一种用于对通信报文按每个数据包进行中继的中继装置。该中继装置(10)包括:顺序判断单元(13),其判断所接收的数据包是否是按照应接收的顺序接收的数据包;数据包保持单元(14),其在判断上述数据包不是按照应接收的顺序接收的数据包的情况下,保持该数据包,并且进行数据包的中继;合并单元(15),其把接收的数据包的有效负载与被保持的数据包的有效负载合并;验证单元(16),其验证数据包的有效负载是否符合预先规定的规则;和中继控制单元(17),其在由上述验证单元验证为上述数据包符合上述规则的情况下,进行该数据包的中继。由此,可防止通信延迟的增加,并且可不分协议种类地检测出在应用层协议中的不正当的通信报文。
【技术实现步骤摘要】
【国外来华专利技术】中继装置、数据包过滤方法以及数据包过滤程序
本专利技术涉及对通信报文按每个数据包进行中继的中继装置、数据包过滤方法以及数据包过滤程序。
技术介绍
在互联网等通信系统中,为了防御外来攻击,提出有各种对在互联网上收发的数据进行过滤的技术方案。作为外来攻击的例子,例如包括缓冲器溢位攻击以及格式化字符串攻击等,这类攻击大部分都是使用违反了OSI(Open Systems Interconnection:开放系统互连)参照模式的应用层协议(例如相当于HTTP(Hyper Text Transfer Protocol)和SMTP(Simple Mail Transfer Protocol)等)所规定的通信协议的通信报文进行攻击。违反了应用层协议的报文,由于在其数据里,也就是数据包的有效负载(数据包中除了报头信息外的本来要传送的数据本身)中存在不正当因素,所以,使用通过参照数据包的报头信息来检测不正当数据的数据包过滤方法无法检测出不正当的数据。要检测出应用层协议中的不正当报文,必须参照数据本身的内容,作为这样地检测不正当报文的装置,有应用网关(例如参照下记非专利文献1)。非专利文献1:「伊藤幸夫,紫藤政义,野口修著「图解·标准最新VPN手册」秀和系统,2003年5月,P.56-61」。应用网关是介于服务器与客户机之间的一种代理服务器,其把被收发的数据作为报文流进行监视。即,把作为数据包而在网络上传送的数据,在应用网关中再次组成通信报文,通过解析被再组成的通信报文来检测出不正当的数据。因此,应用网关在能够判断通信报文不是不正当数据之前,不进行数据包的中继,因此,网络上的数据包流被一时中断,由此造成通信延迟。此外,由于应用网关需按照每个协议进行上述不正-->当通信报文的检测,所以有多少协议就必须有多少应用网关。
技术实现思路
本专利技术就是为了解决上述问题而提出的,其目的是提供一种中继装置、数据包过滤方法以及数据包过滤程序,其可防止通信延迟的增加,可不分协议种类地检测出应用层协议中的不正当通信报文。为了达到上述的目的,本专利技术的中继装置,用于对通信报文按每个数据包进行中继,其特征在于,包括:顺序判断单元,其判断所接收的数据包是否是按照应接收的顺序接收的数据包;数据包保持单元,其在由上述顺序判断单元判断上述数据包不是按照上述应接收的顺序接收的情况下,控制为在保持该数据包的同时进行该数据包的中继;合并单元,其根据上述应接收的顺序,判断由上述数据包保持单元所保持的数据包是否是应与在被保持之后接收的数据包合在一起进行验证的数据包,根据该判断,决定是否把该接收的数据包的有效负载与该被保持的数据包的有效负载合并;验证单元,其在由上述顺序判断单元判断数据包是按照上述应接收的顺序接收的情况下,验证该数据包的有效负载、或由上述合并单元合并的该数据包的有效负载是否符合预先规定的规则,并且为了在上述通信报文中的下一次的验证中使用,而保持关于该验证内容的信息;和中继控制单元,在由上述验证单元验证为上述数据包符合上述规则的情况下,控制为进行该数据包的中继,在由上述验证单元验证为上述数据包不符合上述规则的情况下,控制为禁止该数据包的中继。