。同様に、 R3と R2との重複領域をなくすように R3を縮小することはできない。そこで、ルール削除部 170は、ルール R3を構成するマトリックスごとにルール R3を分割してもよい。図 53に示す例では、ルール R3は 9個のマトリックスから構成される。よって、ルール削除部 170は、ルール R3から 9個のルールを作成する。この 9個のルールのうち、 1つのルールは R1によって隠され、別の 1つのルールは R2によって隠される。ルール肖除部 170は、分割したルールのうち、他のルールによって隠されるルールを削除すればよい。すると、ルール R3の領域のうちルール Rl, R2との重複領域をなくすようにルール R3を縮小したことになる。ただし、ルール R3を分割して 9個のルールを作成し、そこから 2個のルールを削除しているので、元々 R3であったルールとして 7個のルールが残る。従って、この縮小方法では、ルールの数は増加する。

[0207] 第 6の実施形態：

次に本発明の第 6の実施形態のフィルタリングルール分析システムを説明する。第 6の実施形態のフィルタリングルール分析システムを示す図 54においては、第 1の実施形態におけるものと同様の構成要素については、図 1におけるものと同一の参照符号を付し、重複する説明を省略する。第 6の実施形態のフィルタリングルール分析システムは、図 1に示すものと同様のものであるが、ルール分析システム 100において重なり分析部の代わりに頻度分析部 180とルールイ匕部 190とが設けられている点で、第 1の実施形態のものと異なっている。ルール分析システム 100には、パケット履歴 950も入力されるようになっている。パケット履歴 950は、実際にパケットフィルタリング処理を実行しているネットワークシステム内でパケットフィルタリング処理の対象となったパケット、換言すれば、ネットワークシステム内においてパケットフィルタリング処理を行う機器に実際に到達したパケットについての履歴情報である。ただし、このパケット履歴 950 (パケットの履歴情報）には、実際にパケットフィルタリング処理の対象となった各パケットの属性の情報が含まれていればよぐ各パケットのペイロード部分の情報については含まれていなくてもよい。パケット履歴 950には、実際にパケットフィルタリング処理の対象となった一定量分のパケットの情報が含まれて、ればよヽ

[0208] 頻度分析部 180は、パケット履歴 950が入力され、実際にパケットフィルタリング処理の対象となったパケットの属性を参照する。そして、頻度分析部 180は、生成済みのマトリックスデータに対し、マトリックスデータの属性の範囲に含まれるパケットの数を示すパケットの頻度の情報を付加する。 [0209] ルール化部 190は、頻度の情報が付加されマトリックスデータに基づいて、実際にパケットフィルタリング処理の対象となったパケットに応じたルールを作成する。そして

、そのルールを用いて、新たなルール集合を作成する。

[0210] 頻度分析部 180及びルールイ匕部 190は、例えば、プログラムに従って動作する CP

Uによって実現される。なお、プログラムは、例えば、ルール分析システム 100が備えるプログラム記憶装置 (不図示）に記憶される。

[0211] 次に、第 6の実施形態のフィルタリングルール分析システムの動作について説明する。なお、第 1の実施形態と同様の動作については、その詳細な説明を省略する。マトリックス空間記憶部 120にマトリックス空間データが記憶されるまでの入力装置 920 、マトリックス化部 130の動作は、第 1の実施形態の場合と同様である。

[0212] マトリックス空間記憶部 120にマトリックス空間データが記憶された後、頻度分析部 180は、パケット履歴 950に含まれる各パケットの情報を順に入力される。頻度分析部 180は、パケット履歴 950に含まれる各パケット、具体的には各パケットの属性を 1 つずつ調べ、マトリックスデータに頻度情報を付加する。図 55は、頻度分析部 180による処理の一例を示している。まず、頻度分析部 180は、ステップ S601〖こおいて、マトリックス空間記憶部 120に記録されているマトリックス空間データに含まれる全てのマトリックスデータに対して、頻度情報の初期値を付加する。ここでは、頻度分析部 1 80は、全てのマトリックスデータの最後尾に、頻度情報の初期値として" 0"を追加すればよい。

[0213] 次に、頻度分析部 180は、パケット履歴 950から 1つずつパケットを選択してステツプ S602〜S605の一連の処理を行うことを繰り返し、パケット履歴 950に含まれる全てのパケットに対してこの一連の処理を行う。

[0214] 頻度分析部 180は、ステップ S602において、パケット履歴 950に未選択のパケットが残っている力否かを判定する。パケットが残っている場合、頻度分析部 180は、ステツプ S603において、パケット履歴 950の中力も未選択のパケットを選択する。ステップ S603で選択したパケットを PKとする。頻度分析部 180は、ステップ S604において、パケット PKを含むマトリックス、すなわち属性の範囲内にパケット PKの属性を含むマトリックスデータをマトリックス空間データの中力選択する。ステップ S604で選択したマトリックスデータを MTRとする。そして、頻度分析部 180は、ステップ S605 において、選択したマトリックスデータ MTRの頻度情報に 1を加算し、ステップ S602 に移行する。一方、ステップ S602において、パケットが残っていないと判定した場合、頻度分析部 180は処理を終了する。

[0215] 以上の処理によって、各マトリックスにどれだけのパケットが含まれるの力、換言すると、各マトリックスデータの属性の範囲内に属性が含まれるパケットがどれだけ存在するのかが、頻度情報としてマトリックスデータの最後尾に付加されることになる。

[0216] 頻度分析部 180によってマトリックスデータに頻度情報が付加されると、次にルール化部 190が新たなルール集合を作成する。ルール化部 190による新たなルール集合の作成処理方法として、ここでは 2種類の異なる方法を示す。これらの方法は、図 5 6及び図 57にそれぞれ示されている。ただし、ルール化部 190による処理は、この 2 種類の方法に限定されるものではなぐルール化部 190は、他の方法によってルール集合を作成してもよい。

[0217] 図 56は、ルールイ匕部 190による新たなルール集合作成処理の一例を示している。

この方法では、まず、ノレ一ノレィ匕咅 190は、ステップ S701において、ノレ一ノレ記'隐咅 11 0に記憶されているルール集合を、ノッファ（不図示）にコピーする。ステップ S701でバッファにコピーされたルール集合を Tとする。続いて、ルール化部 190は、ステップ S702において、マトリックス空間記憶部 120に記憶されているマトリックスデータを、頻度情報の値の大きい順にソートし、次に、ステップ S703において、変数 Uの初期値を 1に設定する。変数 Uは、頻度情報の値の大きい順にソートされたマトリックスデータのうち、所定順位までのマトリックスデータを抽出するために用いる変数である。ルール化部 190は、変数 Uの値が予め定められた設定値以下である場合、ステップ S704〜S707のループ処理を繰り返す。この予め定められた設定値は、上記の所定順位を示す値であり、マトリックスデータの総数未満の値として定められる。この設定値は、ルール分析システム 100の利用者またはルール分析システム 100によって予め設定される。

[0218] ステップ S704〜S707のノレープ処理において、ノレ一ノレィ匕部 190は、まずステップ S 704において、変数 Uが予め定められた設定値以下であるか否かを判定する。変数 Uが設定値以下であれば、ルール化部 190は、ステップ S705において、ステップ S7 02でソートしたマトリックスデータの中力 U番目のマトリックスデータを選択し、そのマトリックスデータをルールの形式に変換する。ステップ S705での変換によって得られるルールを Vとする。マトリックスデータは、（領域、ルールリスト、頻度）という形式で記述されている。ルールは、（領域、アクション）という形式で記述される。従って、ステップ S705では、ルール化部 190は、マトリックスデータの領域すなわち各属性の範囲の部分を抽出し、その領域の後に、ルールリストの先頭ルールのアクションを追加することによって、ルール Vを作成すればよい。続いて、ルールイ匕部 190は、ステップ S706において、ルール集合 Tの U番目のルールとしてルール Vを挿入し、挿入前に U番目以降であった各ルールの順位を順次 1つずつ後ろにずらす。次に、ルールイ匕咅 190ίま、ステップ S 707【こお!/、て、変数 U【こ 1を力!]算し、ステップ S704【こ移行する

[0219] ステップ S704において変数 Uが設定を超えている場合、すなわちステップ S704で「いいえ」の側に分岐した場合、処理は、ステップ S708に移行する。ステップ S708では、元のルール集合 Τ、すなわちステップ S701でコピーした状態のルール集合丁に含まれるルールのうち、不要なルールが削除される。ステップ S701でのコピー時から存在するルールの削除条件は、以下の条件である。すなわち、ステップ S701でのコピー時から存在するルール（R— original)は、 R— originalを構成する全マトリックスのマトリックスデータカゝら新たなルールが作成され、その新たに作成された全ルールが R— originaUりも優先順位の高、ルールとして挿入されて、ることを条件に、肖 ij 除される。ルールイ匕部 190は、それぞれルールについてステップ S701でのコピー時力上記の削除条件を満たして、るかを判定し、削除条件を満たして、るルールを削除する。そして、ルールイ匕部 190は、ステップ 709において。ステップ S708で不要なルールが削除されたルール集合 Tを出力装置 930から出力する。

[0220] 図 57は、ルール化部 190による新たなルール集合作成処理の他の例を示している。図 57に示す方法では、マトリックスデータの総数と同数のルールを作成する。図 57 に示す方法では、図 56に示す方法のようなルール集合のコピー (ステップ S701)やルールの削除 (ステップ S708)等の処理は行わない。図 57に示す方法では、まず、ステップ S801において、ルール化部 190は、マトリックス空間記憶部 120に記憶されているマトリックスデータを、頻度情報の値の大きい順にソートする。この処理は、図 5 6のステップ S702と同様である。次に、ノレ一ノレィ匕咅 190は、ステップ S802において、空集合であるルール集合 Wを準備する。次に、ルール化部 190は、ステップ S803 において、ステップ S801におけるソート結果の順に、すなわち頻度情報の値の大きい順に、各マトリックスデータを変換して新たなルールを作成し、そのルールを作成順にルール集合 Wに追加する。ステップ S803において、新たなルールを作成する処理は、図 56のステップ S705においてルール Vを作成する処理と同様である。全てのマトリックスデータに基づ、てルールを作成し、作成した各ルールをルール集合 W に追加した後、ルール化部 190は、ステップ S804において、ルール集合 Wを出力装置 902から出力する。

[0221] なお、図 55に示す頻度分析部 180の処理手順は、単なる一例である。同様の結果を得るために他の処理手順を採用することも可能である。図 56や図 57に示すルール化部 190の処理手順も、単なる一例である。同様の結果を得るために他の処理手順を採用することも可能である。ルール化部 190は、図 56や図 57とは異なる処理手順によって、図 56や図 57に示す処理手順と同様の結果を得てもよい。

