分组过滤装置以及分组过滤方法与流程

本发明涉及以适于逻辑式计算的树形结构来表现作为防止网络攻击的技术的分组过滤的规则集，由此提高处理效率的分组过滤装置及其分组过滤方法。

背景技术：

针对信息系统的网络攻击正在急速增加，因此正在谋求针对网络攻击的对策。作为网络攻击的入侵路径，网络及usb存储器是代表性的。以往，作为防止来自网络的网络攻击的技术，存在分组过滤技术。分组过滤是依照规则集允许或拒绝分组的通过的结构。规则集由记述有分组应满足的条件和分组满足条件时的动作(action)的规则构成。在此，动作是指允许或拒绝分组通过。规则集内的规则的排列是有顺序的，依照该顺序来进行分组与规则的对照。分组满足规则中所记述的条件被称作“分组与规则匹配”、“分组和规则匹配”等。当分组过滤器接收到分组时，依照规则集内的顺序来进行分组与规则的对照，如果与规则匹配，则依照在该规则中确定的动作允许或拒绝分组，如果不匹配，则前进至与下一个规则的对照。在规则集的最后放置被称作默认规则的、与全部分组匹配的规则。由此构成为如下结构：即使在分组与其它任何规则均不匹配的情况下，也一定根据默认规则进行处理。

随着系统以及针对系统的攻击的复杂化，所对应的分组过滤的规则集增大。另一方面，由于依照顺序来逐个进行分组与规则的对照，因此，如果规则的数量增加，则直到对照完成所需的时间与之成比例地增加。因此，需要用于使处理高效化的技术。

专利文献1中公开有通过在规则集内调换规则顺序的方式使分组过滤高速化的技术。专利文献1的构思是这样的：越是频繁地与分组匹配的规则越将其放置在前方，越是频繁地与分组不匹配的规则越将其放置在后方，以此方式使处理高效化，因此，为了实现该目的，动态地进行规则集内的规则的调换。即，当分组过滤器动作时，记录各规则与分组匹配的次数，依照该次数来进行规则的调换。但是，不允许由于规则的调换而导致规则集的含义发生改变的情况，因此，只有在两个规则彼此不冲突的情况下，才对这两个规则进行调换。在此，两个规则冲突是指，两个规则的动作不同且在两个规则中记述的任意条件中存在重复的情况。例如考虑由收件方地址指定的条件。如果在一方的规则中将192.168.0.1～192.168.0.100这一范围记述为条件，而在另一方的规则中将192.168.0.50～192.168.0.150这一范围记述为条件，则这些条件重复。

在非专利文献1中公开有通过在进行通常的对照之前进行与之不同的对照处理，由此高速地筛掉大部分分组的方式使分组过滤高速化的技术。如果将规则视为逻辑式、分组的比特串视为代入逻辑式的值，则分组与规则匹配是在逻辑式的值为1时，且不限于此时。因此，能够通过逻辑式的计算来实现分组与规则的对照。因此，通过采用适于逻辑式的值的计算的数据结构，能够实现高速的对照。非专利文献1利用被称作bdd的树形结构的数据结构实现了高速的对照。但是，用bdd来表现规则集需要较大的存储区域，因此难以用bdd来表示规则集整体。因此，bdd的树形扫描截止到一定的深度。将其作为原本的分组过滤的预处理来进行，筛掉大部分分组，对剩余的分组进行通常的对照处理，由此能够缩短分组过滤整体的处理时间。

在先技术文献

专利文献

专利文献1：日本特开2000-174808号公报

非专利文献

非专利文献1:el-atawy,etal.,"adaptiveearlypacketfilteringfordefendingfirewallsagainstdosattacks,"ieeeinfocom,2009.

技术实现要素：

发明要解决的课题

关于非专利文献1所述的使用bdd的分组过滤，由于bdd是树形结构的数据结构，因此随着树形结构的深度增加，所需的存储区域呈指数函数性地增大。因此，无法在存储区域保存规则集整体，因而存在需要将基于bdd的处理截止到一定深度这样的课题。

