WO2022219683A1 - マッチング装置、マッチング方法、および、マッチングプログラム - Google Patents

Abstract

マッチング装置（１０）は、参照用のIPアドレスの範囲ごとに、IPアドレスの範囲の開始IPアドレスのレコードおよび終了IPアドレスのレコードを生成し、マッチング対象のIPアドレスを示すレコードと結合する。次に、マッチング装置（１０）は、結合されたレコード群のIPアドレスを主キーとし、マッチング対象のIPアドレスのレコードか、開始IPアドレスを示すレコードか、終了IPアドレスのレコードかを示す情報を副キーとしてソートする。そして、マッチング装置（１０）は、ソート後、いずれかのIPアドレスの範囲における開始IPアドレスを示すレコードと終了IPアドレスを示すレコードとの間に、マッチング対象のIPアドレスのレコードがある場合、当該マッチング対象のIPアドレスは、当該IPアドレスの範囲にマッチすると判定する。

Description

マッチング装置、マッチング方法、および、マッチングプログラム

　本発明は、IPアドレスのマッチング装置、マッチング方法、および、マッチングプログラムに関する。

　サーバ等への疑わしいアクセスを検知するため、サーバへのアクセスログに示されるアクセスのうち、Proxyサーバや悪性IPアドレスからのアクセスはどれか、また、Proxyサーバからのアクセスがある場合、どのような種別のProxyサーバからのアクセスかを特定することが行われる。

　ここでサーバが多数のアクセスを受け付けるサーバである場合、大量のアクセス元のIPアドレス（単体）のリストと、ProxyサーバのIPアドレスや悪性IPアドレスのリスト等の大量のIPアドレス（IPアドレスのレンジを含む）のリストとのマッチングを行う必要がある。

N.Yazdani,　et　al.、Fast　and　Scalable　schemes　for　the　IP　address　Lookup　Problem、High　Performance　Switching　and　Routing,　2000.　ATM　2000. Changhoon　Yim,　et　al.、Efficient　Binary　Search　for　IP　Address　Lookup、IEEE　Communications　Letters　(　Volume:　9,　Issue:　7,　July　2005） Ju　Hyoung　Mun,　et　al.、New　Approach　for　Efficient　IPAddress　Lookup　Using　a　Bloom　Filter　in　Trie　Based　Algorithms、　IEEE　Transactions　on　Computers　(　Volume:　65,　Issue:　5,　May　1　2016)

　ここで、アクセス元のIPアドレスの数や、ProxyサーバのIPアドレスおよび悪性IPアドレスのリスト（参照用のIPアドレスのリスト）のIPアドレスのレンジの数が膨大である場合、マッチングに要する時間が膨大になる。

　例えば、アクセス元のIPアドレスの数がMであり、参照用のIPアドレスのリストにおけるIPアドレスのレンジの数がNである場合、IPアドレスのマッチングに要する時間計算量はO（MN）となる。

　また、参照用のIPアドレスのリストにおけるIPアドレスのレンジを展開して得られたIPアドレス群と、アクセス元のIPアドレスそれぞれとをハッシュ等でマッチングすることも考えられる。このような方法によれば、マッチングに要する時間計算量はO（M）となるが、参照用のIPアドレスのリストの示されるIPアドレスのレンジの大きさによっては、メモリ使用量（空間計算量）が膨大になる可能性がある。

　なお、IPアドレスlookupにおける高速マッチング方法（非特許文献１，２，３参照）もあるが、この方法は、アクセス元のIPアドレスが、複数のIPアドレスのレンジにマッチする場合については考慮されていない。