[0222] 図 55や図 57に示すノレ一ノレィ匕咅の処理では、ステップ S705やステップ S803 に示すように、マトリックスデータ単位にルール化を行っている。ルール化を行う前に、互いに隣接するマトリックスのマトリックスデータであって、頻度情報の値が近い複数のマトリックスデータを結合して、新たなマトリックスデータを作成し、そのマトリックスデータからルールを作成してもよ、。結合後のマトリックスからルールを作成する処理は、ステップ S 705においてルール Vを作成する処理と同様である。マトリックスデータを結合する場合、例えば、以下の 3つの条件を満たしていることを条件に結合すればよい。第 1の条件は、マトリックス同士が隣接していて、結合によって得られるマトリックスの各属性を境界点のペアによって表わせることである。第 2の条件は、結合しようとする各マトリックスデータの頻度情報の値が近いことである。すなわち、結合しようとする各マトリックスデータの頻度情報の最大値と最小値との差が所定の閾値以下であることである。第 3の条件は、結合しょうとする各マトリックスデータの先頭ルールのアクションが共通であることである。

[0223] 例えば、図 58に示すような 2次元のマトリックスの場合、マトリックス 1, 2は隣接していて、マトリックス 1, 2のマトリックスデータを結合した場合、各属性は境界点のペアによって表わすことができる。この例では、各属性は、 0及び 2というペア、及び 1及び 2というペアで表わすことができる。従って、マトリックス 1, 2に関しては第 1の条件を満たす。マトリックス 1, 2の各マトリックスデータの頻度情報の値の差が所定の閾値以下であれば、第 2の条件も満たす。マトリックス 1, 2のマトリックスデータの先頭ルールのアクションが共通であれば、第 3の条件も満たす。この 3つの条件が全て満たされていれば、ルールイ匕部 190は、マトリックス 1, 2のマトリックスデータを結合し、その結合により得られたマトリックスデータ力もルールを作成してもよい。なお、図 58に示すマトリックス 3は、マトリックス 1, 2や、マトリックス 4と隣接していないので、第 3の条件を満たさない。従って、マトリックス 1, 2や、マトリックス 4と結合することはできない。同様に、図 58に示すマトリックス 4も、マトリックス 1, 2や、マトリックス 3と結合することはできない。

[0224] 本実施形態では、最終的に作成されるルールの数を制限してその範囲でマトリックスデータを結合してルールを作成してもよ、。

[0225] 次に、具体例を用いて、第 6の実施形態のフィルタリングルール分析システムの動作を説明する。ここでは、ルール集合 910 (図 54参照）として、図 59に例示するルール Rl, R2からなるルール集合が入力され、ルール記憶部 110に記憶されているものとする。そのルール集合に基づいてマトリックス空間データが作成され、マトリックス空間記憶部 120に記憶されているものとする。マトリックス空間データをマトリックス空間記憶部 120に記憶するまでの処理は、第 1の実施形態の場合と同様である。なお、図 59では、各ルールの模式図も示している。本例では、頻度分析部 180は、図 60に例示するパケット履歴を入力するものとする。パケット履歴には、実際にパケットフィルタリング処理の対象となったパケットの属性の情報が含まれる。従って、この属性の情報は、各属性の値そのものを示し、例えば第 1属性等の各属性の範囲を示すわけではない。図 60に示す例では、第 1属性、第 2属性の値そのものを示している。本例では、このようなパケットの情報が H1〜H1000までの 1000個あるものとする。 [0226] 図 61は、図 59に示すルール集合に基づいて作成されたマトリックスデータ 2次元平面で表わした模式図である。作成されたマトリックスデータは、図 61に示す Ml〜 M9の 9個のマトリックスに対応する。頻度分析部 180は、作成された 9個のマトリックスデータと、入力するパケット履歴（図 60参照）とを用いて、図 55に示す処理を実行する。その結果得られるマトリックスデータの例を図 62に示す。図 55に示す処理において、頻度分析部 180は、図 62において下線で示すように、各マトリックスデータの最後尾に頻度情報を付加する。

[0227] ルールイ匕部 190は、図 56のステップ S 701において、ルール集合をバッファにコピ一する。そして、ルール化部 190は、図 62の下線部に示す頻度情報に基づいてマトリックスデータをソートし、図 56のステップ S702において、各マトリックスデータに順位を付ける。図 62では、この順位も示している。本例では、ステップ S704の判定で用いる設定値が 2であるものとする。

[0228] 図 63は、バッファにコピーされたルール集合 Tの変化を示している。ステップ S701 でコピーされたときには、ルール集合丁は、図 63に示す状態 R701となっている。

[0229] 最初に処理がステップ S704に移行したときの変数 Uの値は 1である。従って、変数 Uは、設定値 2以下であるので、ステップ S704において処理は「はい」の側に分岐し、ルール化部 190は、ステップ S705において、順位が 1 (変数 Uの値）であるマトリツタスデータ力もルール Vを生成する。順位が 1位であるマトリックスデータ、すなわち頻度情報の値が最も大きいマトリックスデータは、この場合、図 62に示す M4である。このマトリックスデータ M4に基づいてルール Vを作成すると、ルール V= (0、 3、 1、 4、中略、 D)となる。このルール Vは、マトリックスデータ M4力も領域すなわち各属性の範囲）の情報（0, 3, 1, 4, · ··)を抽出し、先頭ルール R2のアクション D (図 59参照）を追カ卩したすることによって作成したものである。次に、ルール化部 190は、ルール V を 1番目のルールとしてルール集合 Tに挿入し、ステップ S706において、挿入前に 1 番目以降であった各ルールを 1つずつ後ろにずらす。このときのルール集合 Tの状態は、図 63に示す状態 R702となる。続いて、ルール化部 190は、ステップ S707において、変数 Uに 1を加算し Uの値を 2とする。

[0230] 次にステップ S 704に移行したとき、変数 Uの値は 2であり、設定値 2以下であるので、処理はステップ S704の「はい」側に分岐し、ルール化部 190は、ステップ S705 にお、て順位が 2 (変数 Uの値）であるマトリックスデータ力もルール Vを生成する。順位が 2位であるマトリックスデータ、すなわち頻度情報の値が 2番目に大きいマトリックスデータは、図 62に示す M7である。このマトリックスデータ M7に基づいてルール V を作成すると、ルール V= (0, 3, 4, 7, 中略， D)となる。ルール化部 190は、ステツプ S706において、このルール Vを 2番目のルールとしてルール集合 Tに挿入し、揷入前に 2番目以降であった各ルールを 1つずつ後ろにずらす。このときのルール集合 Tの状態は、図 63に示す状態 R703となる。ノレ一ノレィ匕咅 190は、ステップ S707において、変数 Uに 1を加算し Uの値を 3とする。

[0231] 次にステップ S 704に移行したとき、変数 Uの値は 3であり、設定値 2を超えているので、処理はステップ S 708に移行する。ステップ S708において、ノレ一ノレィ匕咅 190は、ステップ S701でのコピー時から存在するルール Rl, R2 (図 59参照）を削除するかどうかを判定し、削除すると判定されたルールをルール集合 Tから削除する。 R1を構成する全マトリックスのマトリックスデータ力新たなルールが作成され、その新たに作成された全ルールが R1よりも優先順位の高、ルールとして挿入されて、るわけでないので、 R1は削除されない。同様に、 R2も削除されない。よって、本例では、ステツプ S703ではルールは削除されな!、。

[0232] ここで、マトリックスデータ M5における頻度情報の値が大きぐマトリックスデータ M 5に基づ!/、て作成したデータをルール R1より優先順位の高、ルールとして挿入していたと仮定する。すると、ルール R1を構成する全マトリックスのマトリックスデータ M5 から新たなルールを作成し、そのルールを R1より優先順位の高、ルールとして挿入していることになる。ここでは、全マトリックスは 1つのマトリックスである。この場合、ル一ル化部 190は、ステップ S708において R1を削除すると判定し、 R1を削除する。この場合、マトリックスデータ M5に基づいて作成され挿入されたルールは、元から存在する R1と同一のルールである。この説明では、マトリックスデータ M5の領域と、ルール R1の領域とが同一である場合を示した力ルールを構成するマトリックスが複数ある場合でも、同様に、上記の「ステップ S701でのコピー時から存在するルール R— or iginalを構成する全マトリックスのマトリックスデータ力新たなルールが作成され、その新たに作成された全ルールが R—originaUりも優先順位の高いルールとして揷入されて!、る」と!、う条件を満たして、れば、ルール R_originalを削除する。

[0233] ルール化部 190は、ステップ S708の後、ルール集合 Tを出力装置 930から出力する。本例では、ルール化部 190は、図 63に示す状態 R703のルール集合 Tを出力する。

[0234] 上述した説明では、図 56に示す処理手順にステップ S708の処理を含めているが、ステップ S708の処理の代わりに、第 5の実施形態におけるルール削除部 170が C oncealedなルールを削除する処理と同様の処理を行ってもよい。

[0235] ルール化部 190は、図 56に示す処理ではなく図 57に示す処理を実行する場合、ステップ S801において、図 62に示す各マトリックスデータをソートする。このソート結果における各マトリックスデータの順番は、図 62に示す通りである。ルールイ匕部 190 は、ステップ S803において、 1番目のマトリックスデータ M4から 1番目のルール R1 = (0、 3、 1、 4、中略、 D)を作成し、ルール集合 Wに追加し、同様に、 2番目のマトリックスデータ M7から 2番目のルール R2= (0, 3, 4, 7, 中略， D)を作成し、ルール集合 Wに追加する。以下同様に、ルールイ匕部 190は、 9番目のマトリックスデータから 9番目のルール R9を作成し、ルール集合 Wに追加する。この結果得られるルール集合 Wを図 64に示す。ステップ S804において、ノレ一ノレィ匕咅 190は、図 64に示すノレ一ル集合 Wを出力装置 930から出力する。

[0236] ルールイ匕部 190による処理結果、すなわち作成されたルール集合の出力態様は、特に限定されるものではなぐ表示出力や音声出力であってもよいし、あるいはフアイルとして出力してもよい。また、ルール分析システム 100と通信ネットワークを介して接続される別システムに出力装置 930を設け、その別システムにおいてルール集合を出力してもよい。この場合、ルール分析システム 100と通信ネットワークを介して接続される別システムの利用者にルール集合を知らせることができる。

