JP6598188B2 - 情報処理装置、方法およびプログラム - Google Patents
情報処理装置、方法およびプログラム Download PDFInfo
- Publication number
- JP6598188B2 JP6598188B2 JP2015039596A JP2015039596A JP6598188B2 JP 6598188 B2 JP6598188 B2 JP 6598188B2 JP 2015039596 A JP2015039596 A JP 2015039596A JP 2015039596 A JP2015039596 A JP 2015039596A JP 6598188 B2 JP6598188 B2 JP 6598188B2
- Authority
- JP
- Japan
- Prior art keywords
- inspection
- content
- data
- destination
- header
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/143—Termination or inactivation of sessions, e.g. event-controlled end of session
- H04L67/145—Termination or inactivation of sessions, e.g. event-controlled end of session avoiding end of session, e.g. keep-alive, heartbeats, resumption message or wake-up for inactive or interrupted session
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer Security & Cryptography (AREA)
- Information Transfer Between Computers (AREA)
Description
本開示は、ネットワーク上でデータを検査するための技術に関する。
従来、データパケットの境界で分割されたパターンを検索するためにコンピュータネットワーク上でデータパケットストリームを検査するための方法として、2つ以上のデータパケットがデータパケットストリームにおいて連続するか否かを判断し、連続するデータパケットからのペイロードを結合し、連続するデータパケットからの結合したペイロードを解析し、文字の組み合わせからなる複数のパターンを検索する方法、および、データパケットが所定時間以上システム中にあるときに、所定の判断基準に基づきデータパケットを出力データストリームに戻す方法、が提案されている(特許文献1を参照)。
また、従来、インターネットへ接続する複数の加入者端末を収容するグループセンター局に接続されているゾーンセンター局内に、各加入者端末のユーザーID毎に、インターネットとの間で転送されるパケットデータを一時記憶する記憶装置と、記憶装置に記憶された複数のパケットデータをインターネット内のIPアドレスとネットワーク内の地域IPアドレスに対応させてファイルデータに組み立てて、組み立てたデータ内にコンピュータウイルスが存在するか否かを判定し、コンピュータウイルスが存在しないと判定したデータを加入者端末へ転送する機能とを備えるゲートウェイが提案されている(特許文献2を参照)。
従来、ネットワーク上のデータを検査するために、データが宛先に到達する前にデータを取り込んで検査し、検査が終了した後に当該宛先に転送する技術がある。しかし、このような技術では、データを受信する端末において受信待ち時間がタイムアウトするおそれがある。
本開示は、上記した問題に鑑み、ネットワーク上のデータを取得して検査する際に、データの宛先端末における受信待ち時間がタイムアウトすることを防止することを課題とする。
本開示の一例は、ネットワークを流れる、ヘッダーとコンテンツを含むデータを、宛先に到達する前に取得するデータ取得手段と、前記コンテンツを検査する検査手段と、前記検査手段による検査が行われている間、前記データの少なくとも一部を前記宛先に送信する検査中送信手段と、前記検査手段によるコンテンツの検査が完了した後に、該コンテンツを含むデータのうち前記検査中送信手段によって送信済みの部分を除く前記データを、前記宛先に転送する転送手段と、を備える情報処理装置である。
本開示は、情報処理装置、システム、コンピューターによって実行される方法またはコンピューターに実行させるプログラムとして把握することが可能である。また、本開示は、そのようなプログラムをコンピューターその他の装置、機械等が読み取り可能な記録媒体に記録したものとしても把握できる。ここで、コンピューター等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的または化学的作用によって蓄積し、コンピューター等から読み取ることができる記録媒体をいう。
本開示によれば、ネットワーク上のデータを取得して検査する際に、データの宛先端末における受信待ち時間がタイムアウトすることを防止することが可能となる。