　そこで、本発明は、前記した問題を解決し、大量のIPアドレスのリストのマッチングを行う際の計算量を低減することを課題とする。

　前記した課題を解決するため、本発明は、参照用のIPアドレスの範囲を示すリストにおける前記IPアドレスの範囲ごとに、前記IPアドレスの範囲の開始IPアドレスを示すレコードおよび終了IPアドレスを示すレコードを生成する生成部と、前記参照用のIPアドレスの範囲それぞれの開始IPアドレスを示すレコードおよび終了IPアドレスを示すレコードと、マッチング対象のIPアドレスを示すレコードとを結合する結合部と、前記結合されたレコード群を、前記レコードのIPアドレスを主キーとし、前記レコードが、前記マッチング対象のIPアドレスのレコードか、前記開始IPアドレスを示すレコードか、前記終了IPアドレスのレコードかを示す情報を副キーとしてソートするソート部と、前記ソートされたレコード群において、いずれかの前記IPアドレスの範囲の開始IPアドレスを示すレコードと終了IPアドレスを示すレコードとの間に、前記マッチング対象のIPアドレスのレコードがある場合、前記マッチング対象のIPアドレスは、当該IPアドレスの範囲にマッチすると判定する判定部と、前記判定の結果を出力する判定結果出力部とを備えることを特徴とする。

　本発明によれば、大量のIPアドレスのリストのマッチングを行う際の計算量を低減することができる。

図１は、マッチング装置の概要を説明する図である。 図２は、マッチング装置の動作概要を説明する図である。 図３は、マッチング装置の動作概要を説明する図である。 図４は、マッチング装置の構成例を示す図である。 図５は、マッチング装置の処理手順の例を示すフローチャートである。 図６は、マッチング装置により判定の例を示す図である。 図７は、マッチング装置によるIPアドレスのマッチングの適用例を示す図である。 図８は、マッチングプログラムを実行するコンピュータの例を示す図である。

　以下、図面を参照しながら、本発明を実施するための形態（実施形態）について説明する。本発明は、以下に説明する実施形態に限定されない。

　なお、以下の説明において、マッチング装置は、マッチング対象のIPアドレスのリストと、参照用のIPアドレスのリストとのマッチングを行う。参照用のIPアドレスのリストは、例えば、悪性である可能性のあるIPアドレスのリストであり、ProxyサーバのIPアドレスのリスト、悪性IPアドレスのリスト等である。

　また、マッチング対象のIPアドレスのリストにおけるIPアドレス群は、それぞれ単体のIPアドレスである場合を例に説明する。また、参照用のIPアドレスのリストにおけるIPアドレス群は、それぞれ単体のIPアドレスまたはIPアドレスの範囲（レンジ）である場合を例に説明する。また、各リストは、例えば、総量が１Ｍ以上の大規模なリストであるものとする。

[概要]
　まず、図１を用いて、本実施形態のマッチング装置の概要を説明する。マッチング装置は、マッチング対象のIPアドレスのリスト（例えば、アクセスログから取得したアクセス元のIPアドレス等）と、参照用のIPアドレスのリストとをマッチングする。

　例えば、マッチング装置は、アクセス元のIPアドレスのリストと、参照用のIPアドレスのリストとをマッチングすることにより、各アクセスがProxyサーバ経由であるか否か等を判定する。例えば、マッチング装置は、アクセス元のIPアドレスが、参照用のIPアドレスのリストのProxyサーバのIPアドレス（IPアドレスのレンジ）に該当する場合、当該アクセスはProxyサーバ経由であると判定する。これにより、マッチング装置は、当該アクセス元のIPアドレスからのアクセスが、悪性のアクセスである可能性があるか否かを判定することができる。

　図２、図３を用いて、マッチング装置の動作概要を説明する。まず、マッチング装置は、参照用のIPアドレスのリストにおけるIPアドレスのレンジごとにインデックスを割り当てる（図２の（１）参照用のIPアドレスのリストにインデックスを割り当てる）。

　次に、マッチング装置は、参照用のIPアドレスのリストにおける各IPアドレスのレンジを、レンジの開始IPアドレスのレコードとレンジの終了IPアドレスのレコードとに分割する（（２）参照用のIPアドレスのリストのレンジを開始IPアドレスと終了IPアドレスに分割する）。

　このときマッチング装置は、開始IPアドレスのレコードには、開始IPアドレスのレコードであることを示す情報（例えば、BEGIN）を付与し、終了IPアドレスのレコードには、終了IPアドレスのレコードであることを示す情報（例えば、END）を付与する。

　次に、マッチング装置は、（２）の処理を行ったリストと、マッチング対象のIPアドレスのリストとを結合する（（３）マッチング対象のIPアドレスのリストと結合する）。このときマッチング装置は、マッチング対象のIPアドレスのレコードに、マッチング対象のIPアドレスのレコードであることを示す情報（例えば、TARGET）を付与する。