[0237] 次に、第 6の実施形態のフィルタリングルール分析システムの利点について説明する。第 6の実施形態にフィルタリングルール分析システムよれば、どれほど複雑なフィルタリングルールであっても、フィルタリング処理を高速化することができる。その理由は、ルールをマトリックス空間データに変換して、パケット履歴からそれらのマトリックスの頻度を計算し、頻度順にマトリックスを並び変えることで、パケットフィルタリング処理を行う数多くネットワーク機器に過去において到着しているパケットと同様の属性のパケットを優先順位の高、ルールでマッチさせることができるように、ルール集合を修正したり、各ルールを作成し直したりして、新しいルール集合を作成している力である。

[0238] 第 7の実施形態：

次に本発明の第 7の実施形態のフィルタリングルール分析システムを説明する。このフィルタリングルール分析システムは、図 1に示した第 1の実施形態のフィルタリングルール分析システムと同様の構成である力マトリックス化部 130の動作が異なつている。以下、第 7の実施形態のフィルタリングルール分析システムについて、図 1を参照して説明する。なお、マトリックス化部 130以外の各構成要素については第 1の実施形態の場合と同様であるので、説明を省略する。

[0239] 本実施形態では、マトリックス化部 130は、第 1の実施形態の場合と同様にステップ S101〜ステップ S108の処理を実行する力作成したマトリックス空間データの中から、ルールリストとしてデフォルトルール、より具体的にはデフォルトルールのルール名のみが追加されているマトリックスデータを削除する処理も実行する。このようなマトリックスデータの削除処理を行う点で、第 7の実施形態は第 1の実施形態と異なっている。

[0240] 図 65は、第 7の実施の形態におけるマトリックス化部 130の動作の一例を示している。マトリックスィ匕咅は、ステップ S101〜S108に示すように、ノレ一ノレ記'隐咅に記憶されているルール集合を用いて、マトリックス空間データを作成する。マトリックス空間データを作成するステップ S101〜S108の処理は、第 1の実施形態で説明したステップ S101〜S108 (図 2参照）と同様の処理である。そして、ステップ S106にお、てルールが残って、な、と判定した場合、処理はステップ S 106の「、、え」側に分岐し、マトリックス化部 130は、ステップ S 109において、ルールが残っていないと判定するまでに作成したマトリックスデータの中から、ルールリストとしてデフオルトルールのみが追加されているマトリックスデータを削除する。例えば、マトリックスデータ M001に追加されているルールリストが {Rl、 R7、 R8}であり、マトリックスデータ MO 02に追カロされて!、るルールリストが {R8 }であり、マトリックスデータ M003に追加されているルールリストが {R6、 R8}であるとし、デフォルトルールのルール名が R8であるとすると、ルールリストとしてデフォルトルールのみが追加されて、るマトリックスデータは M002であるので、マトリックス化部 130は、ルールが残っていないと判定するまでに作成したマトリックスデータの中から、マトリックスデータ M002を削除する。ルールリストとしてデフォルトルールのみが追加されているマトリックスデータが他にも存在すれば、マトリックス化部 130はそのマットリックスデータも削除する。

[0241] マトリックス化部 130は、図 65に示すステップ S101〜S109までの処理の結果得られたマトリックス空間データをマトリックス空間記憶部 120に記憶させる。マトリックス化部 130がマトリックス空間データをマトリックス空間記憶部 120に記憶させた後、重なり分析部 140は、マトリックス空間記憶部 120に記憶されたマトリックス空間データを参照し、ルール間の重なりを見つけだし、その結果を出力装置 930を用いて出力する。この重なり分析部 140の処理は、第 1の実施形態の場合と同様であるので説明を省略する。

[0242] 次に具体例を用いて、第 7の実施形態のフィルタリングルール分析システムの動作を説明する。第 1の実施形態で例示した図 5に示すルール集合がルール記憶部 110 に記憶されているものとして説明する。第 1の実施形態で例示したように、図 5に示すルール集合に対してマトリックス化部 130がステップ S101〜S108の処理を実行することにより、図 9に示すルールデータ及び図 10に示すマトリックスデータが生成される。本実施形態におけるマトリックス化部 130は、ステップ S 106でルールが残っていないと判定した場合、ステップ S109において、ルールリストとしてデフォルトルールのみが追加されているマトリックスデータを削除する。

[0243] 図 66は、削除されるマトリックスデータの例を示している。図 66に例示するマトリックスデータの中で、ルールリストとしてデフォルトルール（ここでは R8)のみが追加されているマ卜リックスデータは、 M001, M013, M014, M130等である。マ卜リックスィ匕部 130は、各マトリックスデータのルールリストを参照し、デフォルトルールのみが追カロされているこれらのマトリックスデータを削除する。なお、図 66に示したマトリックスデータは、マトリックスデータ全体の一部であり、削除されるマトリックスデータを全て図 66に示して!/、るわけではな!/、。

[0244] 次に、第 7の実施形態のフィルタリングルール分析システムの利点について説明する。第 7の実施形態のフィルタリングルール分析システムによれば、複雑なフィルタリングルールが多数あるルール集合であっても、各ルール間の関係を把握することができる。その理由は、生成したマトリックスデータ力もルール間の関係を把握することに無関係なデフォルトルールにのみ関係するマトリックスデータを削除するので、多数のルールがルール集合に含まれていてもマトリックスデータの数を少なくすることができる力である。マトリックスデータの数を減少させることができるので、コンピュータのメモリ消費を低減することができる。

[0245] 第 7の実施形態では、第 1の実施形態におけるマトリックス空間データ作成処理にステップ S 109の処理を追加した場合を示した。上述の第 5の実施形態及び第 6の実施形態において、マトリックス化部 130の動作は第 1の実施形態と同様であると説明したが、第 5の実施形態及び第 6の実施形態においても、マトリックス化部 130は、マトリックス空間データ作成処理において図 65に示すようにステップ S 109の処理を実行してもよい。第 2の実施形態においても、マトリックス化部 130は、マトリックス空間データ作成処理に図 65のステップ S 109の処理を追カ卩してもよい。ただしこの場合、通過テスト部 150 (図 14参照）は、ステップ S301 (図 15参照）の処理の前に、テストパケットを含むマトリックスのマトリックスデータが全て削除されずに残っている力、一部だけ削除されて、て一部は残って!/、る力、あるいは全て削除されて、るかを判定する。テストパケットを含むマトリックスのマトリックスデータが全て削除されずに残っていると判定した場合、通過テスト部 150は、そのままステップ S301 (図 15参照）以降の処理を実行すればよい。

[0246] テストパケットを含むマトリックスのマトリックスデータのうち一部だけ削除されていて一部は残っていると判定した場合、通過テスト部 150は、削除されずに残っているマトリックスデータを対象にしてステップ S301 (図 15参照）以降の処理を実行すればよい。そして、通過テスト部 150は、テストパケットのうち、マトリックスデータが残っていな、領域にっ、ては、デフォルトルールのアクションに応じてパケットが通るか通らないかを表示すればよい。例えば、削除されずに残っているマトリックスデータを対象にしてステップ S301以降の処理が実行されて、「（6, 8, 6, 9,後略）の領域ならば通ります。」、「（8, 9, 6, 9,後略)の領域ならば通りません。」という表示が行われたとする。この場合、通過テスト部 150は、テストパケットのうち、マトリックスデータが残っていない領域については、例えば「その他の領域」等と表示して、デフォルトルールのアクションが" A"の場合「その他の領域については通ります。」と表示し、デフオルトルールのアクションが" D"の場合、「その他の領域につ!、ては通りません」と表示すればよい。

[0247] テストパケットを含むマトリックスのマトリックスデータが全て削除されていると判定した場合、通過テスト部 150は、デフォルトルールのアクションが" A"ならば「テストパケットは通ります」等と表示し、デフォルトルールのアクションが" D"ならば「テストパケットは通りません」等と表示すればょ、。

[0248] 第 3の実施形態においても、マトリックス化部 130は、マトリックス空間データ作成処理に図 65に示すステップ S109の処理を追加してもよい。ただし、第 3の実施形態では、図 23に例示するように、ルールリストとして複数のルール集合のルールが追加されるので、第 3の実施形態でのマトリックス空間データ作成処理にステップ S 109の処理を追加する場合、マトリックス化部 130は、マトリックス空間データ作成に用いた複数のルール集合それぞれのデフォルトルールのみがルールリストに追加されているマトリックスデータを削除する。例えば、マトリックス空間データ作成に用いた複数のルール集合が図 22に示すルール集合 RIOO, R200であったとする。ルール集合 R1 00のデフォルトルールは R13であり、ルール集合 R200のデフォルトルールは R22 である。従って、本例の場合、マトリックス化部 130は、ルールリストとして R13及び R2 2のみが追加されたマトリックスデータを削除すればよい。

[0249] 第 3の実施形態で、ステップ S 109の処理を追加した場合、通過テスト部 151 (図 19 参照）は、ステップ S301 (図 20参照）の処理の前に、テストパケットを含むマトリックスのマトリックスデータが全て削除されずに残っている力、一部だけ削除されていて一部は残っている力、あるいは全て削除されているかを判定する。テストパケットを含むマトリックスのマトリックスデータが全て削除されずに残っていると判定した場合、通過テスト部 151は、そのままステップ S301 (図 20参照）以降の処理を実行すればよい。 [0250] 一方、テストパケットを含むマトリックスのマトリックスデータのうち一部だけ削除されていて一部は残っていると判定した場合、通過テスト部 151は、削除されずに残っているマトリックスデータを対象にしてステップ S301 (図 20参照）以降の処理を実行して、そのマトリックスデータの領域に関して、図 24に例示するような表示を行えばよい。そして、テストパケットのうち、マトリックスデータが残っていない領域については、通過テスト部 151は、ルール集合の順番に各ルール集合のデフォルトルールのァクションを参照していく。デフォルトルールのアクションが" A"である場合には、次のデフォルトルールのアクションを参照する。デフォルトルールのアクションが" D"となった場合には、通過テスト部 151は、その時点でデフォルトルールのアクションの参照を停止して、「テストパケット内の他の領域については通りません。」等の表示を行えばよい。最後のルール集合のデフォルトルールを参照した場合、通過テスト部 151は、そのデフォルトルールのアクションが" A"ならば「テストパケット内の他の領域については通ります。」等と表示し、そのデフォルトルールのアクションが" D"ならば「テストパケット内の他の領域にっ、ては通りません。」等と表示すればょ、。

