专利名称:中继装置、数据包过滤方法以及数据包过滤程序的制作方法
技术领域:
本发明涉及对通信报文按每个数据包进行中继的中继装置、数据包过滤方法以及数据包过滤程序。
背景技术:
在互联网等通信系统中,为了防御外来攻击,提出有各种对在互联网上收发的数据进行过滤的技术方案。作为外来攻击的例子,例如包括缓冲器溢位攻击以及格式化字符串攻击等,这类攻击大部分都是使用违反了OSI(Open Systems Interconnection开放系统互连)参照模式的应用层协议(例如相当于HTTP(Hyper Text Transfer Protocol)和SMTP(Simple Mail Transfer Protocol)等)所规定的通信协议的通信报文进行攻击。
违反了应用层协议的报文,由于在其数据里,也就是数据包的有效负载(数据包中除了报头信息外的本来要传送的数据本身)中存在不正当因素,所以,使用通过参照数据包的报头信息来检测不正当数据的数据包过滤方法无法检测出不正当的数据。要检测出应用层协议中的不正当报文,必须参照数据本身的内容,作为这样地检测不正当报文的装置,有应用网关(例如参照下记非专利文献1)。
非专利文献1「伊藤幸夫,紫藤政义,野口修著「图解·标准最新VPN手册」秀和系统,2003年5月,P.56-61」。
应用网关是介于服务器与客户机之间的一种代理服务器,其把被收发的数据作为报文流进行监视。即,把作为数据包而在网络上传送的数据,在应用网关中再次组成通信报文,通过解析被再组成的通信报文来检测出不正当的数据。因此,应用网关在能够判断通信报文不是不正当数据之前,不进行数据包的中继,因此,网络上的数据包流被一时中断,由此造成通信延迟。此外,由于应用网关需按照每个协议进行上述不正当通信报文的检测,所以有多少协议就必须有多少应用网关。
发明内容
本发明就是为了解决上述问题而提出的,其目的是提供一种中继装置、数据包过滤方法以及数据包过滤程序,其可防止通信延迟的增加,可不分协议种类地检测出应用层协议中的不正当通信报文。
为了达到上述的目的,本发明的中继装置,用于对通信报文按每个数据包进行中继,其特征在于,包括顺序判断单元,其判断所接收的数据包是否是按照应接收的顺序接收的数据包;数据包保持单元,其在由上述顺序判断单元判断上述数据包不是按照上述应接收的顺序接收的情况下,控制为在保持该数据包的同时进行该数据包的中继;合并单元,其根据上述应接收的顺序,判断由上述数据包保持单元所保持的数据包是否是应与在被保持之后接收的数据包合在一起进行验证的数据包,根据该判断,决定是否把该接收的数据包的有效负载与该被保持的数据包的有效负载合并;验证单元,其在由上述顺序判断单元判断数据包是按照上述应接收的顺序接收的情况下,验证该数据包的有效负载、或由上述合并单元合并的该数据包的有效负载是否符合预先规定的规则,并且为了在上述通信报文中的下一次的验证中使用,而保持关于该验证内容的信息;和中继控制单元,在由上述验证单元验证为上述数据包符合上述规则的情况下,控制为进行该数据包的中继,在由上述验证单元验证为上述数据包不符合上述规则的情况下,控制为禁止该数据包的中继。
根据上述的中继装置,由于在每次接收数据包时,先进行关于是否为正当的有效负载的验证,然后发送该数据包,所以在应用层协议中的是否为不正当的通信报文的检测中,可防止通信延迟的增加。另外,对于在进行是否正当的验证中所使用的规则,可不考虑应用层协议的种类进行设定,所以可不分协议种类地检测出不正当的通信报文。
另外,作为一例,优选使用自动机进行上述验证单元的验证、以及关于验证内容的信息的保持。在使用了自动机的情况下,能够以宣告的形式记述用于进行验证以及验证内容的保持的上述规则,从而可容易地进行规则的作成、验证以及维护。