以下、本開示に係る情報処理装置、方法およびプログラムの実施の形態を、図面に基づいて説明する。但し、以下に説明する実施の形態は、実施形態を例示するものであって、本開示に係る情報処理装置、方法およびプログラムを以下に説明する具体的構成に限定するものではない。実施にあたっては、実施の態様に応じた具体的構成が適宜採用され、また、種々の改良や変形が行われてよい。
本実施形態では、本開示に係る情報処理装置、方法およびプログラムを、通信検査装置において実施した場合の実施の形態について説明する。但し、本開示に係る情報処理装置、方法およびプログラムは、ネットワーク上のデータを検査するための技術について広く用いることが可能であり、本開示の適用対象は、本実施形態において示した例に限定されない。
<システムの構成>
図1は、本実施形態に係るシステム1の構成を示す概略図である。本実施形態に係るシステム1は、複数の情報処理端末90(以下、「クライアント90」と称する)が接続されるネットワークセグメント2と、クライアント90に係る通信を中継するための通信検査装置20と、を備える。また、ネットワークセグメント2内のクライアント90は、インターネットや広域ネットワークを介して遠隔地において接続された各種のサーバーと、通信検査装置20を介して通信可能である。本実施形態において、通信検査装置20は、ネットワークセグメント2において、クライアント90とインターネットとの間に接続されることで、通過するパケットを取得する。そして、通信検査装置20は、取得したパケットのうち、検査対象でないパケット、および検査の結果転送してもよいと判定されたパケットを転送する。
図1は、本実施形態に係るシステム1の構成を示す概略図である。本実施形態に係るシステム1は、複数の情報処理端末90(以下、「クライアント90」と称する)が接続されるネットワークセグメント2と、クライアント90に係る通信を中継するための通信検査装置20と、を備える。また、ネットワークセグメント2内のクライアント90は、インターネットや広域ネットワークを介して遠隔地において接続された各種のサーバーと、通信検査装置20を介して通信可能である。本実施形態において、通信検査装置20は、ネットワークセグメント2において、クライアント90とインターネットとの間に接続されることで、通過するパケットを取得する。そして、通信検査装置20は、取得したパケットのうち、検査対象でないパケット、および検査の結果転送してもよいと判定されたパケットを転送する。
図2は、本実施形態に係る通信検査装置20のハードウェア構成を示す図である。通信検査装置20は、CPU(Central Processing Unit)11、ROM(Read Only Memory)12、RAM(Random Access Memory)13、EEPROM(Electrically Erasable and Programmable Read Only Memory)やHDD(Hard Disk Drive)等の記憶装置14、NIC(Network Interface Card)15等の通信ユニット、等を備えるコンピューターである。但し、通信検査装置20の具体的なハードウェア構成に関しては、実施の態様に応じて適宜省略や置換、追加が可能である。また、通信検査装置20は、単一の装置に限定されない。通信検査装置20は、所謂クラウドや分散コンピューティングの技術等を用いた、複数の装置によって実現されてよい。
図3は、本実施形態に係る通信検査装置20の機能構成の概略を示す図である。通信検査装置20は、記憶装置14に記録されているプログラムが、RAM13に読み出され、CPU11によって実行されることで、コンテンツ要求検知部21、データ取得部22、送信回数予測部23、抽出部24、ヘッダー生成部25、検査部26、検査中送信部27、転送部28、中止部29および検査結果通知部30を備える情報処理装置として機能する。なお、本実施形態では、通信検査装置20の備える各機能は、汎用プロセッサであるCPU11によって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサによって実行されてもよい。また、これらの機能の一部または全部は、クラウド技術等を用いて、遠隔値に設置された装置や、分散設置された複数の装置によって実行されてもよい。
コンテンツ要求検知部21は、送信元、宛先および要求コンテンツの種類の少なくとも何れかが所定の条件に合致するコンテンツ要求(接続要求)を検知する。
データ取得部22は、ネットワークに接続された端末によって送受信される通信に係る、ヘッダーとコンテンツを含むデータを、宛先に到達する前に取得する。なお、本実施形態において、通信検査装置20は、ネットワークセグメント2に接続されたクライアント90による通信の他、通信検査装置20を介する全ての通信を、検査の対象とすることが出来る。
送信回数予測部23は、データ取得部22によって取得されるコンテンツの検査に必要な検査時間を予測し、予測された検査時間に基づいて、検査中送信部27による送信回数を予測する。
抽出部24は、データ取得部22によって取得されたデータに含まれるヘッダーから、宛先に受信されるコンテンツを確定させないヘッダーを抽出する。
ヘッダー生成部25は、宛先に受信されるコンテンツを確定させないヘッダーを生成する。