[0251] テストパケットを含むマトリックスのマトリックスデータが全て削除されていると判定した場合、通過テスト部 151は、ルール集合の順番に各ルール集合のデフォルトルールのアクションを参照していく。デフォルトルールのアクションが" A"である場合には、次のデフォルトルールのアクションを参照する。デフォルトルールのアクションが" D" となった場合には、通過テスト部 151は、その時点でデフォルトルールのアクションの参照を停止して、「テストパケットは通りません。」等と表示すればよい。最後のルール集合のデフォルトルールを参照した場合、通過テスト部 151は、そのデフォルトルールのアクションが" A"ならば「テストパケットは通ります。」等と表示し、そのデフォルトルールのアクションが" D"ならば「テストパケットは通りません。」等と表示すればよい。

[0252] 第 4の実施形態においても、マトリックス化部 131は、マトリックス空間データ作成処理に図 65のステップ S109の処理を追加してもよい。第 4の実施形態では、 1つのルール集合に対応するマトリックス空間データを作成する処理、例えば、図 27に示すステツプ S 112, S 113の処理【こお!ヽて、ステップ S106〜S 108のノレープ処理を繰り返す。この 1つのルール集合に対応するマトリックス空間データを作成する処理の最後に、マトリックス化部 131は、図 65に示すステップ S109と同様の処理を実行すればよい。

[0253] 第 4の実施形態においてステップ S109の処理を追カ卩した場合、ステップ S403にぉ、て、選択した 1組目のマトリックスデータに対応するマトリックスデータを 2組目のマトリックス空間データ力も選択できない場合がある。これは、ステップ S 109の処理を追加したことにより、 2組目のマトリックス空間データ力もマトリックスデータの一部が削除されているためである。この場合、同一性判定部 160は、 2組目のマトリックス空間データに対応するルール集合のデフォルトルールのアクションを参照し、選択した 1 組目のマトリックスデータの先頭ルールのアクションと同一かどうかを調べればよい。この 2つのアクションが同一かどうかを判定した後の処理はステップ S403と同様である。基準とするマトリックス空間データにおけるマトリックスデータの一部がステップ S1 09の処理によって削除される場合もある。したがって、ステップ S401においてルールが残っていないと判定したならば、同一性分析部 160は、 2組目のマトリックス空間データのマトリックスデータのうち未だ選択されていないものを基準として、ステップ S 401〜S403の処理を繰り返す。ただし、 2組目のマトリックス空間データのマトリックスデータのうち未だ選択されていないものに対応する 1組目のマトリックス空間データのマトリックスデータは、ステップ S109の処理により削除されていることになるので、ステツプ S403では、 1組目のマトリックス空間データに対応するルール集合のデフオルトルールのアクションを参照し、選択した 2組目のマトリックスデータの先頭ルールのアクションと同一かどうかを調べればよい。

[0254] 第 8の実施形態：

次に本発明の第 8の実施形態のフィルタリングルール分析システムを説明する。第 8の実施形態のフィルタリングルール分析システムを示す図 67においては、第 1の実施形態におけるものと同様の構成要素については、図 1におけるものと同一の参照符号を付し、重複する説明を省略する。第 8の実施形態のフィルタリングルール分析システムは、図 1に示すものと同様のものであるが、ルール分析システム 100において重なり分析部の代わりにルール統合部を備える点で、第 1の実施形態のものと異なつている。 [0255] ルール統合部 200は、マトリックス空間データを参照して、ルール記憶部 110に記憶されて、るルール集合内のルールのうち、統合可能と判定されるルールを統合する。ルール統合部 200は、例えば、プログラムに従って動作する CPUによって実現される。なお、プログラムは、例えば、ルール分析システム 100が備えるプログラム記憶装置 (不図示）に記憶される。

[0256] 次に、第 8の実施形態のフィルタリングルール分析システムの動作について説明する。なお、第 1の実施形態と同様の動作については、その詳細な説明を省略する。マトリックス空間記憶部 120にマトリックス空間データが記憶されるまでの入力装置 920 、マトリックス化部 130の動作は、第 1の実施形態の場合と同様である。

[0257] このフィルタリングルール分析システムでは、マトリックス化部 130がマトリックス空間データをマトリックス空間記憶部 120に記憶させた後、ルール統合部 200は、ルールを統合する処理を実行する。図 68〜図 70は、ルール統合部 200によるルール統合の処理手順の例を示して、る。

[0258] 図 68〖こ示すよう〖こ、ルール統合部 200は、まず、ステップ S910において、統合できる可能性のあるルールの組み合わせ、すなわち統合候補を求め、次に、ステップ S 920において。ステップ S910で統合候補としたルールの組み合わせに対して、統合可能であるか否かを確認する。そして、ルール統合部 200は、ステップ S930において、統合可能であるルールの組み合わせを統合し、ルール集合を修正する。

[0259] 図 69は、ステップ S910の統合候補を求める処理の処理手順の例を示している。統合できる可能性のあるルールの組み合わせ、すなわち統合候補を求めるときに、ルール統合部 200は、ステップ S911において、まずマトリックス空間記憶部 120に記憶されて!/、るルールデータを参照して、所定の条件を満たすルール (ルールデータ）の組み合わせを全て抽出する。ただし、ここで抽出するルールの組み合わせは、いずれも 2つのルールの組み合わせである。この所定の条件とは、デフォルトルールのルールデータを含んで!/、な!/、こと、及び 2つのルールデータのアクションが共通であることである。すなわち、ルール統合部 200は、ステップ S911で、デフォルトルール以外のルールであって、アクションが共通である 2つのルールの組み合わせを全て抽出する。 [0260] 続いて、ルール統合部 200は、ステップ S912において、ステップ S911で抽出した組み合わせのうち、未だステップ S 913で選択されて、な、組み合わせが残って、るか否かを判定する。未選択の組み合わせが残っていると判定された場合、処理はステツプ S913に移行し、未選択の組み合わせが残っていないと判定された場合には、統合候補となる組み合わせを求める処理は終了する。

[0261] ステップ S913〖こおいてルール統合部 200は、未選択の組み合わせのうちの一つの組み合わせを選択する。すなわち、ルール統合部 200は、未選択の組み合わせのうちの一つの組み合わせを構成する 2つのルール（ルールデータ）を選択する。ステップ S 913で選択されるこの 2つのルールをそれぞれ Ra, Rbとする。ルール Ra, Rb は、いずれもデフォルトルールではなぐまた、ルール Ra, Rbのアクションは共通である。

[0262] 次に、ルール統合部 200は、ステップ S914において、ルール Raを構成するマトリツタスの数をカウントする。ルールデータには、マトリックスのリストが最後尾に記録されている。従って、任意のルールを構成するマトリックス数をカウントするには、そのルールデータに記録されているマトリックスのリスト内のマトリックス名の数をカウントすればよい。ルール Raを構成するマトリックスの数、すなわちステップ S914でカウントされるマトリックスの数を Maとする。ルール統合部 200は、ステップ S915において、ステツプ S914と同様に、ルール Rbを構成するマトリックスの数をカウントする。ルール Rbを構成するマトリックスの数、すなわちステップ S915でカウントされるマトリックスの数を Mbとする。

[0263] 次に、ルール統合部 200は、ステップ S916において、ルール Raとルール Rbとによつてできる最小多次元立方体 Qを仮想的に作り、最小多次元立方体 Qを構成するマトリックスの数を求める。ここで、ルール Raとルール Rbとによってできる最小多次元立方体 Qとは、各属性の開始点としてルール Ra, Rbの対応する属性の開始点のうち値の小さい方の開始点を選択し、各属性の終了点としてルール Ra, Rbの対応する属性の終了点のうち値の大きい方の終了点を選択した場合に、各属性ごとに選択した開始点及び終了点によって定められる領域のことである。例えば、第 1属性の開始点としてルール Ra, Rbの第 1属性の開始点のうち値の小さい方の開始点を選択し、第 1属性の終了点としてルール Ra, Rbの第 1属性の終了点のうち値の大きい方の終了点を選択する。第 2属性以降の開始点及び終了点についても同様に選択していく。このように選択された各属性の開始点及び終了点によって定められる領域が、最小多次元立方体となる。なお、ここでは、便宜上「最小多次元立方体」と記すが、最小多次元立方体 Qは、厳密な意味での立方体（3次元空間内に存在する立方体）とは限らない。例えば、ルール Ra, Rbの属性がそれぞれ 2つしかなければ、最小多次元立方体 Qは 2次元の領域となる。例えば、ルール Ra, Rbの属性がそれぞれ 4つ以上存在すれば、最小多次元立方体 Qは 4次元以上の空間の領域となる。

最小多次元立方体 Qを構成するマトリックスとは、最小多次元立方体 Qの領域と重なるマトリックスのことである。最小多次元立方体 Qを構成するマトリックスの数は、マトリックス化部 130が求めた境界点を用いて算出することができる。ルール統合部 200 は、最小多次元立方体 Qの属性の開始点力終了点までの範囲を境界点で分割した結果得られる領域 (範囲)の数を各属性ごとに求め、属性ごとに求めたその数の積を計算することにより、最小多次元立方体 Qを構成するマトリックスの数を求めることができる。以下に、具体例を示す。ここでは、各ルールデータに記述されている属性は 2種類であり、各ルールデータには第 1属性及び第 2属性の開始点及び終了点が記述されているものとする。 X軸（第 1属性に対応）上の境界点が 0, 10, 40, 60, 80 , 100であり、 Y軸（第 2属'性に対応）上の境界^;力 SO, 10, 20, 50, 70, 80, 90, 10 0であるとする。ノレ一ノレ Raのノレ一ノレデータ力（ 10, 60, 20, 90,後略）であり、ノレ一ル Rbのルールデータが（40, 80, 50, 100,後略）であるとする。すると、最小多次元立方体 Qの範囲は、（10, 80, 20, 100)となる。最小多次元立方体 Qの第 1属性の開始点" 10"から終了点" 80"までの範囲を、 X軸上の境界点 10, 40, 60, 80で分割した結果得られる領域の数は、 3個である。具体的には、 10〜40の範囲、 40〜60 の範囲、及び 60〜80の範囲の 3個である。最小多次元立方体 Qの第 2属性の開始点" 20，，力も終了点" 100，，までの範囲を、 Y軸上の境界点 20, 50, 70, 80, 90, 10 0で分割した結果得られる領域の数は、 5個である。具体的には、 20〜50の範囲、 5 0〜70の範囲、 70〜80の範囲、 80〜90の範囲、及び 90〜： L00の範囲の 5個である。従って、本例における最小多次元立方体 Qを構成するマトリックス数は、 3 X 5 = 15 個と求められる。以下、ステップ S916で求めるマトリックス数、すなわち最小多次元立方体 Qを構成するマトリックス数を Mqとする。