另外,本发明除了如上述那样可记述为中继装置的发明以外,还可以如以下那样记述为数据包过滤方法以及数据包过滤程序的发明。这些只是类型不同,但实质上是同一性质的发明,并具有相同的作用和效果。
本发明的数据包过滤方法,是在对通信报文按每个数据包进行中继的中继装置中使用的数据包过滤方法,其特征在于包括顺序判断步骤,判断所接收的数据包是否是按照应接收的顺序接收的数据包;数据包保持步骤,在上述顺序判断步骤判断上述数据包不是按照上述应接收的顺序接收的情况下,控制为在保持该数据包的同时进行该数据包的中继;合并步骤,根据上述应接收的顺序,判断在上述数据包保持步骤所保持的数据包是否是应与在被保持之后接收的数据包合在一起进行验证的数据包,根据该判断,把该接收的数据包的有效负载与该被保持的数据包的有效负载合并;验证步骤,在上述顺序判断步骤判断数据包是按照上述应接收的顺序接收的情况下,验证该数据包的有效负载、或上述合并步骤合并的该数据包的有效负载是否符合预先规定的规则,并且保持关于该验证内容的信息,以便在上述通信报文中的下一次验证中使用;和中继控制步骤,在上述验证步骤验证为上述数据包符合上述规则的情况下,控制为进行该数据包的中继,在上述验证步骤验证为上述数据包不符合上述规则的情况下,控制为禁止该数据包的中继。另外,作为一例,优选使用自动机进行上述验证步骤的验证、以及关于验证内容的信息的保持。
本发明的数据包过滤程序,使对通信报文按每个数据包进行中继的中继装置中进行以下处理即顺序判断处理,判断所接收的数据包是否是按照应接收的顺序接收的数据包;数据包保持处理,在通过上述顺序判断处理判断上述数据包不数据包是按照上述应接收的顺序接收的情况下,进行控制,使得在保持该数据包的同时进行该数据包的中继;合并处理,根据上述应接收的顺序,判断通过上述数据包保持处理所保持的数据包是否是应与在被保持之后接收的数据包合在一起进行验证的数据包,根据该判断,把该接收的数据包的有效负载与该被保持的数据包的有效负载合并;验证处理,在通过上述顺序判断处理判断数据包是按照上述应接收的顺序接收的情况下,验证该数据包的有效负载、或通过上述合并处理被合并的该数据包的有效负载,是否符合预先规定的规则,并且保持关于该验证内容的信息,以便在上述通信报文中的下一次的验证中使用;和中继控制处理,在通过上述验证处理验证为上述数据包符合上述规则的情况下,控制为进行该数据包的中继,在通过上述验证处理验证为上述数据包不符合上述规则的情况下,控制为禁止该数据包的中继。作为一例,优选使用自动机进行上述验证处理的验证、以及关于验证内容的信息的保持。
根据本发明,由于如上述那样在每次接收数据包时,先进行关于是否为正当的有效负载的验证,然后发送该数据包,所以在对于应用层协议中是否为不正当的通信报文的检测中,可防止通信延迟的增加。另外,对于在是否正当的验证中所使用的规则,可不考虑应用层协议的种类进行设定,所以可不分协议种类地检测出不正当的通信报文。
图1是表示实施方式的中继装置的结构的图。
图2是表示数据包的发送和接收的顺序的一例的图。
图3是表示实施方式中的由中继装置执行的处理的流程图。
图4是表示自动机的显示例的图。
图5是表示实施方式的数据包过滤程序的结构的图。
图中符号说明10…中继装置;11…接收部;12…发送部;13…顺序判断部;14…数据包保持部;15…合并部;16…验证部;17…中继控制部;20…发送方;30…送达方;40…存储介质40a…程序存储区域;41…数据包过滤程序;41a…顺序判断模块;41b…数据包保持模块;41c…合并模块;41d…验证模块;41e…中继控制模块。