　図３の説明に移る。マッチング装置は、図２の（３）の処理を行ったリストの各レコードに対し、下記のルールで昇順のソートを行う（（４）下記のルールで昇順のソートを行う）。

　主キー：IPアドレス（IPアドレスを整数値としてソート）
　副キー：BEGIN＜TARGET＜ENDの順にソート

　上記のルールにより各レコードは、例えば、図３の符号３０１に示すようにソートされる。

　その後、マッチング装置は、（４）でソートされた各レコードについて、上から順に、同じインデックスを持つ開始IPアドレスのレコードと終了IPアドレスのレコードとの間に、マッチング対象のIPアドレスのレコードがあるか否かを判定する（（５）上から順に処理）。

　例えば、マッチング装置は、図３の符号３０２に示すリストの破線で囲んだ部分について、インデックス0（1.1.1.1-1.1.1.10）の開始IPアドレス（BEGIN）と終了IPアドレス（END）との間に、マッチング対象のIPアドレス（TARGET）1.1.1.2があると判定する。よって、マッチング装置は、マッチング対象のIPアドレス1.1.1.2が、参照用のIPアドレスのインデックス0（1.1.1.1-1.1.1.10）のIPアドレスのレンジに含まれる（マッチする）と判定する。

　マッチング装置が、上記のようにして各IPアドレスのリストのマッチングを行うことにより、各リストそれぞれが大規模なものであっても、マッチングに要する計算量を低減することができる。

　例えば、マッチング対象のIPアドレスのリストのIPアドレス数がMであり、参照用のIPアドレスのリストのIPアドレスのレンジの数がNである場合、各リストのIPアドレスのマッチングに要する空間計算量をO（M+N）にすることができる。また、例えば、マッチングに用いるソートアルゴリズムがTimsortである場合、各リストのIPアドレスのマッチングに要する時間計算量を、O（（M+N）log（M+N））にすることができる。

[構成例]
　次に、図４を用いてマッチング装置の構成例を説明する。図４に示すようにマッチング装置１０は、入出力部１１と、記憶部１２と、制御部１３とを備える。

　入出力部１１は、各種データの入出力を司るインタフェースである。例えば、入出力部１１は、マッチング対象のIPアドレスのリスト、参照用のIPアドレスのリスト等の入力を受け付ける。なお、各リストのIPアドレスは、IPv4のIPアドレスでもよいし、IPv6のIPアドレスでもよい。

　記憶部１２は、制御部１３が各種処理を実行する際に参照する各種データを記憶する。例えば、記憶部１２は、入出力部１１経由で入力されたマッチング対象のIPアドレスのリストや、参照用のIPアドレスのリストを記憶する。また、記憶部１２は、制御部１３がマッチングを行う過程で作成するデータを一時的に記憶する。

　制御部１３は、マッチング装置１０全体の制御を司る。制御部１３は、例えば、生成部１３１と、結合部１３２と、ソート部１３３と、判定部１３４と、判定結果出力部１３５とを備える。

　生成部１３１は、参照用のIPアドレスのリストにおけるIPアドレスのレンジごとに、当該IPアドレスのレンジの開始IPアドレスを示すレコードおよび終了IPアドレスを示すレコードを生成する。

　例えば、生成部１３１は、まず、参照用のIPアドレスのリストにおけるIPアドレスのレンジごとに、インデックスを付与する（図２の（１）参照）。そして、生成部１３１は、IPアドレスのレンジそれぞれについて、当該IPアドレスのレンジの開始IPアドレスのレコードおよび終了IPアドレスのレコードを生成する。

　そして、生成部１３１は、IPアドレスのレンジの開始IPアドレスのレコードには、当該レコードが開始IPアドレスのレコードであることを示す情報（例えば、BEGIN）を付与する。また、生成部１３１は、IPアドレスのレンジの終了IPアドレスのレコードには、当該レコードが終了IPアドレスのレコードであることを示す情報（例えば、END）を付与する（図２の（２）参照）。

　結合部１３２は、生成部１３１により生成されたレコードと、マッチング対象のIPアドレスのリストのIPアドレスのレコードとを結合する。また、このとき、結合部１３２は、マッチング対象のIPアドレスのレコードに、当該レコードがマッチング対象のIPアドレスのレコードである旨の情報（例えば、TARGET）を付与する（図２の（３）参照）。