[0265] Mqを求めた後、ノレ一ノレ統合部 200は、ステップ S917において、ステップ S914で求めた Maとステップ S915で求めた Mbとの和が、ステップ S916で求めた Mqと等しいか否かを判定する。 Maと Mbとの和が Mqであるならば、すなわち Ma + Mb = Mq が成立するならば、ルール統合部 200は、ステップ S918において、ステップ S913で選択したルール Ra, Rbの組み合わせをバッファ（不図示）に記憶させる。ステップ S9 18の後、ステップ S912以降の処理を繰り返す。ステップ S917において Maと Mbとの和が Mqでないならば、すなわち Ma + Mb = Mqが成立しないならば、ルール統合部 200は、ステップ S918に移行せず、ステップ S912以降の処理を繰り返す。

[0266] ステップ S912にお!/、て、未選択の組み合わせが残ってヽな、と判定した時点にお V、てバッファに記憶されて!、るルールの組み合わせ力統合できる可能性のあるルールの組み合わせ、すなわち統合候補である。バッファには、マトリックス空間記憶部 120に記憶されていたルールデータの組み合わせが統合候補として記憶されることになる。ただしステップ S930 (図 68参照）では、ルール記憶部 110に記憶されているルール集合に含まれるルール同士を統合する。

[0267] 図 70は、図 68においてステップ S920として示した、統合候補としたルールの組み合わせに対して統合可能であるか否かを確認する処理の処理手順の例を示している。ルール統合部 200は、ステップ S910の後、具体的には、ステップ S912で未選択の組み合わせが残って、な、と判定した後、統合候補としたルールの組み合わせに対して統合可能であるか否かを確認する処理を開始する。ルール統合部 200は、まず、ステップ S921において、バッファに記憶されているルールの組み合わせのうち、後述のステップ S922で選択されて、な、組み合わせが残って、るか否かを判定する。未選択の組み合わせがバッファに残っていなければ、処理を終了する。未選択の組み合わせがバッファに残っていれば、ルール統合部 200は、ステップ S922〖こ移行する。

[0268] ステップ S922では、ルール統合部 200は、バッファから未だ選択されて、な！/ヽルールの組み合わせを選択する。ここで選択された組み合わせを構成するルールをルール Ra, Rbとする。ルール統合部 200は、ステップ S922において、ルール Raとルール Rbとによってできる最小多次元立方体 Qの全ての頂点力ルール Raまたはルール Rbに関係する力否かを判定する。ここで、頂点とは、各属性の開始点または終了点の組み合わせにより決定される点である。従って、最小多次元立方体 Qの頂点は、最小多次元立方体 Qを定める各属性の開始点または終了点の組み合わせによつて決定される点であり、例えば、第 1属性の開始点、第 2属性の終了点、第 3属性の開始点、…等の組み合わせによって決定される点等が頂点となる。上記の「頂点が、ルール Raまたはルール Rbに関係する」とは、頂点を含む頂点マトリックスのマトリツタスデータのルールリストにルール Raまたはルール Rbの記述が含まれて!/、ることを意味する。従って、「ルール Raとルール Rbとによってできる最小多次元立方体 Qの全ての頂点力ルール Raまたはルール Rbに関係する」とは、その最小多次元立方体 Qの個々の頂点を含む各頂点マトリックスのマトリックスデータのルールリストにルール Raまたはルール Rbの記述が含まれていることを意味する。すなわち、最小多次元立方体 Qの個々の頂点を含む各頂点マトリックス力ルール Raを構成するマトリツタスまたはルール Rbを構成するマトリックスであると、うことである。最小多次元立方体 Qの頂点マトリックスとは、最小多次元立方体 Qを構成するマトリックスのうち、最小多次元立方体 Qの頂点を含むマトリックスのことである。

最小多次元立方体 Qの全ての頂点力ルール Raまたはルール Rbに関係するか否かを判定する場合には、ルール統合部 200は、最小多次元立方体 Qの全ての頂点マトリックスのマトリックスデータのルールリストにルール Raまたはルール Rbの記述が含まれて、るか否かを判定すればよ!、。最小多次元立方体 Qの全ての頂点マトリックスのマトリックスデータのルールリストにルール Raまたはルール Rbの記述が含まれていれば、 Qの全ての頂点が、ルール Raまたはルール Rbに関係することとなる。いずれかの頂点マトリックスのマトリックスデータのルールリストに、ルール Raとルール Rb のいずれの記述もなければ、関係しないことになる。ルール統合部 200は、最小多次元立方体 Qを構成する各マトリックスの中から、最小多次元立方体 Qの頂点を含むマトリックスを特定することによって、最小多次元立方体 Qの頂点マトリックスを特定すればよい。 [0270] なお、最小多次元立方体 Qの全ての頂点力ルール Raまたはルール Rbに関係する場合には、最小多次元立方体 Qの個々の属性の開始点は、ルール Raの対応する属性の開始点またはルール Rbの対応する属性の開始点の、ずれかになる。最小多次元立方体 Qの個々の属性の終了点は、ルール Raの対応する属性の終了点またはルール Rbの対応する属性の終了点のいずれかになる。

[0271] ステップ S922において、ルール Raとルール Rbとによってできる最小多次元立方体 Qの全ての頂点力ルール Raまたはルール Rbに関係すると判定された場合、処理はステップ S923に移行する。ステップ S923においてルール統合部 200は、ステップ S922で選択したルールの組み合わせをバッファ（不図示）に記録する。このバッファは、ステップ S910、より具体的にはステップ S918において組み合わせを記録するバッファとは異なるバッファである。少なくとも、ステップ S918で組み合わせを記録する記録領域と、ステップ S923で組み合わせを記録する記録領域が異なってヽればよい。以下の説明において、ステップ S923で組み合わせを記録するバッファのことをルール統合用バッファと呼ぶ。ステップ S923の後、処理はステップ S921に移行する。ステップ S922において、ルール Raとルール Rbとによってできる最小多次元立方体 Qの全ての頂点力ルール Raまたはルール Rbに関係しな、と判定した場合には、ステップ S923の組み合わせの記録を行うことなぐ処理はステップ S921に移行する。

[0272] ステップ S921にお!/、て未選択の組み合わせが残ってヽな、と判定した時点において、ルール統合用バッファに記憶されている各組み合わせは、それぞれ、ルール統合可能であると確認された 2つのルールを表わしている。

[0273] ルール統合部 200は、ステップ S920の後、図 70に示すステップ S 921で未選択の組み合わせが残っていないと判定した後、ステップ S930において、ルールの統合が可能であると確認した各組み合わせごとに、ルール記憶部 110に記憶されて、る 2つのルールを統合する。このステップ S930において、ルール統合部 200は、以下の処理を実行すればよい。ルール統合部 200は、ステップ S920後にルール統合用バッファに記憶されて、る各組み合わせを参照し、各組み合わせが示す 2つのルールを、ルール記憶部 110に記憶されているルール集合の中力も特定する。そして、その 2 つのルールの組ごとに、 2つのルールを統合する。以下の説明では、ステップ S920 後にルール統合用バッファに記憶されている各組み合わせが表わしているルールであって、ルール記憶部 110に記憶されているルール集合の中力特定されたルールを Ra, Rbとする。

[0274] ルール統合部 200は、統合可能なルール Ra, Rbをルール記憶部 110に記憶されているルール集合の中力特定した後、新たなルールの各属性の開始点として、ルール Raの対応する属性の開始点とルール Rbの対応する属性の開始点のうち値の小さい方の開始点を選択し、新たなルールの各属性の終了点として、ルール Raの対応する属性の終了点とルール Rbの対応する属性の終了点のうち値の大きい方の終了点を選択して、新たなルール、すなわち Raと Rbを統合したルールの各属性の開始点及び終了点を定めればよい。ルール Ra, Rbの対応する属性の開始点同士や終了点同士の値が等しいときには、ルール統合部 200は、その等しい値を新たなルールの開始点や終了点とすればよい。ルール統合部 200は、ルール Ra, Rbに共通のアクションを、新たなルール、すなわち Raと Rbを統合したルールのアクションとして定めればよい。

[0275] ί列えば、、統合対象となるノレ一ノレ Ra, Rb力 Sそれぞれ（20, 90, 50, 120, A)、 (90, 140, 50, 120, A)であるとする。ルール統合部 200は、 Ra, Rbを統合した新たなルールの第 1属性の開始点として、ルール Raの第 1属性の開始点 "20"とルール Rb の第 1属性の開始点" 90"のうち値が小さい方の開始点" 20"を選択し、新たなルールの第 1属性の開始点とする。ルール統合部 200は、新たなルールの第 1属性の終了点として、ルール Raの第 1属性の終了点" 90"とルール Rbの第 1属性の終了点" 1 40"のうち値が大きい方の終了点" 140"を選択し、新たなルールの第 1属性の終了点とする。上述のように、ルール Ra, Rbの対応する属性の開始点同士や終了点同士の値が等しいときには、ルール統合部 200は、その等しい値を新たなルールの開始点ゃ終了点とすればよい。本例では、 Ra, Rbの第 2属性の開始点はともに" 50" であり、 Ra, Rbの第 2属性の終了点はともに" 120"である。従って、本例では、ルール統合部 200は、新たなルールの第 2属性の開始点、終了点をそれぞれ" 50", "12 0"とする。本例では、ルール統合部 200は、 Ra, Rbに共通のアクション" A"を、新たなルールのアクションとする。従って、本例の場合、ルール統合部 200は、ルール Ra , Rbを統合した新たなノレ一ノレとして、 (20, 140, 50, 120, A)と! ヽぅノレーノレを、ノレ一ル記憶部 110に記憶されて、るルール集合に追加する。

[0276] ルール統合部 200は、ステップ S930において、統合対象とした 2つのルールをルール記憶部 110に記憶されているルール集合から削除する。すなわち、ルール統合部 200は、ステップ S930で 2つのルールを統合する場合、統合対象となる 2つのルールをルール集合から削除する処理と、その 2つのルールを統合した新たなルールを作成しルール集合に追加する処理とを行う。ルール統合部 200は、このような処理を、統合可能なルール Ra, Rbの組ごとに行う。