具体实施例方式
下面,参照附图,对本发明的最佳实施方式进行详细说明。此外,在附图的说明中,对相同或等同的部分标记相同的符号,并省略重复说明。
图1表示本实施方式的中继装置10的结构。中继装置10通过把从发送方20发送来的数据包向送达方30发送,来进行数据包的中继。中继装置10具体由CPU和存储器等构成,其优选由例如路由器和桥接器等信息处理装置来实现。发送方20例如相当于发送数据的服务器装置,或是其它的中继装置。送达方30相当于数据送达方的客户机装置。
这里所谓的数据包,是指为了通过网络收发通信报文即数据,而被细分割,并被附加了送达方的地址等控制信息的数据。当数据的送达方接收到一连串的数据包时,通过再编辑还原成原来的数据。数据包的大小根据数据链层可发送数据的大小来决定。
在本实施方式中,数据包的发送主要采用TCP(TransmissionControl Protocol传输控制协议)的例子。数据包在通信报文、即数据被分割时,被附加了存储了上述控制信息的报头。该报头里存储有用于根据数据包正确地再组成(复原)数据的顺序信息,即序号等。通过使序号按照从小到大的顺序依次连结数据包的有效负载,进行数据的再组成。此外,被发送的一连串数据包在送达方未必是依照序号的顺序被接收。这是因为各个数据包在互联网上是经由不同路径的中继等原因。序号根据有效负载的大小决定如下。例如第一个数据包的序号为2001,有效负载的大小为1000字节时,下一个数据包的序号就是3001,再下一个序号为4001。
图2表示数据包的分割和再组成的简单示例。如图2所示,在数据的发送侧,对要发送的数据进行分割,并在被分割的各个数据包的报头中附加用于再组成的“1”、“2”、“3”、“4”,并依照该顺序进行传送。在数据的接收侧,则未必是依照“1”、“2”、“3”、“4”的顺序接收数据包,而有时会按照如图2所示的“1”、“3”、“2”、“4”的顺序接收。即使在这样的情况下,也能依照数据包的报头中所包含的顺序信息,将数据再组成。
接下来,说明中继装置10的各项功能。如图1所示,中继装置10包括接收部11、发送部12、顺序判断部13(顺序判断单元),数据包保持部14(数据包保持单元)、合并部15(合并单元)、验证部16(验证单元)、以及中继控制部17(中继控制单元)。此外,中继装置10如代理服务器那样,对向送达方30发送的通信报文的全部数据包进行中继。
接收部11是用于接收从发送方20发送的应被中继的数据包的接收单元。发送部12是用于将由接收部11所接收的应被中继的数据包,发送到送达方30的发送单元。
顺序判断部13是判断单元,其参照由接收部11所接收的数据包,判断该数据包是否是依照应接收的顺序接收的数据包。这里,作为应接收的顺序,可以使用例如再组成数据的顺序,即从小到大的顺序。对于是否是依照应接收的顺序接收的数据包的判断,优选参照数据包的报头信息进行。把关于判断结果的信息分别发送到数据包保持部14、合并部15以及验证部16。
数据包保持部14是,在顺序判断部13判断所接收的数据包不是按照应接收的顺序接收的数据包时,将该被接收的数据包(数据包副本)保持的单元。此外,数据包保持部14控制发送部12,使其把该数据包发送到规定的送达方30。
合并部15是合并单元,其判断由数据包保持部14所保持的数据包是否是应该与在该保持后由接收部11所接收的数据包一起进行验证的数据包,并根据该判断,将接收的数据包的有效负载与所保持的数据包的有效负载合并。此处所进行的验证由验证部16进行,具体的判断方法将在后面叙述。
