分组过滤装置制造方法及图纸

本发明专利技术涉及以适于逻辑式计算的树形结构来表现作为防止网络攻击的技术的分组过滤的规则集，提高处理效率的分组过滤装置以及其分组过滤方法。分组过滤装置具备：规则集，其存储条件与动作对应起来而成的规则；以及ZDD(Zero‑Suppressed Binary Decision Diagram，零压缩二元决策图)，其表述通过利用逻辑变量记述规则的条件的逻辑式；分组解析部，其对从网络接收到的分组进行解析，提取对照信息，该对照信息是作为对照对象的字符串；以及过滤部，其对分组解析部提取出的对照信息和ZDD进行对照，执行与对照信息所符合的条件对应起来的动作来允许或拒绝分组的通信。

Packet filter and packet filtering

The invention relates to a set of rules for grouping filtering, which is a technology for preventing network attacks, which is a tree structure suitable for logical computation, and improves the processing efficiency of the packet filtering device and its packet filtering method. Packet filtering device has a rule set, the storage conditions and actions correspond to the rules; and ZDD (Zero Suppressed Binary Decision Diagram, zero compression two yuan, the expression of logic decision diagram) type through the use of logic variables of rule conditions; component analysis part, the analysis of the the packet received from the network, the control information extraction, the control information is used as control object string; and filtering, the packet analysis of the extracted information control and ZDD control, and a corresponding execution control action with information to allow or deny packet communication.

【技术实现步骤摘要】
【国外来华专利技术】分组过滤装置以及分组过滤方法
本专利技术涉及以适于逻辑式计算的树形结构来表现作为防止网络攻击的技术的分组过滤的规则集，由此提高处理效率的分组过滤装置及其分组过滤方法。
技术介绍
针对信息系统的网络攻击正在急速增加，因此正在谋求针对网络攻击的对策。作为网络攻击的入侵路径，网络及USB存储器是代表性的。以往，作为防止来自网络的网络攻击的技术，存在分组过滤技术。分组过滤是依照规则集允许或拒绝分组的通过的结构。规则集由记述有分组应满足的条件和分组满足条件时的动作(action)的规则构成。在此，动作是指允许或拒绝分组通过。规则集内的规则的排列是有顺序的，依照该顺序来进行分组与规则的对照。分组满足规则中所记述的条件被称作“分组与规则匹配”、“分组和规则匹配”等。当分组过滤器接收到分组时，依照规则集内的顺序来进行分组与规则的对照，如果与规则匹配，则依照在该规则中确定的动作允许或拒绝分组，如果不匹配，则前进至与下一个规则的对照。在规则集的最后放置被称作默认规则的、与全部分组匹配的规则。由此构成为如下结构：即使在分组与其它任何规则均不匹配的情况下，也一定根据默认规则进行处理。随着系统以及针对系统的攻击的复杂化，所对应的分组过滤的规则集增大。另一方面，由于依照顺序来逐个进行分组与规则的对照，因此，如果规则的数量增加，则直到对照完成所需的时间与之成比例地增加。因此，需要用于使处理高效化的技术。专利文献1中公开有通过在规则集内调换规则顺序的方式使分组过滤高速化的技术。专利文献1的构思是这样的：越是频繁地与分组匹配的规则越将其放置在前方，越是频繁地与分组不匹配的规则越将其放置在后方，以此方式使处理高效化，因此，为了实现该目的，动态地进行规则集内的规则的调换。即，当分组过滤器动作时，记录各规则与分组匹配的次数，依照该次数来进行规则的调换。但是，不允许由于规则的调换而导致规则集的含义发生改变的情况，因此，只有在两个规则彼此不冲突的情况下，才对这两个规则进行调换。在此，两个规则冲突是指，两个规则的动作不同且在两个规则中记述的任意条件中存在重复的情况。例如考虑由收件方地址指定的条件。如果在一方的规则中将192.168.0.1～192.168.0.100这一范围记述为条件，而在另一方的规则中将192.168.0.50～192.168.0.150这一范围记述为条件，则这些条件重复。在非专利文献1中公开有通过在进行通常的对照之前进行与之不同的对照处理，由此高速地筛掉大部分分组的方式使分组过滤高速化的技术。如果将规则视为逻辑式、分组的比特串视为代入逻辑式的值，则分组与规则匹配是在逻辑式的值为1时，且不限于此时。因此，能够通过逻辑式的计算来实现分组与规则的对照。因此，通过采用适于逻辑式的值的计算的数据结构，能够实现高速的对照。非专利文献1利用被称作BDD的树形结构的数据结构实现了高速的对照。但是，用BDD来表现规则集需要较大的存储区域，因此难以用BDD来表示规则集整体。因此，BDD的树形扫描截止到一定的深度。将其作为原本的分组过滤的预处理来进行，筛掉大部分分组，对剩余的分组进行通常的对照处理，由此能够缩短分组过滤整体的处理时间。在先技术文献专利文献专利文献1：日本特开2000-174808号公报非专利文献非专利文献1:El-Atawy,etal.,"AdaptiveEarlyPacketFilteringforDefendingFirewallsagainstDoSAttacks,"IEEEINFOCOM,2009.
技术实现思路
专利技术要解决的课题关于非专利文献1所述的使用BDD的分组过滤，由于BDD是树形结构的数据结构，因此随着树形结构的深度增加，所需的存储区域呈指数函数性地增大。因此，无法在存储区域保存规则集整体，因而存在需要将基于BDD的处理截止到一定深度这样的课题。本专利技术是为了解决上述那样的课题而完成的，其目的在于能够利用适于逻辑式计算的树形结构来处理规则集整体，由此实现高速的分组过滤。用于解决课题的手段为了解决在上文中叙述的课题，本专利技术的分组过滤装置具备：规则集，其保存条件与动作对应起来而成的规则以及ZDD(Zero-SuppressedBinaryDecisionDiagram，零压缩二元决策图)，该ZDD表述利用逻辑变量记述了所述规则的所述条件的逻辑式；分组解析部，其对从网络接收到的分组进行解析，提取对照信息，该对照信息是作为对照对象的字符串；以及过滤部，其对所述分组解析部提取出的所述对照信息与所述ZDD进行对照，执行与所述对照信息所符合的所述条件对应起来的所述动作来允许或拒绝所述分组的通信。此外，本专利技术的是分组过滤装置的分组过滤方法，所述分组过滤装置具备存储部、分组解析部和过滤部，其中，所述存储部存储规则集，该规则集保存条件与动作对应起来而成的规则以及ZDD(Zero-SuppressedBinaryDecisionDiagram，零压缩二元决策图)，该ZDD表述利用逻辑变量记述了所述规则的所述条件的逻辑式，在所述分组过滤方法中，包括：分组解析步骤，所述分组解析部对从网络接收到的分组进行解析，提取对照信息，该对照信息是作为对照对象的字符串；以及过滤步骤，所述过滤部对所述分组解析部提取出的所述对照信息与保存在所述存储部中的所述ZDD进行对照，执行与所述对照信息所符合的所述条件对应起来的所述动作来允许或拒绝所述分组的通信。专利技术效果根据本专利技术，利用ZDD来记述逻辑式，因此能够减小为了逻辑式计算而应保存的数据的尺寸，此外，虽然将ZDD用于逻辑式的计算会发生计算错误，但由于具备订正该错误的结构，因此能够获得可正确且高速地计算逻辑式的效果。附图说明图1是示出实施方式1的分组过滤装置的一个结构例的图。图2是示出作为实施方式1的分组过滤装置的应用对象的入侵检测装置的网络结构例(其一)的图。图3是示出作为实施方式1的分组过滤装置的应用对象的入侵检测装置的网络结构例(其二)的图。图4是示出入侵检测装置1的硬件结构例的图。图5是示出入侵检测的规则集的一例的图。图6是说明分组与规则的字符串的对照的图。图7是说明将规则集记述为逻辑式的示例的图。图8是说明以树形结构来表现逻辑式的示例的图。图9是示出以基于ZDD的数据结构来表现逻辑式的示例的图。图10是说明二元决策树的简化规则的图。图11是示出基于ZDD的逻辑式的计算结果的示例的图。图12是示出基于ZDD的逻辑式的计算步骤的流程图。图13是说明实施方式2的比特反转处理的图。具体实施方式实施方式1.以下，参照附图对本实施方式的分组过滤装置的结构和动作进行说明。图1是示出实施方式1的分组过滤装置的一个结构例的图。图2是示出作为实施方式1的分组过滤装置的应用对象的入侵检测装置的网络结构例(其一)的图。图3是示出作为实施方式1的分组过滤装置的应用对象的入侵检测装置的网络结构例(其二)的图。首先，使用图2和图3，对应用分组过滤装置的网络结构例进行说明。为了在公司内部局域网与互联网进行连接时维护公司内部局域网的安全这一目的，通常将控制公司内部局域网与互联网之间的通信的被称作防火墙的装置设置在公司内部局域网与互联网的交界处。图2是在上述那样的标准的网络结构中增加了入侵检测装置的结构。即，公司内部局域网等内部网络1本文档来自技高网...