[0277] 上記の説明では、統合可能な 2個のルールの組み合わせを選び出し、その 2個のルールを統合して新たなルールを作成している。この処理を繰り返すことで、 3個以上のルールを統合することも可能である。例えば、まず、 2つのルール Ra, Rbを統合して Rcを作成し、その後、ステップ S910以降の処理を行って Rcと他のルールとを統合した新たなルールを作成してもよい。なおこの場合、ルール集合の修正だけではなぐマトリックス空間データの修正も行わなければならない。例えば、マトリックス化部 130が、統合されたルールが追加されたルール集合を用いて、新たにマトリックス空間データを作成し、その後、再びステップ S910以降の処理を行えばよい。このように、統合処理を繰り返す場合、ルール統合部 200が統合可能なルールの組み合わせを特定できなくなるまで繰り返す。すなわち、ステップ S912で「いいえ」側に分岐したときにバッファに組み合わせが記録されていない場合、あるいはステップ S921で「いいえ」側に分岐したときにノッファに組み合わせが記録されてヽな、場合に、統合処理の繰り返しを終了すればょ、。

[0278] 上記のように統合処理を繰り返さない場合であっても、マトリックス空間データと、ルール統合後にルール記憶部 110に記憶されて、るルール集合との整合をとるために、マトリックス化部 130が、統合されたルールが追加されたルール集合を用いて、新たにマトリックス空間データを作成してもよい。

[0279] 次に、第 8の実施形態のフィルタリングルール分析システムの利点について説明する。第 8の実施形態のフィルタリングルール分析システムによれば、どのような複雑なフィルタリングルールであっても、統合可能な 2つのルールを統合することができる。その理由は、ルール力マトリックス空間データを生成し、所定の条件をみたす 2つのルールを構成するマトリックス数及びその 2つのルールでできる最小多次元立方体を構成するマトリックス数を比較して統合候補を求め、その統合候補に関して、最小多次元立方体 Qの全ての頂点力ルール Raまたはルール Rbに関係するか否かを判定して統合可能かどうかを調べることができるからである。

[0280] ルールを統合すれば、ルールの数を減少させることができ、管理者にルールを理解させやすくすることができる。新たなルールの順位を定める場合には、例えば、管理者が統合後のルールを確認して、そのルールの順位を決定すればよい。ただし、統合後のルールの順位決定方法は、管理者が確認して決定する方法に限定されない。

[0281] 次に、具体例を用いて、第 8の実施形態のフィルタリングルール分析システムの動作を説明する。ルール集合 910が入力され、マトリックス空間データとしてマトリックス空間記憶部 120に記憶されるまでの動作は、第 1の実施形態と同様であるので説明を省略する。マトリックス空間記憶部 120は、マトリックス空間データに含まれるルールデータとして、図 71Bに例示するルールデータを記憶しているものとする。図 71Aは、図 71Bに例示するルールデータが示す各ルール及びマトリックス化部 130に作成された各マトリックスを表わす模式図である。なお、図 71Bにおいて矢印で示した数は、各ルールを構成するマトリックスの数を表わして、る。

[0282] ルール統合部 200は、ステップ S911において、図 71Bに例示するルールデータを参照して、デフォルトルール以外のルールであって、アクションが共通である 2つのルール (ルールデータ）の組み合わせを全て抽出する。本例では、ルール統合部 200 は、 (R2, R3)、 (R2, R4)、 (R2, R5)、 (R2, R6)、（R3, R4)、（R3, R5)、（R3, R6)、 (R4, R5)、 (R4, R6)、（R5, R6)の 10種類の組み合わせを抽出する。これらの組み合わせは、いずれもアクションが" A"で共通する。なお、図 71Bに示すルール R1のアクションは" D"であり、アクションが" D"となる他のルールはデフォルトルール R7しかない。よって、本例では、 R1を含む組み合わせは抽出されない。

[0283] 以降、ルール統合部 200は、各組あわせを構成するルールデータを選択して、 Ma , Mb, Mqを求め、 Ma + Mb = Mqであるならば、選択したルールデータの組み合わせをバッファに記録する処理、すなわちステップ S912以降の処理を繰り返す。ステツプ S912において組み合わせが残っていなければ、統合候補を求める処理が終了する。

[0284] 図 72は、上記の 10種類の各組み合わせにおける Mqと、 Ma + Mbとを比較して示している。図 72において、 M (Ra+Rb)は、ルール Raとルール Rbとによってできる最小多次元立方体 Qを構成するマトリックスの数を示している。例えば、 "M (R2+R3) = 36"は、ルール R2, R3でできる最小多次元立方体 Qを構成するマトリックスの数が 36個であることを示して、る。等号ある!/、は不等号の右側に示した M (R2)等の記載は、各ルールを構成するマトリックス数を表わしている。例えば、 M (R2)は、ルール R2を構成するマトリックス数を表わしている。図 72に示すように、 2つのルールによつてできる最小多次元立方体 Qを構成するマトリックス数 Mqと、 2つのルールそれぞれを構成するマトリックス数の和 Ma + Mbとが等しくなる 2つのルールの組み合わせは、ルール R3とルール R5の組み合わせのみである。従って、ステップ S912においてルール統合部 200が、ステップ S912において、組み合わせが残っていないと判定した場合、バッファにはルール R3とルール R5の組み合わせのみが記録されて!、ることになる。

[0285] ルール R4とルール R6との組み合わせに着目すると、図 71A,図 71Bに示すように、参照ルール R4, R6は、第 2属性の範囲が一致し、ルール R4が示す領域とルール R6が示す領域とが分離されていない。そのため、ルール R4とルール R6の組み合わせもバッファに記録されてし力るべきと考えることもできる力本実施形態では、ルール R4とルール R6の組み合わせは、統合候補から除外され、ノッファに記録されない。本実施形態において、ルール分析システム 100が、第 5の実施形態と同様にルール削除部 170 (図 34参照）を備え、第 5の実施形態で説明した縮小を実行してもよい。そして、その後、ルール統合部 200が、ステップ S910以降の処理を実行してもよい。その場合には、縮小の結果、ルール R4とルール R6との組み合わせに関してもステップ S917で「はい」と判定され、ルール R4とルール R6との組み合わせもバッファに記録されることになる。ただし、ここでは、ルール R3とルール R5の組み合わせのみがノッファに記録されたものとして説明する。

[0286] ルール統合部 200は、ステップ S921にお!/、て、ルール R3とルール R5の組み合わせが残っていると判定し、ステップ S922において、ルール R3とルール R5とによってできる最小多次元立方体 Qの全ての頂点力ルール R3またはルール R5に関係するか否かを判定する。本例の場合、ルール R3とルール R5とによってできる最小多次元立方体 Qの全ての頂点力ルール R3またはルール R5に関係するので、ルール統合部 200は、ステップ S923において、ルール R3とルール R5との組み合わせをルール統合用バッファに記録する。本例では、以上の処理によって、未選択の組み合わせが存在しなくなるので、ステップ S921において処理は「いいえ」の側に分岐し、統合候補としたルールの組み合わせに対して統合可能であるか否かを確認する処理が終了する。

[0287] 上記のようにステップ S922の判定を行う理由について説明する。ステップ S922の判定を行うのは、 2つのルールが重なっている部分のマトリックス数と、 2個のルールでできる最小多次元立方体 Qを構成するマトリックスのうち、 2つのルールと無関係なマトリックス数が偶然一致する場合があり、そのような場合を排除するためである。図 7 3は、 2つのルールが重なっている部分のマトリックス数と、 2個のルールでできる最小多次元立方体 Qを構成するマトリックスのうち、 2つのルールと無関係なマトリックス数がー致する場合の例を示している。図 73に示す例では、 2つのルールが重なっている部分のマトリックス数は 2個である。また、最小多次元立方体 Qを構成するマトリックスのうち、 2つのルールと無関係なマトリックス数も 2個である。このような場合、ステツプ S917 (図 69参照）では「は、」と判定されるが、ルールを統合することはできな!、。本実施形態では、ステップ S922の判定で「はい」となる組み合わせのみをステップ S 923において記録するようにして、図 73に例示するような統合できない 2つのルールの組み合わせがステップ S923において記録されることを防止している。

[0288] 図 68に示すステップ S 920の後、ステップ S921にお!/、て「ヽ!、え」側に分岐した場合、ノレ一ノレ統合咅 200ίま、ステップ S930【こお!ヽて、ノレ一ノレ記'隐咅 10【こ記'隐されているルール集合に対してルール R3, R5の削除を行うとともに、ルール R3, R5を統合した新たなルールを追加する。 [0289] 以上では、ステップ S911 (図 69参照）においてルールの組み合わせを抽出する際、マトリックス空間記憶部 120に記憶されて、るルールデータを参照してルールの組み合わせを抽出する場合を説明した。この代わりに、ステップ S911においてルールの組み合わせを抽出する場合、ルール記憶部 110に記憶されて、るルール集合を参照してルールの組み合わせを抽出してもよい。この場合、ステップ S914〜ステップ S916、ステップ S922に示すマトリックス数を求める処理等で、マトリックス空間記憶部 120に記憶されているマトリックス空間データを参照してもよい。

[0290] 上述の説明では、マトリックス化部 130の動作は第 1の実施形態と同様であると説明した。し力しながらマトリックス化部 130は、マトリックス空間データ作成処理に、第 7 の実施形態で説明したステップ S 109の処理を行ってもよい。すなわち、マトリックス化部 130は、第 7の実施形態で示したマトリックス化部 130と同様の動作を行ってもよい。

[0291] 上記の各実施形態では、ルールの各属性の開始点及び終了点を境界点として説明した。開始点及び終了点を境界点とすると、ルールの領域の境界上のパケットの属性が複数のマトリックスの境界上に位置することになる。図 74A、図 74Bは、ルールの領域の境界上のパケットを示す説明図である。図 74Aに示すように、ルール R1 とルール R2の境界上に、第 1属性及び第 2属性がともに" 2"であるパケットが存在するとする。開始点及び終了点を境界点としてマトリックスを定める場合、第 1属性及び第 2属性がともに" 2"であるパケットは、ルール R1を構成するマトリックスとルール R2 を構成するマトリックスとの境界上に位置することになる。各属性が 1つの値のみで示されるパケットは、マトリックスの境界上に存在することがないようにし、ただ 1つのマトリックスの境界の内側に含まれるようにすることが好ましい。そこで、ルールの各属性の開始点及び終了点を境界点とするのではなぐルールの各属性の開始点を表わす値カゝら所定値を減算した値と、ルールの各属性の終了点を表わす値に所定値を加算した値とを境界点としてもよい。そのように境界点を定めれば、図 74Aに示すパケットのように、各属性が 1つの値のみで示されるパケットは、ただ 1つのマトリックスの境界の内部に含まれる。