验证部16是进行验证的部分,其在判断部13判断所接收的数据包是按照应接收的顺序接收的数据包的情况下,验证数据包有效负载是否符合事先设定的规则。此处,成为验证对象的数据包的有效负载,在为所接收的数据包的有效负载、与被合并部15保持在数据包保持部14中的数据包的有效负载合并的有效负载的情况下,确定其为合并后的有效负载。此外,验证部16保持关于该验证内容的信息,以便在同一通信报文中的下一次验证中使用。在同一通信报文的下一次数据包验证时,通过使用所保持的关于验证内容的信息,可获得与验证报文流的情况相同的效果。要验证不正当的通信报文,光靠验证所接收的数据包是否符合规定并不足以进行充分的验证,但通过验证由数据包构成的报文流,可检测出不正当的通信报文。此外,也可以对同一通信报文,将所接收的数据包(数据包副本)全部保存起来,在适当时候,使用这些再组成该所接收的数据包,并对其数据进行验证。
关于验证部16的验证,具体而言,可以将成为验证对象的有效负载作为字符串数据进行处理,并通过判断该字符串数据是否符合预先设定的规则来进行验证。作为预先设定的规则,最好是采用可检测出违反了在应用层协议中所规定的通信规定的通信报文的规则。该规则有符合该字符串数据所规定的模式、和不符合该模式的规则。而且,除此以外还有不含字符串以外的控制代码等的规则。由于在不正当的通信报文中,通常都含有控制代码,所以使用该规则可检测出该控制代码。另外,如果使该规则包含与特定的协议对应的规则,则能更精确地检测出该协议中的不正当的通信报文。
中继控制部17是用于控制发送部12的部分,其在验证部16验证为数据包符合规则时,控制发送部12进行该数据包的发送,在验证部16验证为数据包不符合规则时,控制发送部12禁止该数据包的发送。
以下,结合图3的流程图,说明本实施方式中的中继装置10所执行的处理。在中继装置10对从发送方20向送达方30发送的通信报文的数据包进行中继时,进行该处理。在TCP中,在发送方20与中继装置10之间确立了连接后,进行数据包的发送。
数据包一旦被发送,在中继装置10中,由接收部11接收抵达的数据包(S01)。接收部11通过参照在所接收的数据包的报头信息中所包含的发送方20及送达方30的IP(网络协议)地址、发送方20及送达方30的出口编号、以及确定应用层协议的信息,来确定该数据包是基于哪个连接所接收的数据包,并将该数据包保持。另外,接收部11参照数据包报头信息,确定数据包是属于哪个通信报文的数据包。另外,接收部11根据这些信息和由中继装置10所保持的路径选择表,来确定送达方30(中继目的地)。
然后,顺序判断部13判断所接收的数据包是否是依照应接收的顺序接收的数据包(S02)。通过读出所接收的数据包,并参照在数据包的报头中所包含的序号,进行该判断。
例如,如图2中的数据包“1”那样,在判断其是按照应接收的顺序接收的数据包的情况下,合并部15进一步判断在由数据包保持部14所保持的数据包中,是否存在应该与所接收的数据包合并的数据包(S03)。在数据包“1”的情况下,由于是同一通信报文中的第一个接收的数据包,所以不存在应合并的数据包。在图2中,是基于数据包再组成数据,但是在中继装置10中,通常不进行数据的再组成。
接下来,验证部16验证所接收的数据包的有效负载是否符合规则(S05)。这里,在判断数据包符合规则,也就是不是不正当的通信报文的情况下,中继控制部17控制发送部12,使其将该数据包发送到送达方30。接受控制的发送部12进行数据包的发送(S06)。另外,此处是根据所接收的全部数据包的信息来进行是否是不正当通信报文的判断。即,有根据在该判断之后所接收的数据包的信息,判断是不正当的通信报文的情况。此外,在判断数据包符合规则的情况下,验证部16将关于验证内容的信息保持。此时,若该通信报文的数据包都被发送出去,则结束处理(S08)。