　ソート部１３３は、結合部１３２により結合されたレコード群を、各レコードのIPアドレスを主キーとし、各レコードがマッチング対象のIPアドレスのレコードか、開始IPアドレスのレコードか、終了IPアドレスのレコードかを示す情報（例えば、TARGET、BEGIN、END）を副キーとしてソートする（図３の（４）参照）。例えば、ソート部１３３は、各レコードをBEGIN＜TARGET＜ENDの昇順でソートする。

　これによりソート部１３３は、例えば、TARGETが付されたレコードのIPアドレスと、BEGINまたはENDが付されたレコードのIPアドレスとが一致する場合でも、BEGINが付されたレコードとENDが付されたレコードとの間に、TARGETが付されたレコードが配置されるようにソートすることができる。

　なお、ソート部１３３が用いるソートアルゴリズムは、例えば、Timsort等である。

　判定部１３４は、ソート部１３３によりソートされたレコードにおいて、参照用のIPアドレスのリストにおけるいずれかのIPアドレスのレンジの開始IPアドレスのレコードと終了IPアドレスのレコードとの間に、マッチング対象のIPアドレスのレコードがある場合（図３の（５）参照）、当該マッチング対象のIPアドレスは、当該IPアドレスのレンジに該当すると判定する。

　なお、ソート部１３３によりソートされたレコードにおいて、参照用のIPアドレスのリストにおけるいずれのIPアドレスのレンジの開始IPアドレスを示すレコードと終了IPアドレスを示すレコードとの間にも、マッチング対象のIPアドレスのレコードがない場合、判定部１３４は、マッチング対象のIPアドレスのリストの各IPアドレスは、参照用のIPアドレスのリストにおけるいずれのIPアドレスのレンジにも該当しないと判定する。

　判定結果出力部１３５は、判定部１３４による判定の結果を出力する。例えば、判定部１３４により、マッチング対象のIPアドレスが、悪性IPリストのIPアドレスのレンジに該当すると判定された場合、判定結果出力部１３５は、マッチング対象のIPアドレスからのアクセスは、悪性のアクセスである可能性がある旨の判定結果を出力する。

　また、判定結果出力部１３５は、マッチング対象のIPアドレスがマッチするIPアドレスのレンジの属性情報を判定結果として出力してもよい。例えば、判定部１３４により、マッチング対象のIPアドレスが、Web　ProxyのIPアドレスのレンジおよびResidential　ProxyのIPアドレスのレンジに含まれると判定された場合、判定結果出力部１３５は、マッチング対象のIPアドレスは、Web　ProxyおよびResidential　Proxyからのアクセスである旨の判定結果を出力してもよい。

［処理手順の例］
　次に、図５を用いて、マッチング装置１０の処理手順の例を説明する。なお、マッチング装置１０は、参照用のIPアドレスのリストおよびマッチング対象のIPアドレスのリストを取得済みであるものとする。

　まず、マッチング装置１０の生成部１３１は、参照用のIPアドレスのリストにおける各IPアドレスのレンジのレコードにインデックスを割り当てる（Ｓ１）。次に、生成部１３１は、参照用のIPアドレスのリストの各IPアドレスのレンジのレコードを、開始IPアドレスのレコードと終了IPアドレスのレコードとに分割する（Ｓ２）。そして、結合部１３２は、Ｓ２で分割された参照用のIPアドレスのリストを、マッチング対象のIPアドレスのリストのレコードと結合する（Ｓ３）。

　Ｓ３の後、ソート部１３３は、Ｓ３で結合されたリストの各レコードを昇順にソートする（Ｓ４）。このときの主キーは、IPアドレスであり、副キーは、各レコードが、マッチング対象のIPアドレスのレコードか、開始IPアドレスのレコードか、終了IPアドレスのレコードかを示す情報(例えば、TARGET、BEGIN、END)である。

　例えば、ソート部１３３は、Ｓ３で結合されたリストの各レコードについて、主キーであるIPアドレスを整数値に変換した値が昇順になり、副キーであるTARGET、BEGIN、ENDがBEGIN＜TARGET＜ENDであるとして昇順になるようソートする。