[0292] 図 74Bは、そのような状態を示している。図 74Bに示す例では、例えば所定値を 0. 5として、ルール Rlの第 1属性の開始点" 2"からこの所定値を減算した" 1. 5"、ルール R1の第 1属性の終了点" 4"にこの所定値を加算した" 4. 5"等を境界点としている。また、ルール R1の第 2属性の開始点" 2"から所定値 0. 5を減算した" 1. 5"、ルール R1の第 2属性の終了点" 3"に所定値 0. 5を加算した" 3. 5"を境界点としている。図 74Bに示すマトリックス Mxは、このような第 1属性の境界点" 1. 5", "4. 5"、及び第 2の属性の境界点" 1. 5", "3. 5"によって規定されるマトリックスである。このように、境界点を定めることにより、図 74Aに示す各属性の値が" 2"のパケットは、マトリックス Mxの境界の内部に存在することになる。

[0293] 以下、上述した各実施形態の変形例として、上述のように、ルールの各属性の開始点を表わす値力所定値を減算した値とルールの各属性の終了点を表わす値に所定値を加算した値とを境界点とする場合について説明する。

[0294] 上述の各実施形態において、上記のように境界点を定める場合、マトリックス化部 1 30 (あるいはマトリックス化部 131)は、ステップ S103 (図 2、図 27、図 65等を参照）において、ルール記憶部 110に記憶されている全てのルールの条件部分から、直前のステップ S102で選択した属性に関する開始点及び終了点を収集する。そして、マトリックス化部 130 (あるいはマトリックス化部 131)は、収集した開始点から所定値を減算した値、及び収集した終了点に所定値を加算した値をそれぞれ境界点し、次のステツプ S104において、その境界点をソートし、重複する境界点を削除すればよい。

[0295] 上記の減算や加算で用いる所定値は、以下のように定めればよ!、。ある属性に対応する所定値は、その属性の相異なる 2つの値の差の最小値未満の値であればょ、。例えば、属性が IPアドレス（ソースアドレスやデスティネーションアドレス）である場合、そのアドレスは、 "www. XXX. yyy. zzz"等のように表わされる力このアドレスは 3 2ビットのデータで表わされるので、整数で表わすこともできる。よって、アドレスの相異なる 2つの値の差の最小値は" 1"となる。従って、各アドレスを 32ビットで表わされる整数としたときに、所定値を 1未満の値 (例えば 0. 5など）として定め、 32ビットの整数で表わされるアドレス開始点力もその所定値を減算し、また、 32ビットの整数で表わされるアドレス終了点にその所定値を加算して境界点を求めればよい。

[0296] ポート番号は、 0〜65535の整数である。従って、属性がポート番号（ソースポートやデスティネーションポート）である場合、ポート番号の相異なる 2つの値の差の最小値も" 1"となる。よって、属性がポート番号である場合、所定値を 1未満の値 (例えば 0 . 5など)として定め、開始点力もその所定値を減算し、また、終了点にその所定値を加算して境界点を求めればょ、。

[0297] 属性となるプロトコルは、予め数値に変換される。よって、相異なるプロトコルに対応する値の差の最小値未満の値を所定とすればよい。例えば、 TCPを" 0"、 UDPを" 1 "とする場合、各プロトコルに対応する値の差の最小値は 1である。よって、所定値を 1 未満の値 (例えば 0. 5など)として定め、開始点からその所定値を減算し、また、終了点にその所定値を加算して境界点を求めればよい。

[0298] 各属性ごとに、開始点カゝら所定値を減算した値、終了点に所定値を加算した値をそれぞれ境界点とし、その境界点をソートして重複する境界点を削除した後に、その境界点を用いてステップ S105 (図 1等参照）の処理を実行してマトリックスを作成すればよい。すなわち、マトリックス化部 130 (あるいはマトリックス化部 131)は、その境界点を用いて、全ての属性の隣り合う 2つの境界点でできるマトリックスデータを作成する。そして、その後、マトリックス化部 130 (あるいはマトリックス化部 131)は、ステツプ S 106〜ステップ S 108の処理によりマトリックス空間データを作成すればよい。ただし、マトリックス空間データに含まれるルールデータは、ルール記憶部 110に記憶されるルールデータに、ルールを構成するマトリックスのリストが追加されることにより生成される。従って、マトリックス空間データに含まれるルールデータの属性は、元々、ルール記憶部 110に記憶されていたルールデータの属性と同一であり、開始点から所定値を減算した値や、終了点に所定値を加算した値が記述されるわけではない

[0299] 一方、マトリックス空間データに含まれるマトリックスデータは、ルールの各属性の開始点を表わす値力所定値を減算した値とルールの各属性の終了点を表わす値に所定値を加算した値とを境界点とし、その境界点を用いて生成される。従って、マトリックス空間データに含まれるマトリックスデータでは、上記のように求められた境界点力各属性の開始点、終了点として記述される。すなわち、マトリックスデータにおける各属性の開始点、終了点は、元々、ルール記憶部 110に記憶されていたルールデータにおける各属性の開始点、終了点とは一致しない。

[0300] このように、ルールの各属性の開始点を表わす値力所定値を減算した値とルールの各属性の終了点を表わす値に所定値を加算した値とを境界点としてマトリックス空間データを作成した場合には、「ルールを構成するマトリックス」とは、以下のようなマトリックスの集合を意味するものとする。すなわち、「ルールを構成するマトリックス」とは、マトリックスのそれぞれの属性の範囲力ルールの条件部分が示す属性の範囲の少なくとも一部と重複しているマトリックスの集合のことを意味する。

[0301] 図 75A,図 75Bは、ルールの各属性の開始点を表わす値力所定値を減算した値と、ルールの各属性の終了点を表わす値に所定値を加算した値とを境界点とした場合のマトリックスの例を示す。図 75Aに示すように、ルール R1の第 1属性の開始点、終了点がそれぞれ 2, 4であり、ルール R2の第 1属性の開始点、終了点がそれぞれ 1 , 2であるとする。所定値を 0. 5とする。すると、ルール Rl, R2から求められる第 1属性の境界点は、 1. 5 ( = 2-0. 5)、 4. 5 (=4 + 0. 5)、 0. 5 (= 1— 0. 5)、 2. 5 ( = 2 + 0. 5)となる。ルール Rl, R2から求められる第 2属性の境界点は、 1. 5 ( = 2-0. 5)、 3. 5 ( = 3 + 0. 5)、 1. 5 ( = 2-0. 5)、 3. 5 ( = 3 + 0. 5)となる。

[0302] ルール Rl, R2から求められる第 1属性の境界点をソートすると、 0. 5, 1. 5, 2. 5, 4. 5となる。また、ルール Rl, R2から求められる第 2属性の境界点をソートし、また、重複する境界点を削除すると、 1. 5, 3. 5となる。よって、この第 1属性の境界点 0. 5 , 1, 5, 2, 5, 4. 5、及び第 2属性の境界点 1. 5, 3. 5によって、図 75Bに破線で示すような 3つのマトリックスが得られる。

[0303] ルールの各属性の開始点を表わす値力所定値を減算した値とルールの各属性の終了点を表わす値に所定値を加算した値とを境界点としてマトリックス空間データを作成した場合、マトリックスデータに含まれる各属性の開始点や終了点を表示するときには、所定値を加算したり、減算したりした結果を表示する。例えば、図 4に示すステップ S214のように、重なり分析結果として、あるルール Dによってあるルール Aのマトリックス Eの範囲が Overlappedであると出力する場合がある。この場合、重なり分析部 140は、マトリックス Eにおける各属性の範囲を出力する際、マトリックス Eのマトリックスデータにおける各属性の開始点に所定値に加算した値や、各属性の終了点から所定値を減算した値を出力する。すなわち、ステップ S103で所定値を減算したり、所定値を加算する前の値、言い換えれば、ルールデータに記述されているいずれかの開始点やいずれかの終了点に合致する値を出力する。

[0304] 第 8の実施形態で説明した最小多次元立方体 Qは、マトリックスデータではなぐルール (ルールデータ）によって定められる。最小多次元立方体 Qの各頂点は、ルールデータに記述される各属性の開始点や終了点の組み合わせによって定められるので、最小多次元立方体 Qの各頂点は、ステップ S 103で所定値の加算や減算を行つた境界点力特定されるわけではない。また、最小多次元立方体 Qの領域は、最小多次元立方体 Qを構成するマトリックス全体の領域に包含されることになる。

[0305] 以上説明した本発明の好ま、実施の形態にぉ、て、ノッファは、ルール記憶部 1 10やマトリックス空間記憶部 120の記憶領域の一部であってもよ、し、ルール記憶部 110やマトリックス空間記憶部 120とは別の記憶装置であってもよい。マトリックス化部 130, 131は、空間データ作成手段に相当する。マトリックス空間データは、空間データに相当する。ルールイ匕部 190は、ルール作成手段に相当する。また、ルール統合部 200は、統合可能ルール特定手段及びルール統合手段に相当する。

産業上の利用可能性

[0306] 本発明は、パケットフィルタリングを行うネットワーク機器やソフトウェアのルール設定管理に適用することができる。

Claims

請求の範囲

[1] パケットフィルタリング処理に用いられるルールであって、優先順位が設定されたルールの集合を記憶する段階と、

各ルールの適用条件として当該ルール内に記述されるパケットの属性の範囲の開始点及び終了点によって特定される極小領域と当該ルールとの対応関係を示す空間データであって、前記優先順位の情報を含む前記空間データを生成する空間データ生成段階と、

を有するフィルタリングルール分析方法。

[2] 統合可能なルールの組み合わせを特定する統合可能ルール特定段階と、

前記記憶されたルール集合に属するルールであって、前記可能統合ルール特定段階において特定された組み合わせをなすルール同士を統合するルール統合段階と、

を有する、請求項 1に記載の方法。

[3] 前記統合可能ルール特定段階は、

動作が共通しデフォルトルールでない 2つのルールのうちの一方のルールに対応する極小領域の数と前記 2つのルールのうちの他方のルールに対応する極小領域の数との和力前記 2つのルールによって定まる領域に対応する極小領域の数と一致するときに、前記 2つのルールの組み合わせを統合可能なルールの組み合わせの候補とする段階と、

前記候補とした組み合わせをなす 2つのルールによって定まる領域に対応する極小領域のうち、前記 2つのルールによって定まる領域の頂点を含む各極小領域が、前記 2つのルールの!/、ずれかに対応する場合に、前記 2つのルールの組み合わせを統合可能なルールの組み合わせとする段階と、