在通过验证部16的验证,判断数据包是不符合规则的数据包,即是不正当的通信报文时,中继控制部17控制发送部12,使其禁止把该数据包发送到送达方30。受到控制的发送部12,禁止数据包的发送(S07)。一旦数据包被禁止发送,则对于之后接收的数据包都禁止发送,并结束处理。此外,在一系列的数据包验证处理中,在判断正在处理的数据包不符合规则时,之前的数据包虽然已经被发送到送达方30,可是在送达方30通常会在数据包全部抵达后才将数据转送到应用层,所以能防止基于不正当的通信报文的攻击等。
在S08,在还未完成全部数据包的发送时,接收部11继续进行数据包的接收(S01)。然后,顺序判断部13判断接收的数据包是否是依照应接收的顺序接收的数据包(S02)。这里,例如在如图2中的数据包“3”那样被判断不是按照应接收的顺序接收的数据包(在应在数据包“3”之前接收的数据包“2”之前接收到数据包“3”)时,数据包保持部14保持该数据包的副本(S09)。然后,数据包保持部14控制发送部12,使其将该数据包发送到送达方30。接受控制的发送部12进行数据包的发送(S10)。通过该处理,将以比应接收的顺序提前的顺序接收的数据包保持在数据包保持部14中。
接下来,接收部11进行数据包的接收(S01),顺序判断部13判断所接收的数据包是否是按照应接收的顺序接收的数据包(S02)。这里,例如在如图2中的数据包“2”那样,到数据包“1”为止的数据包经过验证,并被判断是按照应接收的顺序接收的数据包时,合并部15进一步判断在由保持部14所保持的数据包中是否存在应与所接收的数据包合并的数据包(S03)。为了进行此判断,顺序判断部13读出数据包保持部14所保持的数据包,并参照数据包报头中的序号。通过根据应接收的顺序判断所保持的数据包是否是应与所接收的数据包合在一起进行验证的数据包,来进行该判断。例如,在被保持的数据包中,存在序号为接在所接收的数据包的序号之后的序号的数据包的情况下,判断该被保持的数据包是应与所接收的数据包合在一起进行验证的数据包,并判断这些是应合并的数据包。例如在图2的例子中,保持有数据包“3”,当接收到数据包“2”时,由于数据包“3”应接在数据包“2”之后,因此,判断所保持的数据包“3”是应与所接收的数据包“2”合并的数据包。
然后,合并部15将两个数据包的有效负载合并,使验证部16能够进行验证(S04)。之后,验证部16验证被合并的有效负载是否符合规则(S05)。此处的验证,在进行该验证之前进行针对同一通信报文的数据包的验证的情况下,使用保持在验证部16中的有关验证内容的信息进行验证。在图2的例中,在进行关于数据包“2”及“3”的有效负载的验证时,参照之前验证过的数据包“1”的验证内容进行验证。
在此,在数据包符合规定,也就是被判断不是不正当的通信报文时,中继控制部17控制发送部12将该数据包发送给送达方30。受到控制的发送部12进行数据包的发送(S06)。由于被保持在数据包保持部14中的数据包都被发送出去,因此,这里在被发送的数据包中最好不含被保持的数据包。此时,在发送了该通信报文的全部数据包的情况下,结束处理(S08)。在判断为不符合规则的情况下,与上述的处理相同。
根据本实施方式的中继装置10,由于在每次接收到数据包时,都是先对有效负载进行是否为是否正当的验证,然后再发送该数据包,因此在对应用层协议中的不正当通信报文的检测中,能够防止通信延迟的增大。此外,由于对在进行不正当通信报文的验证中所使用的规则,可不根据应用层协议种类进行设定,所以无论何种协议,都能够检测出不正当的通信报文。