　Ｓ４の後、判定部１３４は、ソート後の各レコードのうち、未処理のレコードについて上から順に、同じインデックスが付された開始IPアドレスのレコードと終了IPアドレスとの間に、マッチング対象のIPアドレスがあるか否かを判定する（Ｓ５）。

　ここで判定部１３４が、同じインデックスが付された開始IPアドレスのレコードと終了IPアドレスとの間に、マッチング対象のIPアドレスがあると判定した場合（Ｓ５でＹｅｓ）、当該マッチング対象のIPアドレスは、当該インデックスのIPアドレスのレンジに含まれる（マッチする）と判定する（Ｓ６）。そして、判定部１３４が、ソート後のすべてのレコードを処理済みと判定した場合（Ｓ７でＹｅｓ）、Ｓ８へ進む。一方、判定部１３４が、未処理のレコードがあると判定した場合（Ｓ７でＮｏ）、Ｓ５へ戻る。

　Ｓ７で、判定部１３４が、ソート後のすべてのレコードを処理済みと判定した場合（Ｓ７でＹｅｓ）、判定部１３４は、判定の結果を判定結果出力部１３５に出力する。そして、判定結果出力部１３５は、判定部１３４による判定の結果を入出力部１１経由で出力する（Ｓ８）。例えば、判定結果出力部１３５は、マッチング対象のIPアドレスが該当する（マッチする）IPアドレスのレンジの属性情報（例えば、Web　Proxy、Residential　Proxy等）と、マッチング対象のIPアドレスとを出力する。

　マッチング装置１０が上記の処理を行うことで、IPアドレスのリストがそれぞれ大規模なものであっても、マッチングに要する計算量を低減することができる。その結果、マッチング装置１０は、大規模なIPアドレスのリスト同士でも、高速かつ高効率でマッチングすることができる。

　例えば、マッチング装置１０が100万件のIPアドレスのリストと、100万件の参照用のIPアドレスのリストとをマッチングする場合、各リストのIPアドレスを１つ１つマッチングする場合と比べ、IPアドレス同士の比較回数を1/10000以下にすることができる。その結果、IPアドレスのリストのマッチングに要する時間を大幅に低減できる。

　なお、前記した図５のＳ５の処理は、例えば、以下のようにして行ってもよい。例えば、判定部１３４は、未処理のレコードについて上から順に見ていき、BEGINが付与されたレコードを見つけると、当該レコードに付与されたインデックスのフラグを立てる。また、判定部１３４は、TARGETが付与されたレコードを見つけると、フラグが立っているインデックスに対応するIPアドレスのレンジに、当該TARGETが付与されたレコードのIPアドレスが含まれると判定する。また、判定部１３４は、ENDが付与されたレコードを見つけると、当該レコードに付与されたインデックスのフラグを降ろす。

　判定部１３４は、上記の処理を上から順に最後のレコードまで実行する。そして、判定部１３４は、フラグの立っているインデックスに対応するIPアドレスのレンジを、マッチング対象のIPアドレスがマッチするIPアドレスのレンジとする。このようにすることで、判定部１３４は、例えば、マッチング対象のIPアドレスが複数のIPアドレスのレンジに含まれる場合でも、漏れなく検出することができる。

　例えば、図６に示すようにマッチング対象のIPアドレスが該当する複数のIPアドレスのレンジ同士が、入れ子状になっている場合（符号６０１参照）や、部分的に重複している場合（符号６０２参照）でも、漏れなく検出することができる。

　例えば、符号６０１に示す例の場合、判定部１３４は、マッチング対象のIPアドレス「1.1.1.2」が、インデックス0（1.1.1.1-1.1.1.10）およびインデックス1（1.1.1.1-1.1.1.5）に含まれることを検出することができる。

　また、符号６０２に示す例の場合、判定部１３４は、マッチング対象のIPアドレス「1.1.1.3」が、インデックス0（1.1.1.1-1.1.1.10）およびインデックス2（1.1.1.2-1.1.1.15）に含まれることを検出することができる。