本发明是为了解决上述那样的课题而完成的，其目的在于能够利用适于逻辑式计算的树形结构来处理规则集整体，由此实现高速的分组过滤。

用于解决课题的手段

为了解决在上文中叙述的课题，本发明的分组过滤装置具备：规则集，其保存条件与动作对应起来而成的规则以及zdd(zero-suppressedbinarydecisiondiagram，零压缩二元决策图)，该zdd表述利用逻辑变量记述了所述规则的所述条件的逻辑式；分组解析部，其对从网络接收到的分组进行解析，提取对照信息，该对照信息是作为对照对象的字符串；以及过滤部，其对所述分组解析部提取出的所述对照信息与所述zdd进行对照，执行与所述对照信息所符合的所述条件对应起来的所述动作来允许或拒绝所述分组的通信。

此外，本发明的是分组过滤装置的分组过滤方法，所述分组过滤装置具备存储部、分组解析部和过滤部，其中，所述存储部存储规则集，该规则集保存条件与动作对应起来而成的规则以及zdd(zero-suppressedbinarydecisiondiagram，零压缩二元决策图)，该zdd表述利用逻辑变量记述了所述规则的所述条件的逻辑式，在所述分组过滤方法中，包括：分组解析步骤，所述分组解析部对从网络接收到的分组进行解析，提取对照信息，该对照信息是作为对照对象的字符串；以及过滤步骤，所述过滤部对所述分组解析部提取出的所述对照信息与保存在所述存储部中的所述zdd进行对照，执行与所述对照信息所符合的所述条件对应起来的所述动作来允许或拒绝所述分组的通信。

发明效果

根据本发明，利用zdd来记述逻辑式，因此能够减小为了逻辑式计算而应保存的数据的尺寸，此外，虽然将zdd用于逻辑式的计算会发生计算错误，但由于具备订正该错误的结构，因此能够获得可正确且高速地计算逻辑式的效果。

附图说明

图1是示出实施方式1的分组过滤装置的一个结构例的图。

图2是示出作为实施方式1的分组过滤装置的应用对象的入侵检测装置的网络结构例(其一)的图。

图3是示出作为实施方式1的分组过滤装置的应用对象的入侵检测装置的网络结构例(其二)的图。

图4是示出入侵检测装置1的硬件结构例的图。

图5是示出入侵检测的规则集的一例的图。

图6是说明分组与规则的字符串的对照的图。

图7是说明将规则集记述为逻辑式的示例的图。

图8是说明以树形结构来表现逻辑式的示例的图。

图9是示出以基于zdd的数据结构来表现逻辑式的示例的图。

图10是说明二元决策树的简化规则的图。

图11是示出基于zdd的逻辑式的计算结果的示例的图。

图12是示出基于zdd的逻辑式的计算步骤的流程图。

图13是说明实施方式2的比特反转处理的图。

具体实施方式

实施方式1.

以下，参照附图对本实施方式的分组过滤装置的结构和动作进行说明。

图1是示出实施方式1的分组过滤装置的一个结构例的图。

图2是示出作为实施方式1的分组过滤装置的应用对象的入侵检测装置的网络结构例(其一)的图。

图3是示出作为实施方式1的分组过滤装置的应用对象的入侵检测装置的网络结构例(其二)的图。

首先，使用图2和图3，对应用分组过滤装置的网络结构例进行说明。

为了在公司内部局域网与互联网进行连接时维护公司内部局域网的安全这一目的，通常将控制公司内部局域网与互联网之间的通信的被称作防火墙的装置设置在公司内部局域网与互联网的交界处。图2是在上述那样的标准的网络结构中增加了入侵检测装置的结构。即，公司内部局域网等内部网络10经由入侵检测装置1和防火墙9与互联网等外部网络8连接。在此，根据防火墙9和入侵检测装置1在功能上的差异而将防火墙9和入侵检测装置1表述为不同的模块，但是，作为物理意义上的装置，可以是不同的装置，也可以是同一装置。

此外，图3的网络结构示出应用分组过滤装置的网络结构的另一例。与图2之间的差异在于设置入侵检测装置1的位置。在图2中，在将防火墙9与内部网络10连接的通信线路的中途设置入侵检测装置1，来遮蔽防火墙9与内部网络10之间的通信。但是，在图2中，是在防火墙9与内部网络10之间的中途、通信线路分支的端部设置入侵检测装置1，而并未遮蔽防火墙9与内部网络10之间的通信。这一设置位置的差异与根据针对分组的入侵检测结果如何处理分组相对应。即，在根据入侵检测结果要拦截分组的情况下，需要图2的结构，但是，在无需进行分组的拦截、而例如仅限于提高警戒的情况下，图3的结构就足够。