另外,对于由验证部16所进行的验证、以及有关验证内容的信息的保持,最好使用自动机进行。自动机的验证可利用根据数据包的有效负载内容的状态变化来进行。此外,可以预先把自动机中的状态设定成与验证内容对应,通过在验证部16每次验证该状态时,将该状态保持,来进行验证内容的保持。
作为自动机的状态显示,有如图4所示的状态。例如,首先,如图4的例(a)所示,使用正常显示,预先把由英文字母构成的信息定义为“echo_message”。另外,如图4的例(b)所示,作为初始状态(INITIAL)而定义为“receive”状态。在括号内定义状态“receive”,表示在有效负载的内容与“echo_message”一致时,便迁移到状态“reply”。如图4的例(c)所示,状态“reply”是发送所接收的数据包的状态。即,图4的例子(a)~(c)所示的自动机,能够这样地判断出数据包的有效负载是由英文字母构成的字符串的情况。此外,如图4的例子(d)所示,还能判断出报文长度。
通过这样地使用自动机,能够以宣告的形式记述用于进行验证以及验证内容的保持的上述规则,并且容易进行规则的作成、验证以及维护。而且能够严谨地记述在应用层协议中的通信报文的收发。
另外,在形成对被分割的数据包进行进一步分割的分段的情况下,通过参照被分段的数据中的标志,可判断出数据包的顺序,并可进行上述的处理。
下面,对用于使中继装置10执行上述一系列处理(数据包过滤方法)的数据包过滤程序进行说明。如图5所示,数据包过滤程序41被存储在中继装置10的储存介质40中的程序存储区域40a内。
数据包过滤程序41包含顺序判断模块41a、数据包保持模块41b、合并模块41c、验证模块41d以及中继控制模块41e。由顺序判断模块41a所实现的功能与中继装置10的顺序判断部13的功能相同。相同地,数据包保持模块41b与数据包保持部14的功能相对应,合并模块41c与合并部15的功能相对应,验证模块41d与验证部16的功能相对应,中继控制模块41e与中继控制部17的功能相对应。
数据包过滤程序41可以通过把其一部分或全部,通过通信线路等传送介质传送,并利用其它机器接收、储存(包括安装)。另外,上述程序也可以通过被储存在计算机可读取的储存介质中进行发布。这类储存介质包括例如硬盘和软盘等磁盘介质、CD-ROM及DVD-ROM等光学存储介质、磁光盘等磁盘光学存储介质、或者是为了存储或执行程序指令而特别设置的,例如RAM、ROM、以及半导体不易失性存储器等硬件装置等。另外,也可以预先把用于从这样的储存介质中读取程序的存储介质读取用驱动器(例如软盘驱动器等)与中继装置10连接。
本发明可以作为中继装置、数据包过滤方法和数据包过滤程序使用,其能够防止通信延迟的增大,并且可不分协议种类地检测出在应用层协议中的不正当通信报文。
权利要求
1.一种中继装置,其用于对通信报文按每个数据包进行中继,其中包括顺序判断单元,其判断所接收的数据包是否是按照应接收的顺序接收的数据包;数据包保持单元,其在由上述顺序判断单元判断上述数据包不是按照上述应接收的顺序接收的情况下,控制为在保持该数据包的同时进行该数据包的中继;合并单元,其根据上述应接收的顺序,判断由上述数据包保持单元所保持的数据包是否是应与在被保持之后接收的数据包合在一起进行验证的数据包,根据该判断,把该接收的数据包的有效负载与该被保持的数据包的有效负载合并;验证单元,其在由上述顺序判断单元判断数据包是按照上述应接收的顺序接收的情况下,验证该数据包的有效负载、或由上述合并单元合并的该数据包的有效负载是否符合预先规定的规则,并且保持关于该验证内容的信息,以便在上述通信报文中的下一次验证中使用;和中继控制单元,其在由上述验证单元验证为上述数据包符合上述规则的情况下,控制为进行该数据包的中继,在由上述验证单元验证为上述数据包不符合上述规则的情况下,控制为禁止该数据包的中继。