【技术保护点】
一种分组过滤装置，其中，所述分组过滤装置具备：规则集，其保存条件与动作对应起来而成的规则以及ZDD(Zero‑Suppressed Binary Decision Diagram，零压缩二元决策图)，该ZDD表述利用逻辑变量记述了所述规则的所述条件的逻辑式；分组解析部，其对从网络接收到的分组进行解析，提取对照信息，该对照信息是作为对照对象的字符串；以及过滤部，其对所述分组解析部提取出的所述对照信息与所述ZDD进行对照，执行与所述对照信息所符合的所述条件对应起来的所述动作来允许或拒绝所述分组的通信。

【技术特征摘要】
【国外来华专利技术】1.一种分组过滤装置，其中，所述分组过滤装置具备：规则集，其保存条件与动作对应起来而成的规则以及ZDD(Zero-SuppressedBinaryDecisionDiagram，零压缩二元决策图)，该ZDD表述利用逻辑变量记述了所述规则的所述条件的逻辑式；分组解析部，其对从网络接收到的分组进行解析，提取对照信息，该对照信息是作为对照对象的字符串；以及过滤部，其对所述分组解析部提取出的所述对照信息与所述ZDD进行对照，执行与所述对照信息所符合的所述条件对应起来的所述动作来允许或拒绝所述分组的通信。2.根据权利要求1所述的分组过滤装置，其中，所述过滤部在所述对照信息与所述ZDD的对照中，用0来覆盖完成对照的所述逻辑变量的值，在完成对所述ZDD的整体的对照时，对包含用0覆盖的所述逻辑变量的所述逻辑式的值是否是0进行判定。3.根据权利要求2所述的分组过滤装置，其中，所述过滤部在完成对所述ZDD的整体的对照时利用所述ZDD计算出的所述逻辑式的值是0时，将所述逻辑式的值的判定结果设为0，当利用所述ZDD计算出的所述逻辑式的值是1时，如果包含用0覆盖的所述逻辑变量的所述逻辑式的值是0，则将所述逻辑式的值的判定结果设为1，如果包含用...

【专利技术属性】
技术研发人员：清水孝一，山口晃由，
申请(专利权)人：三菱电机株式会社，
类型：发明
国别省市：日本,JP