根据上述的中继装置,由于在每次接收数据包时,先进行关于是否为正当的有效负载的验证,然后发送该数据包,所以在应用层协议中的是否为不正当的通信报文的检测中,可防止通信延迟的增加。另外,对于在进行是否正当的验证中所使用的规则,可不考虑应用层协议的种类进行设定,所以可不分协议种类地检测出不正当的通信报文。另外,作为一例,优选使用自动机进行上述验证单元的验证、以及关于验证内容的信息的保持。在使用了自动机的情况下,能够以宣告的形式记述用于进行验证以及验证内容的保持的上述规则,从而可容易地-->进行规则的作成、验证以及维护。另外,本专利技术除了如上述那样可记述为中继装置的专利技术以外,还可以如以下那样记述为数据包过滤方法以及数据包过滤程序的专利技术。这些只是类型不同,但实质上是同一性质的专利技术,并具有相同的作用和效果。本专利技术的数据包过滤方法,是在对通信报文按每个数据包进行中继的中继装置中使用的数据包过滤方法,其特征在于包括:顺序判断步骤,判断所接收的数据包是否是按照应接收的顺序接收的数据包;数据包保持步骤,在上述顺序判断步骤判断上述数据包不是按照上述应接收的顺序接收的情况下,控制为在保持该数据包的同时进行该数据包的中继;合并步骤,根据上述应接收的顺序,判断在上述数据包保持步骤所保持的数据包是否是应与在被保持之后接收的数据包合在一起进行验证的数据包,根据该判断,把该接收的数据包的有效负载与该被保持的数据包的有效负载合并;验证步骤,在上述顺序判断步骤判断数据包是按照上述应接收的顺序接收的情况下,验证该数据包的有效负载、或上述合并步骤合并的该数据包的有效负载是否符合预先规定的规则,并且保持关于该验证内容的信息,以便在上述通信报文中的下一次验证中使用;和中继控制步骤,在上述验证步骤验证为上述数据包符合上述规则的情况下,控制为进行该数据包的中继,在上述验证步骤验证为上述数据包不符合上述规则的情况下,控制为禁止该数据包的中继。另外,作为一例,优选使用自动机进行上述验证步骤的验证、以及关于验证内容的信息的保持。本专利技术的数据包过滤程序,使对通信报文按每个数据包进行中继的中继装置中进行以下处理:即顺序判断处理,判断所接收的数据包是否是按照应接收的顺序接收的数据包;数据包保持处理,在通过上述顺序判断处理判断上述数据包不数据包是按照上述应接收的顺序接收的情况下,进行控制,使得在保持该数据包的同时进行该数据包的中继;合并处理,根据上述应接收的顺序,判断通过上述数据包保持处理所保持的数据包是否是应与在被保持之后接收的数据包合在一起进行验证的数据包,根据该判断,把该接收的数据包的有效负载与该被保持的数据包的-->有效负载合并;验证处理,在通过上述顺序判断处理判断数据包是按照上述应接收的顺序接收的情况下,验证该数据包的有效负载、或通过上述合并处理被合并的该数据包的有效负载,是否符合预先规定的规则,并且保持关于该验证内容的信息,以便在上述通信报文中的下一次的验证中使用;和中继控制处理,在通过上述验证处理验证为上述数据包符合上述规则的情况下,控制为进行该数据包的中继,在通过上述验证处理验证为上述数据包不符合上述规则的情况下,控制为禁止该数据包的中继。作为一例,优选使用自动机进行上述验证处理的验证、以及关于验证内容的信息的保持。根据本专利技术,由于如上述那样在每次接收数据包时,先进行关于是否为正当的有效负载的验证,然后发送该数据包,所以在对于应用层协议中是否为不正当的通信报文的检测中,可防止通信延迟的增加。另外,对于在是否正当的验证中所使用的规则,可不考虑应用层协议的种类进行设定,所以可不分协议种类地检测出不正当的通信报文。附图说明图1是表示实施方式的中继装置的结构的图。图2是表示数据包的发送和接收的顺序的一例的图。图3是表示实施方式中的由中继装置执行的处理的流程图。图4是表示自动机的显示例的图。图5是表示实施方式的数据包过滤程序的结构的图。图中符号说明:10…中继装置;11…接收部;12…发送部;13…顺序判断部;14…数据包保持部;15…合并部;16…验证部;17…中继控制本文档来自技高网...