2.根据权利要求1所述的中继装置,其特征在于使用自动机进行上述验证单元的验证、以及关于验证内容的信息的保持。
3.一种数据包过滤方法,在对通信报文按每个数据包进行中继的中继装置中使用,其包括以下步骤顺序判断步骤,判断所接收的数据包是否是按照应接收的顺序接收的数据包;数据包保持步骤,在上述顺序判断步骤中判断上述数据包不是按照上述应接收的顺序接收的情况下,控制为在保持该数据包的同时进行该数据包的中继;合并步骤,根据上述应接收的顺序,判断在上述数据包保持步骤所保持的数据包是否是应与在被保持之后接收的数据包合在一起进行验证的数据包,根据该判断,把该接收的数据包的有效负载与该被保持的数据包的有效负载合并;验证步骤,在上述顺序判断步骤中判断数据包是按照上述应接收的顺序接收的情况下,验证该数据包的有效负载、或在上述合并步骤中合并的该数据包的有效负载是否符合预先规定的规则,并且保持关于该验证内容的信息,以便在上述通信报文中的下一次验证中使用;和中继控制步骤,在上述验证步骤验证为上述数据包符合上述规则的情况下,控制为进行该数据包的中继,在上述验证步骤验证为上述数据包不符合上述规则的情况下,控制为禁止该数据包的中继。
4.根据权利要求3所述的数据包的过滤方法,其特征在于使用自动机进行上述验证步骤的验证、以及关于验证内容的信息的保持。
5.一种数据包过滤程序,用于使对通信报文按每个数据包进行中继的中继装置进行以下处理即顺序判断处理,判断所接收的数据包是否是按照应接收的顺序接收的数据包;数据包保持处理,在通过上述顺序判断处理判断上述数据包不是按照上述应接收的顺序接收的情况下,进行控制,使得在保持该数据包的同时进行该数据包的中继;合并处理,根据上述应接收的顺序,判断通过上述数据包保持处理所保持的数据包是否是应与在被保持之后接收的数据包合在一起进行验证的数据包,根据该判断,把该接收的数据包的有效负载与该被保持的数据包的有效负载合并;验证处理,在通过上述顺序判断处理判断数据包是按照上述应接收的顺序接收的情况下,验证该数据包的有效负载、或通过上述合并处理被合并的该数据包的有效负载,是否符合预先规定的规则,并且保持关于该验证内容的信息,以便在上述通信报文中的下一次验证中使用;和中继控制处理,在通过上述验证处理验证为上述数据包符合上述规则的情况下,控制为进行该数据包的中继,在通过上述验证处理验证为上述数据包不符合上述规则的情况下,控制为禁止该数据包的中继。
6.根据权利要求5所述的数据包过滤程序,其特征在于使用自动机进行上述验证处理的验证、以及关于验证内容的信息的保持。
全文摘要
一种用于对通信报文按每个数据包进行中继的中继装置。该中继装置(10)包括顺序判断单元(13),其判断所接收的数据包是否是按照应接收的顺序接收的数据包;数据包保持单元(14),其在判断上述数据包不是按照应接收的顺序接收的数据包的情况下,保持该数据包,并且进行数据包的中继;合并单元(15),其把接收的数据包的有效负载与被保持的数据包的有效负载合并;验证单元(16),其验证数据包的有效负载是否符合预先规定的规则;和中继控制单元(17),其在由上述验证单元验证为上述数据包符合上述规则的情况下,进行该数据包的中继。由此,可防止通信延迟的增加,并且可不分协议种类地检测出在应用层协议中的不正当的通信报文。
文档编号H04L29/06GK1839601SQ200580000740
公开日2006年9月27日 申请日期2005年5月26日 优先权日2004年5月31日
发明者河野健二, 品川高广, 卡比尔·拉哈特 申请人:独立行政法人科学技术振兴机构