を有する、請求項 2に記載の方法。

[4] 前記統合可能ルール特定段階と前記ルール統合段階とを、前記統合可能ルール特定段階において統合可能なルールの組み合わせを特定できなくなるまで繰り返す、請求項 2または 3に記載の方法。

[5] 前記空間データ生成段階は、生成した空間データのうち、デフォルトルールのみに対応付けられた極小領域のデータを削除する段階を有する、請求項 1乃至 4のうちのいずれか 1項に記載の方法。

[6] 前記空間データ生成手段は、各ルールの適用条件としてルール内に記述されるパケットの属性の範囲の開始点の値力所定値を減算した値と、前記属性の範囲の終了点の値に所定値を加算した値とを用いて、各ルールの適用条件として当該ルール内に記述されるパケットの属性の範囲の開始点及び終了点によって特定される極小領域を定める段階を備える、請求項 1乃至 5のいずれ力 1項に記載の方法。

[7] パケットフィルタリング処理に用いられるルールであって、優先順位が設定されたルールの集合を記憶するルール記憶手段と、

各ルールの適用条件として当該ルール内に記述されるパケットの属性の範囲の開始点及び終了点によって特定される極小領域と当該ルールとの対応関係を示す空間データであって、前記優先順位の情報を含む前記空間データを生成する空間データ生成手段と、

を備えるフィルタリングルール分析システム。

[8] 前記空間データ生成手段によって生成された空間データを用いて、各ルールの適用条件として記述された属性の範囲の重なりを分析する重なり分析手段をさらに備える請求項 7に記載のシステム。

[9] 前記重なり分析手段は、一のルールに記述された属性の範囲力前記一のルールよりも優先順位が高い他のルールに記述された属性の範囲に含まれる状態または一部重複する状態を検出する、請求項 8に記載のシステム。

[10] パケットの属性を入力するパケット属性入力手段と、

前記空間データ生成手段によって生成された空間データを用いて、前記パケットの属性がどの極小領域に該当するかを判定し、前記パケットの属性が該当する極小領域に対応するルールに応じた動作を確認することによって、入力された属性を有するパケットがパケットフィルタリング処理で通過を許可されるか否かを判定する通過テスト手段と、

をさらに備える請求項 7に記載のシステム。

[11] 前記パケット属性入力手段は、パケットの属性として、開始点及び終了点によって表わされるパケットの属性の範囲を入力し、

前記通過テスト手段は、前記パケットの属性の範囲がどの極小領域に該当するのかを判定する、

請求項 10に記載のシステム。

[12] 前記ルール記憶手段は、ルールの集合を複数組記憶し、

前記空間データ生成手段は、各ルールの適用条件として当該ルール内に記述されるパケットの属性の範囲の開始点及び終了点を、前記複数組のルールの集合に含まれる全てのルール力抽出し、前記開始点及び終了点を用いて、ルールの集合ごとに前記空間データを生成し、

さらに、複数の空間データ同士の間で対応する極小領域におけるルールの動作が一致する力否かを判定することによって、各ルールの集合に基づくパケットフィルタリング処理が同一の処理になる力否かを判定する同一性分析手段を備える、請求項 7 に記載のシステム。

[13] 前記同一性分析手段は、複数の空間データ同士の間で対応する極小領域におけるルールの動作が一致しな、と判定した場合に、前記極小領域の範囲を出力する、請求項 12に記載のシステム。

[14] 前記空間データ生成手段によって生成された前記空間データを参照して、削除したとしてもパケットフィルタリング処理に影響を及ぼさな、ルールを特定し、前記特定したルールを削除するルール削除手段をさらに備える、請求項 7に記載のシステム。

[15] 前記空間データ生成手段によって生成された前記空間データを参照して、各ルールの適用条件としてルール内に記述される属性の範囲によって特定される領域のうち、存在しなヽとしてもパケットフィルタリング処理に影響を及ぼさなヽ領域を排除するように当該ルールを修正するルール修正手段をさらに備える、請求項 7に記載のシステム。

[16] 前記ルール修正手段は、一のルールの適用条件として記述された属性の範囲のうち、より優先度が高い他のルールの適用条件として記述された属性の範囲と重なる領域を特定し、当該領域における一の属性以外の全属性の範囲が、前記一のルールの適用条件として元々記述されていた属性の範囲と一致する場合に、前記一のルールにおける前記一の属性の範囲を狭めるように修正する、請求項 15に記載のシステム。

[17] 前記ルール修正手段は、適用条件として記述された属性の範囲の一部が、より優先度が高い他のルールの適用条件として記述された属性の範囲と重なるルールを、前記極小領域ごとに分割し、分割して得られた複数のルールのうち、より優先度が高い他のルールの適用条件として記述された属性の範囲と重なるルールを削除する、請求項 15に記載のシステム。

[18] 実際にパケットフィルタリング処理対象となった複数のパケットの属性を参照して、前記各極小領域ごとに、当該極小領域に属性が含まれるパケットの数をカウントする頻度分析手段と、

カウントされたパケット数が多、順に前記極小領域をソートし、前記極小領域の一部または全部と、当該極小領域に対応するルールとに基づ、て新たなルールを作成するルール作成手段と、

をさらに有する請求項 7に記載のシステム。

[19] 前記ルール作成手段は、ソートした極小領域のうち、カウントされたパケット数が多い順に所定数の極小領域を選択し、当該極小領域と、当該極小領域に対応するルールとに基づ、て新たなルールを作成して、元々存在して!/、たルールの集合に追カロする、請求項 18に記載のシステム。

[20] 前記ルール作成手段は、新たに作成したルールを追加したルールの集合のうち、削除したとしてもパケットフィルタリング処理に影響を及ぼさな、ルールを特定し、当該ルールを削除する、請求項 19に記載のシステム。

[21] 前記ルール作成手段は、ソートした極小領域を全て順番に選択し、選択した極小領域と、当該極小領域に対応するルールとに基づいて、新たなルールを作成し、作成したルールのみによって新たなルールの集合を作成する、請求項 18に記載のシステム。

[22] 前記ルール化手段は、隣接する極小領域であって、前記頻度分析手段によって力ゥントされたパケットの数の差が所定範囲内である極小領域同士を結合して、 1つの極小領域とし、当該極小領域の結合後に新たなルールを作成する、請求項 18乃至 21のいずれ力 1項に記載のシステム。

[23] 統合可能なルールの組み合わせを特定する統合可能ルール特定手段と、

前記ルール記憶手段に記憶されたルール集合に属するルールであって、前記統合可能ルール特定手段によって特定された組み合わせをなすルール同士を統合するルール統合手段と、

をさらに有する、請求項 7に記載のシステム。

[24] 前記統合可能ルール特定手段は、動作が共通しデフォルトルールでない 2つのルールのうちの一方のルールに対応する極小領域の数と前記 2つのルールのうちの他方のルールに対応する極小領域の数との和力前記 2つのルールによって定まる領域に対応する極小領域の数と一致するときに、前記 2つのルールの組み合わせを統合可能なルールの組み合わせの候補とし、候補とした組み合わせをなす 2つのルールによって定まる領域に対応する極小領域のうち、前記 2つのルールによって定まる領域の頂点を含む各極小領域が、前記 2つのルールのいずれかに対応する場合に、前記 2つのルールの組み合わせを統合可能なルールの組み合わせとする、請求項 23に記載のシステム。

[25] 前記統合可能ルール特定手段が、統合可能なルールの組み合わせを特定し、前記ルール統合手段力特定された組み合わせをなすルール同士を統合することを、前記統合可能ルール特定手段が統合可能なルールの組み合わせを特定できなくなるまで繰り返す、請求項 23または 24に記載のシステム。

[26] 前記空間データ生成手段は、生成した空間データのうち、デフォルトルールのみに対応付けられた極小領域のデータを削除する、請求項 7乃至 25のいずれか 1項に記載のシステム。

[27] 前記空間データ生成手段は、各ルールの適用条件として当該ルール内に記述されるパケットの属性の範囲の開始点の値力所定値を減算した値と、前記属性の範囲の終了点の値に所定値を加算した値とを用いて、各ルールの適用条件として当該ルール内に記述されるパケットの属性の範囲の開始点及び終了点によって特定される極小領域を定める、請求項 7乃至 26の、ずれか 1項に記載のシステム。

[28] パケットフィルタリング処理に用いられるルールであって、優先順位が設定されたルールの集合を記憶するルール記憶領域を備えたコンピュータに、

各ルールの適用条件として当該ルール内に記述されるパケットの属性の範囲の開始点及び終了点によって特定される極小領域と当該ルールとの対応関係を示す空間データであって、前記優先順位の情報を含む前記空間データを生成する処理を実行させるプログラム。

[29] 前記コンピュータに、

統合可能なルールの組み合わせを特定する統合可能ルール特定処理、及びルール記憶手段に記憶されたルール集合に属するルールであって、統合可能ルール特定手段によって特定された組み合わせをなすルール同士を統合するルール統合処理

をさらに実行させる請求項 28に記載のプログラム。

[30] 前記コンピュータに、前記統合可能ルール特定処理において、

動作が共通しデフォルトルールでない 2つのルールのうちの一方のルールに対応する極小領域の数と前記 2つのルールのうちの他方のルールに対応する極小領域の数との和力前記 2つのルールによって定まる領域に対応する極小領域の数と一致するときに、前記 2つのルールの組み合わせを統合可能なルールの組み合わせの候補とする処理、及び

前記候補とした組み合わせをなす 2つのルールによって定まる領域に対応する極小領域のうち、前記 2つのルールによって定まる領域の頂点を含む各極小領域が、前記 2つのルールの!/、ずれかに対応する場合に、前記 2つのルールの組み合わせを統合可能なルールの組み合わせとする処理

を実行させる請求項 29に記載のプログラム。

[31] 前記コンピュータに、前記統合可能ルール特定処理及び前記ルール統合処理を、統合可能なルールの組み合わせを特定できなくなるまで繰り返す処理を実行させる請求項 29または 30に記載のプログラム。

[32] 前記コンピュータに、前記空間データのうち、デフォルトルールのみに対応付けられた極小領域のデータを削除する極小領域削除処理を実行させる、請求項 28乃至 31のいずれ力 1項に記載のプログラム。前記コンピュータに、各ルールの適用条件としてルール内に記述されるパケットの属性の範囲の開始点の値力所定値を減算した値と、前記属性の範囲の終了点の値に所定値を加算した値とを用ヽて、各ルールの適用条件として当該ルール内に記述されるパケットの属性の範囲の開始点及び終了点によって特定される極小領域を定める処理、を実行させる請求項 28乃至 32の、ずれ力 1項に記載のプログラム。