【技术保护点】
一种中继装置,其用于对通信报文按每个数据包进行中继,其中包括:顺序判断单元,其判断所接收的数据包是否是按照应接收的顺序接收的数据包;数据包保持单元,其在由上述顺序判断单元判断上述数据包不是按照上述应接收的顺序接收的情况下,控 制为在保持该数据包的同时进行该数据包的中继;合并单元,其根据上述应接收的顺序,判断由上述数据包保持单元所保持的数据包是否是应与在被保持之后接收的数据包合在一起进行验证的数据包,根据该判断,把该接收的数据包的有效负载与该被保持的数据包 的有效负载合并;验证单元,其在由上述顺序判断单元判断数据包是按照上述应接收的顺序接收的情况下,验证该数据包的有效负载、或由上述合并单元合并的该数据包的有效负载是否符合预先规定的规则,并且保持关于该验证内容的信息,以便在上述通信报文中 的下一次验证中使用;和中继控制单元,其在由上述验证单元验证为上述数据包符合上述规则的情况下,控制为进行该数据包的中继,在由上述验证单元验证为上述数据包不符合上述规则的情况下,控制为禁止该数据包的中继。
【技术特征摘要】
【国外来华专利技术】JP 2004-5-31 162129/20041.一种中继装置,其用于对通信报文按每个数据包进行中继,其中包括:顺序判断单元,其判断所接收的数据包是否是按照应接收的顺序接收的数据包;数据包保持单元,其在由上述顺序判断单元判断上述数据包不是按照上述应接收的顺序接收的情况下,控制为在保持该数据包的同时进行该数据包的中继;合并单元,其根据上述应接收的顺序,判断由上述数据包保持单元所保持的数据包是否是应与在被保持之后接收的数据包合在一起进行验证的数据包,根据该判断,把该接收的数据包的有效负载与该被保持的数据包的有效负载合并;验证单元,其在由上述顺序判断单元判断数据包是按照上述应接收的顺序接收的情况下,验证该数据包的有效负载、或由上述合并单元合并的该数据包的有效负载是否符合预先规定的规则,并且保持关于该验证内容的信息,以便在上述通信报文中的下一次验证中使用;和中继控制单元,其在由上述验证单元验证为上述数据包符合上述规则的情况下,控制为进行该数据包的中继,在由上述验证单元验证为上述数据包不符合上述规则的情况下,控制为禁止该数据包的中继。2.根据权利要求1所述的中继装置,其特征在于:使用自动机进行上述验证单元的验证、以及关于验证内容的信息的保持。3.一种数据包过滤方法,在对通信报文按每个数据包进行中继的中继装置中使用,其包括以下步骤:顺序判断步骤,判断所接收的数据包是否是按照应接收的顺序接收的数据包;数据包保持步骤,在上述顺序判断步骤中判断上述数据包不是按照上述应接收的顺序接收的情况下,控制为在保持该数据包的同时进行该数据包的中继;合并步骤,根据上述应接收的顺序,判断在上述数据包保持步骤所保持的数据包是否是应与在被保持之后接收的数据包合在一起进行验证的数据包,根据该判断,把该接收的数据包的有效负载与该被保持的数据包的有...
【专利技术属性】
技术研发人员:河野健二,品川高广,卡比尔MD拉哈特,
申请(专利权)人:独立行政法人科学技术振兴机构,
类型:发明
国别省市:JP[日本]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。