[適用例]
　図７を用いて、マッチング装置１０によるIPアドレスのリストのマッチングの適用例を説明する。例えば、マッチング装置１０によるIPアドレスのマッチングを、図７の（１）に示すような、あるショッピングサイトにおけるクレジットカード決済のＩＰ（IPアドレス）ログと、あらかじめ用意したProxy　Listとのマッチングに適用してもよい。ここで、IPログに記載されたIPアドレスが、あらかじめ用意したProxy　ListのいずれかのIPアドレスのレンジに該当すれば、当該IPログに対応するアクセスはProxy経由の疑わしいアクセスと判断することができる。

　また、マッチング装置１０によるIPアドレスのマッチングを、図７の（２）に示すような、あるウェブサイトにおけるサーバへのアクセスログと、あらかじめ用意した悪性ＩＰ（IPアドレス）リストとのマッチングに適用してもよい。ここで、アクセスログに記載されたIPアドレスが、あらかじめ用意した悪性IPリストのいずれかのIPアドレスのレンジに該当すれば、当該ＩＰログに対応するアクセスは乗っ取られた端末によるアクセス等と判断することができる。

［システム構成等］
　また、図示した各部の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、ＣＰＵ及び当該ＣＰＵにて実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。

　また、前記した実施形態において説明した処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。

［プログラム］
　前記したマッチング装置１０は、パッケージソフトウェアやオンラインソフトウェアとしてプログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のプログラムを情報処理装置に実行させることにより、情報処理装置をマッチング装置１０として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS（Personal　Handyphone　System）等の移動体通信端末、さらには、PDA（Personal　Digital　Assistant）等の端末等がその範疇に含まれる。

　また、マッチング装置１０は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の処理に関するサービスを提供するサーバ装置として実装することもできる。この場合、サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。

　図８は、マッチングプログラムを実行するコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０、ＣＰＵ１０２０を有する。また、コンピュータ１０００は、ハードディスクドライブインタフェース１０３０、ディスクドライブインタフェース１０４０、シリアルポートインタフェース１０５０、ビデオアダプタ１０６０、ネットワークインタフェース１０７０を有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ROM（Read　Only　Memory）１０１１及びRAM（Random　Access　Memory）１０１２を含む。ROM１０１１は、例えば、BIOS（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１１００に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ１１００に挿入される。シリアルポートインタフェース１０５０は、例えばマウス１１１０、キーボード１１２０に接続される。ビデオアダプタ１０６０は、例えばディスプレイ１１３０に接続される。

　ハードディスクドライブ１０９０は、例えば、OS１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３、プログラムデータ１０９４を記憶する。すなわち、上記のマッチング装置１０が実行する各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール１０９３として実装される。プログラムモジュール１０９３は、例えばハードディスクドライブ１０９０に記憶される。例えば、マッチング装置１０における機能構成と同様の処理を実行するためのプログラムモジュール１０９３が、ハードディスクドライブ１０９０に記憶される。なお、ハードディスクドライブ１０９０は、SSD（Solid　State　Drive）により代替されてもよい。

　また、上述した実施形態の処理で用いられるデータは、プログラムデータ１０９４として、例えばメモリ１０１０やハードディスクドライブ１０９０に記憶される。そして、ＣＰＵ１０２０が、メモリ１０１０やハードディスクドライブ１０９０に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてRAM１０１２に読み出して実行する。

　なお、プログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０９０に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ１１００等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、プログラムモジュール１０９３及びプログラムデータ１０９４は、ネットワーク（LAN（Local　Area　Network）、WAN（Wide　Area　Network）等）を介して接続される他のコンピュータに記憶されてもよい。そして、プログラムモジュール１０９３及びプログラムデータ１０９４は、他のコンピュータから、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

　１０　マッチング装置
　１１　入出力部
　１２　記憶部
　１３　制御部
　１３１　生成部
　１３２　結合部
　１３３　ソート部
　１３４　判定部
　１３５　判定結果出力部

Claims (6)