接下来，使用图1对实施方式1的分组过滤装置的结构进行说明。

在图1中，入侵检测装置1具备：接收通过了防火墙9的分组的接收部2、对接收到的分组的通信进行允许或拒绝的分组过滤装置3、以及将被允许通信的分组发送给内部网络的发送部7。

分组过滤装置3具备分组解析部4、规则集5和过滤部6。

分组解析部4对接收到的分组进行解析，提取出与规则的条件进行对照的对照信息。规则集5保存条件和动作对应起来而成的规则。过滤部6对从分组中提取出的对照信息与规则的条件进行对照，执行双方相符合的规则的动作。

图4是示出入侵检测装置1的硬件结构例的图。

在图4中，入侵检测装置1作为与一般的计算机同样的硬件结构来实现，构成为通过将总线11与处理器12和存储器13、还有lan等的网络端口14和15连接而成的结构。图4中，构成为假定是图2的系统结构的、具备两个网络端口的结构，并且是通过将网络端口14与外部网络侧、网络端口15与内部网络侧连接而成的结构。

接收部2是网络端口14，发送部7是网络端口15。

处理器12是执行程序的cpu(centralprocessingunit，中央处理单元)等。存储器13例如是ram(randomaccessmemory，随机访问存储器)等。

程序以被加载至存储器13的状态被依次读入处理器12而被执行。该程序是实现作为构成分组过滤装置3的分组解析部4、过滤部6进行说明的功能的程序。

此外，规则集5所存储的信息及数据、表示过滤部6的处理结果的信息、数据、信号值以及变量值作为文件被存储在存储器13中。

另外，图4的结构只不过示出各装置的硬件结构的一例，各装置的硬件结构不限于图4所述的结构，也可以是其他结构。

接下来，对存储在分组过滤装置3的规则集5中的规则详细地进行说明。

图5是示出入侵检测的规则集的一例的图。

图5中，作为入侵检测的规则集的示例，示出了由三个规则构成的规则集16。示出了如下示例：在规则集16中，作为规则的示例，以ip分组的发送源地址和发送目的地地址作为条件进行对照，作为与对照结果对应的动作，进行通信的允许或拒绝。规则中包含的星号*表示允许任意值的通配符。规则r1意味着，如果分组的发送源地址是192.168.0.*且发送目的地地址是192.168.0.*，则允许该分组的通信。规则r2意味着，如果发送源地址是192.168.1.10且发送目的地地址是192.168.0.*，则允许该分组的通信。规则r3意味着，如果发送源地址是192.168.1.*且发送目的地地址是192.168.0.*，则拒绝该分组的通信。

通常，根据写在规则集16上的规则依序进行分组与规则的对照。因此，虽然发送源地址是192.168.1.10、发送目的地地址是192.168.0.*的分组满足规则r2和r3双方，但是，由于先对照的是规则r2，因此依照与规则r2的对照结果而允许通信。但是，通常这样的基于发送源和发送目的地地址的通信的控制是防火墙9的功能。入侵检测装置1一般还利用地址以外的更具体的数据来进行通信的控制，但是，在此为了便于说明而示出了仅凭地址来进行通信控制的示例。

通常，图5的规则集16被记述为文本文件，上述分组与规则的对照以字符串的对照来实现。

图6是说明分组与规则的字符串对照的图。

在图6中，通过逐个字符串地比较规则中记述的发送源地址的字符串17和分组的发送源地址的字符串18的方式来判定规则与分组是否匹配。

接下来，对将分组过滤的规则集记述为逻辑式的示例进行说明。

图7是说明将规则集记述为逻辑式的示例的图。

图7中，为了简单起见，设地址为3比特值(0至7的整数值)，而省略了当规则与分组匹配时的动作。并且，以二进制来表述作为匹配条件的发送源和发送目的地的值。例如，规则r1与发送源地址是11*、发送目的地地址是***的分组匹配，但是，如果用十进制来表示该情况的话，则与发送源地址是6或7、发送目的地地址是0～7的分组匹配。

这里，以发送源和发送目的地的地址合起来使用6比特作为条件，但是，可以将这各个比特分别视为逻辑变量x1,x2,···,x6。于是，满足规则r1是在x1和x2均为1时，除此之外的逻辑变量的值可以是任何值。可以用逻辑变量的逻辑积来表示这样的条件，在规则r1的情况下，可以像逻辑积19那样来表示。实际上，当x1和x2均为1时且仅限于此时逻辑积19为1，因此，可以通过逻辑积19的值是否为1来判定分组与规则的匹配。