1. 　参照用のIPアドレスの範囲を示すリストにおける前記IPアドレスの範囲ごとに、前記IPアドレスの範囲の開始IPアドレスを示すレコードおよび終了IPアドレスを示すレコードを生成する生成部と、
   　前記参照用のIPアドレスの範囲それぞれの開始IPアドレスを示すレコードおよび終了IPアドレスを示すレコードと、マッチング対象のIPアドレスを示すレコードとを結合する結合部と、
   　前記結合されたレコード群を、前記レコードのIPアドレスを主キーとし、前記レコードが、前記マッチング対象のIPアドレスのレコードか、前記開始IPアドレスを示すレコードか、前記終了IPアドレスのレコードかを示す情報を副キーとしてソートするソート部と、
   　前記ソートされたレコード群において、いずれかの前記IPアドレスの範囲の開始IPアドレスを示すレコードと終了IPアドレスを示すレコードとの間に、前記マッチング対象のIPアドレスのレコードがある場合、前記マッチング対象のIPアドレスは、当該IPアドレスの範囲にマッチすると判定する判定部と、
   　前記判定の結果を出力する判定結果出力部と
   　を備えることを特徴とするマッチング装置。
2. 　前記ソート部は、
   　前記結合されたレコード群を、各レコードのIPアドレスを主キーとし昇順でソートし、前記副キーについて、前記開始IPアドレスを示すレコード、前記マッチング対象のIPアドレスを示すレコード、前記終了IPアドレスを示すレコードの順になるようソートする
   　ことを特徴とする請求項１に記載のマッチング装置。
3. 　前記判定部が、
   　前記マッチング対象のIPアドレスが、いずれかの前記IPアドレスの範囲にマッチすると判定した場合、
   　前記判定結果出力部は、
   　前記マッチング対象のIPアドレスからのアクセスは、悪性のアクセスである可能性がある旨の判定結果を出力する
   　ことを特徴とする請求項１に記載のマッチング装置。
4. 　前記判定部が、
   　前記マッチング対象のIPアドレスが、いずれかの前記IPアドレスの範囲にマッチすると判定した場合、
   　前記判定結果出力部は、
   　前記マッチング対象のIPアドレスがマッチする前記IPアドレスの範囲それぞれの属性情報を出力する
   　ことを特徴とする請求項１に記載のマッチング装置。
5. 　マッチング装置により実行されるマッチング方法であって、
   　参照用のIPアドレスの範囲を示すリストにおける前記IPアドレスの範囲ごとに、前記IPアドレスの範囲の開始IPアドレスを示すレコードおよび終了IPアドレスを示すレコードを生成する工程と、
   　前記参照用のIPアドレスの範囲それぞれの開始IPアドレスを示すレコードおよび終了IPアドレスを示すレコードと、マッチング対象のIPアドレスを示すレコードとを結合する工程と、
   　前記結合されたレコード群を、前記レコードのIPアドレスを主キーとし、前記レコードが、前記マッチング対象のIPアドレスのレコードか、前記開始IPアドレスを示すレコードか、前記終了IPアドレスのレコードかを示す情報を副キーとしてソートする工程と、
   　前記ソートされたレコード群において、いずれかの前記IPアドレスの範囲における開始IPアドレスを示すレコードと終了IPアドレスを示すレコードとの間に、前記マッチング対象のIPアドレスのレコードがある場合、前記マッチング対象のIPアドレスは、当該IPアドレスの範囲にマッチすると判定する工程と、
   　前記判定の結果を出力する工程と
   　を含むことを特徴とするマッチング方法。
6. 　参照用のIPアドレスの範囲を示すリストにおける前記IPアドレスの範囲ごとに、前記IPアドレスの範囲の開始IPアドレスを示すレコードおよび終了IPアドレスを示すレコードを生成する工程と、
   　前記参照用のIPアドレスの範囲それぞれの開始IPアドレスを示すレコードおよび終了IPアドレスを示すレコードと、マッチング対象のIPアドレスを示すレコードとを結合する工程と、
   　前記結合されたレコード群を、前記レコードのIPアドレスを主キーとし、前記レコードが、前記マッチング対象のIPアドレスのレコードか、前記開始IPアドレスを示すレコードか、前記終了IPアドレスのレコードかを示す情報を副キーとしてソートするソート部と、
   　前記ソートされたレコード群において、いずれかの前記IPアドレスの範囲における開始IPアドレスを示すレコードと終了IPアドレスを示すレコードとの間に、前記マッチング対象のIPアドレスのレコードがある場合、前記マッチング対象のIPアドレスは、当該IPアドレスの範囲にマッチすると判定する工程と、
   　前記判定の結果を出力する工程と
   　をコンピュータに実行させることを特徴とするマッチングプログラム。

Images