规则r2也同样，可以像逻辑积20那样来表示，可以将规则r1与r2合起来得到的规则表示为它们的逻辑和21。但是，一般在规则间存在依存关系，根据对照规则的顺序不同，过滤结果会发生变化。因此，需要注意的是，如果单纯地取21那样的逻辑和的话，则会丧失那样的依存关系。为了防止该情况，需要在取逻辑和之前进行规则的变形，取22所示的逻辑和。在22中，f(r)表示与规则r对应的逻辑式。在22中，逻辑积23意味着“不满足规则r1但满足规则r2”，因此，在满足规则r1的情况下，不满足逻辑积23，即，是否满足规则r2被无视。因此可知：实现了先对照规则r1这一原本的依存关系。

接下来，对以树形结构来表现上述逻辑式的示例进行说明。

图8是说明以树形结构来表现逻辑式的示例的图。

在图8的24中，以被称作二元决策树的树形结构来表现逻辑式25。在二元决策树中，依照逻辑变量的值在分支上前进时，逻辑式的值被作为终端节点给出。例如，虽然针对(x1，x2，x3)＝(1，0，1)的逻辑式25的值是1，但是，该计算对应的是如下情况：在二元决策树中，在分支26、27、28上前进，确认终端节点29的值。如果这样使用二元决策树，则通过与逻辑变量的数量相同次数的分支的扫描能够求出逻辑式的值，因此，特别是在逻辑变量的数量增加而使得逻辑式变得复杂的情况下，相较于对逻辑式进行四则运算，能够高速地求出值。因此，通过与如图7那样以逻辑式来表现分组过滤的规则的方式一同，还如图8那样以树形结构来表现分组过滤的规则，由此能够实现高速的分组过滤。

但是，在24那样的最简单的二元决策树上，由于将与各逻辑变量的值0、1对应的分支全部作为数据来保持，因此，如果逻辑变量的数量增加，则为了保持数据所需的存储区域呈指数函数地增加，导致无法保持全部数据。

因此，作为本发明的基本构思，是利用对二元决策树进行简化而得到的、被称作zdd(zero-suppressedbinarydecisiondiagrams，零压缩二元决策图)的数据结构来进行逻辑式的计算。

图9是示出以基于zdd的数据结构来表现逻辑式的示例的图。

在图9中，30的zdd是依照后述的简化规则对24的二元决策树进行简化而得到的图。zdd是适于对31那样的组合集合进行运算的数据结构。组合集合是指以变量的组合为要素的集合，zdd能够高效地判定数据是否满足组合集合。30的zdd能够判定数据是否满足组合x1x3或x2。例如，在分支32、33前进时，到达终端节点34，终端节点34的值是1。这与(x1，x3)＝(1，1)满足组合集合，具体而言是满足组合x1x3的情况对应。在此，本来还需要对x2＝0进行校验，但这里省略了校验，可以说，在zdd中仅进行1的校验。因此，只要是大部分的比特为0这样的稀疏数据，则大部分的校验被省略。这样，已知在zdd中根据情况呈指数函数式地减少为了保持数据所需的存储区域。

接下来，对二元决策树的简化规则进行说明。

图10是说明二元决策树的简化规则的图。

图10的35示意性地示出简化规则。在二元决策树36中，关注节点38。设节点38的分支源是子树37，从节点38以值0进行分支的端部是子树39，从节点38以值1进行分支的端部是终端节点40，终端节点40的值是0。这样，当从某一节点以值1进行分支的端部是值0的终端节点时，将该节点删除，而将前后的子树连上。在二元决策树36的情况下，执行如下简化：将节点38删除，将子树37与子树39连上，从而得到简化后的二元决策树41。

在本发明中，将zdd用于逻辑式的计算，而不是组合集合的运算。

图11是示出基于zdd的逻辑式的计算结果的示例的图。

在图11中，计算对象的逻辑式是42，这与图8的25相同。用在图10的30中示出的zdd来表示该逻辑式，通过在30中示出的zdd的分支前进来进行该逻辑式的值的计算。图11示出了那样求出的计算结果。

但是，可知：在图11的计算结果中，当(x1，x2，x3)＝(0，1，1)和(1，1，1)时，基于zdd的计算结果是错误的。这是因为，zdd省略了对值为0的校验。例如，当(x1，x2，x3)＝(1，1，1)时，在图10的zdd30中，在分支32和分支33前进而到达终端节点34，由此将逻辑式的值确定为1，但是，在该过程中省略了对变量x2的值为0的校验，而仅对(x1，x3)＝(1，1)进行了校验。当(x1，x3)＝(1，1)时，在此基础上，如果x2＝0，则(x1，x2，x3)＝(1，0，1)，如果将该值的组代入逻辑式42，则为1，因此基于zdd的计算结果正确。该结果与表43的分组6对应。但是，如果x2＝1，则(x1，x2，x3)＝(1，1，1)，如果将该值的组代入逻辑式42，则为0，因此基于zdd的计算结果错误。该结果与表43的分组8对应。另一方面，在基于zdd的计算结果为0的情况下，即，在分支前进的结果，到达值为0的终端节点的情况下，即使中途省略0的校验，即，无论省略校验后的逻辑变量的值为何值，该计算结果均正确。这个事实遵从图10的35示出的简化规则。

如上所述，由于zdd无法正确地进行逻辑式的计算，因此，需要对其进行订正的结构。发生zdd的计算错误是在zdd的计算结果为1时且在zdd的计算过程中省略了值的校验的逻辑变量中包含有值为1的逻辑变量时。因此，当基于zdd的计算结果为1时，如果在基于zdd的计算过程中省略了值的校验的变量的值全部为0，则基于zdd的计算结果正确。否则，基于zdd的计算结果错误，正确的结果是0。根据该情况，当基于zdd的计算结果为1时，通过对在基于zdd的计算过程中省略了值的校验的变量校验值全部是0还是并非如此，能够得到正确的结果。

但是，仅校验特定的逻辑变量的值需要存储该逻辑变量的编号等，会花费成本。本发明为了统一校验全部逻辑变量，在过滤部6中设置以下结构。在过滤部6中，在基于zdd的计算过程中，每当校验逻辑变量的值时，就将该逻辑变量的值改写为0。但是，在原来就是0的情况下，维持该状态即可。在进行这样的处理时，当基于zdd的计算结果为1时，值应为1的逻辑变量全部被改写为0，省略了值的校验的剩余的逻辑变量的值必须是0。因此，不是对各个逻辑变量进行判定，而是将全部逻辑变量汇总为整体来判定值是否等于0，如果等于0，则将整体的判定结果确定为1，如果不等于0，则将整体的判定结果确定为0。通常可以通过cpu的1个命令来执行这样的0判定。另一方面，如已经叙述的那样，当基于zdd的计算结果为0时，则不需要这样的最后的0判定，即将逻辑式的值确定为0。

下面，使用流程图对还包括计算错误订正处理在内的、上述进行了说明的基于zdd的逻辑式计算详细地进行说明。

图12是示出基于zdd的逻辑式的计算步骤的流程图。

由过滤部6来执行图12的处理。

首先，在步骤s101中，n比特的输入数据44被输入到过滤部6中。该输入数据相当于分组解析部4输出的、与规则的条件进行对照的对照信息。过滤部6将输入数据44保持在n比特的临时变量45中。这里，设输入数据的第k比特与逻辑变量x(k)对应，将临时变量45的第k比特表示为x(k)。此外，如果将临时变量45的n比特整体表示为x，则x＝(x(1)，…，x(n))。

接下来，步骤s102至s106是与在zdd中在分支前进的处理对应的循环，由此来执行基于zdd的逻辑式的计算。当在zdd中设当前关注的节点的逻辑变量为x(k)时，在步骤s103中，对作为临时变量的第k比特即x(k)的值进行校验，依照该值，在步骤s104中在分支中前进。然后，在步骤s105中，使作为临时变量的第k比特即x(k)为0。zdd的计算完成时，退出循环，在步骤s107中，依照zdd的计算结果使处理分支。如果计算结果是0，则确定为这是正确的结果，因此，在步骤s109中，输出0作为最终结果。另一方面，如果步骤s107的计算结果是1，则还未确定该计算结果是否正确，因此前进至步骤s108的0判定以确定该计算结果是否正确。

在步骤s108中，对临时变量x是否是0进行判定，如果是0，则在步骤s110中输出最终结果1，如果不是0，则在步骤s109中输出最终结果0。但是，步骤s108的0判定不是共计进行n次的对各比特x(k)的0判定，而是进行一次对n比特值x的0判定。

如上所述，本实施方式1的分组过滤装置利用zdd来记述逻辑式，因此能够减小为了逻辑式的计算而应保持的数据的尺寸，此外，虽然将zdd用于逻辑式的计算时会发生计算错误，但由于具备订正该错误的结构，因此可获得能够正确且高速地计算逻辑式的效果。

实施方式2.

对于很多比特为0的稀疏数据，zdd因简化而获得的尺寸缩小的效果显著。因此，在将分组过滤的规则记述为逻辑式之前，利用在对象系统中发生的实际通信的统计性的性质对逻辑变量进行转换，使得数据变得稀疏，通过这种方式有可能能够进一步减小利用zdd记述逻辑式时的尺寸。因此，在本实施方式2中，通过根据分组数据中的各比特为0的比例较高还是为1的比例较高来进行针对分组数据的比特反转处理，由此使得在反转后的分组数据中各比特为0的比例增高。分组数据的各比特为0或1的比例是在真正运用对象系统之前，通过预先观测实际通信而得到的。

图13是说明实施方式2的比特反转处理的图。

图13中，示出了通过使逻辑变量的值反转而使分组数据的各比特为0的比例增高的方法。

在图13中，设分组数据为4比特长度，各比特与逻辑变量x1，…，x4是对应起来的。如果观测例如100个实际通信中流通的分组的话，则关于分组的第1比特能够得到100个值，得到其中几个是0、几个是1的统计数据。表48示出这样在某一系统中观测实际通信的结果得到的统计数据的示例。

在表48中，分组的第1比特x1是0的比例为90％，是1的比例为10％，在第1比特中，0出现的比例较高。因此，在利用zdd来表现逻辑式时，可以期待能够大大简化与x1相关的部分。另一方面，分组的第2比特x2是0的比例为20％，是1的比例为80％，在第2比特中，1出现的比例较高。因此，可以认为，在利用zdd来表现逻辑式时，不怎么能够简化与x2相关的部分。因此，通过使第2比特的值反转而使得是0的比例成为80％、是1的比例成为20％。其结果是，在反转后的第2比特中，0出现的比例增高，由此在利用zdd表现逻辑式时，可以期待能够大大简化与反转后的x2相关的部分。

另外，比特的反转与对逻辑变量取逻辑非的情况对应，“反转后的x2”意味着“x2的逻辑非”。关于第3、第4比特也同样，整体上，如以逻辑式49所示，如果对4比特值(x1，x2，x3，x4)进行与4比特值0110的“异或”使第2、第3比特的值反转，则如表50所示，能够使0在全部比特中出现的比例增高。这样，如果将针对进行比特反转处理后的分组的规则表示为逻辑式并转换为zdd，则制作成针对稀疏数据的zdd，由此能够得到尺寸较小的zdd。这样进行比特反转处理而制作成的zdd被称作比特反转zdd。在此，使原本的比特及其值反转而得到的比特一一对应，因此，针对比特反转后的分组的过滤结果等于针对原本的分组的过滤结果。因此，利用比特反转处理，能够得到在减小zdd的尺寸的同时与原本相同的过滤结果。

如上所述，根据对象系统的实际通信的观测结果，根据需要进行比特反转处理，使得在全部比特中值为0的比例较高，使得数据稀疏，因此在利用使用了与该数据对应的逻辑变量的逻辑式来表示分组过滤的规则并利用zdd来表示该规则时，能够减小zdd的尺寸的效果。

标号说明

1：入侵检测装置；2：接收部；3：分组过滤装置；4：分组解析部；5：规则集；6：过滤部；7：发送部；8：外部网络；9：防火墙；10：内部网络；11：总线；12：处理器；13：存储器；14、15：网络端口；16：规则集的示例；17：规则中记述的发送源地址的字符串；18：分组的发送源地址的字符串；19～23、25、42、49：逻辑式；24、36：二元决策树；26～28：分支；29、40：终端节点；30：zdd；31：组合集合；32、33：分支；34：终端节点；35：简化规则；37、39：子树；38：节点；41：被简化后的二元决策树；43：基于zdd的计算结果；44：输入数据；45～47：临时变量；48：观测实际通信的结果得到的统计数据的示例；50：比特反转处理的示例。