検査部26は、データ取得部22によって取得されたコンテンツが、当該データに設定された宛先への転送が許可されるコンテンツであるか否かを、予め定められた検査項目に従って検査する。例えば、検査部26は、コンテンツにマルウェアが含まれているか否か、コンテンツに望ましくない表現が含まれているか否か、等を検査する。但し、本開示に係る検査において採用され得る具体的な検査項目や検査手法は、本実施形態における例示に限定されない。具体的な検査項目や検査手法には、既知の、または将来開発される様々な検査項目および検査手法が採用されてよい。
検査中送信部27は、検査部26による検査が行われている間、宛先におけるデータの受信待ち時間がタイムアウトしない間隔で、データに含まれるヘッダーの少なくとも一部を当該データの宛先に送信する。なお、本実施形態では、タイムアウト防止のために送信されるデータとして、ヘッダーを送信することとしているが、タイムアウト防止のために送信されるデータは、クライアント90に受信される後続データの種類やサイズ等を確定させないものであればよく、ヘッダーに限定されない。
転送部28は、検査部26によるコンテンツの検査が完了した後、検査結果が、該コンテンツが宛先への転送が許可されるコンテンツであるという検査結果であった場合に、該コンテンツを含むデータのうち検査中送信部27によって送信済みの部分を除くデータを、当該データの宛先に転送する。
中止部29は、検査部26による検査結果が、当該コンテンツが当該データの宛先への転送が許可されるコンテンツではないという検査結果であった場合に、転送部28による転送を中止する。
検査結果通知部30は、検査部26による検査結果が、当該コンテンツが当該データの宛先への転送が許可されるコンテンツではないという検査結果であった場合に、当該検査結果をデータの宛先に通知するための情報を、検査中送信部27によって送信済みの部分に続くデータの一部として、当該宛先に送信する。
<処理の流れ>
次に、本実施形態に係るシステム1によって実行される処理の流れを、フローチャートを用いて説明する。なお、以下に説明するフローチャートに示された処理の具体的な内容および処理順序は、本開示を実施するための一例である。具体的な処理内容および処理順序は、本開示の実施の形態に応じて適宜選択されてよい。
次に、本実施形態に係るシステム1によって実行される処理の流れを、フローチャートを用いて説明する。なお、以下に説明するフローチャートに示された処理の具体的な内容および処理順序は、本開示を実施するための一例である。具体的な処理内容および処理順序は、本開示の実施の形態に応じて適宜選択されてよい。
図4は、本実施形態に係るパケット処理の流れの概要を示すフローチャートである。本実施形態に係るパケット処理は、通信検査装置20によって、ネットワーク上を流れる接続要求パケット(例えば、TCPのSYNパケット)が受信されたことを契機として実行される。
ステップS101では、接続要求が取り込まれる。コンテンツ要求検知部21は、受信されたパケットのヘッダーに設定されている送信元および宛先を参照して、取り込みの対象となるパケット(例えば、クライアント90からサーバーへの接続要求パケット)であるか否かを判定し、取り込みの対象となるパケットを取り込み、RAM12に記憶する(所謂フック処理)。取り込みの対象でないと判定されたパケットは、通信検査装置20に取り込まれることなく、宛先に転送される(図示は省略する)。取り込みの対象であるか否かは、パケットの送信元および宛先が、予め設定された送信元IPアドレスおよび宛先IPアドレスのリストに登録されているか否かを照合することによって判定される。この照合に用いられるリストは、ホワイトリストであってもブラックリストであってもよい。また、パケットが取り込みの対象であるか否かの判定には、本開示とは異なる手法が採用されてもよい。その後、処理はステップS102へ進む。
ステップS102では、クライアント90の要求に係るコンテンツを検査対象とするか否かが判定される。コンテンツ要求検知部21は、ステップS101で取り込まれた接続要求に係るコネクションに属するパケットを受信し、当該パケットのリクエストラインおよびヘッダーを参照して、当該パケットが、検査部26による検査対象となる所定の種類のコンテンツを要求するパケットであるか否かを判定する。検査対象コンテンツを要求するパケットであるか否かは、パケットのリクエストラインおよびヘッダーが、予め設定された検査対象リストに登録されている情報と合致または近似するか否かを照合することによって判定される。
例えば、HTTPパケットが、以下に示されたリクエストラインおよびヘッダーを有する場合、当該パケットは、検査対象のコンテンツを要求するものであると判定される。
GET / HTTP/1.1
Host: sample.site
Accept: */*
User-Agent: UserAgent 1.0
Accept-Language: ja
Accept-Encoding: gzip, deflate
Connection: keep-alive
パケットが検査対象コンテンツを要求するパケットではないと判定された場合、当該パケットによって要求されたコンテンツは検査対象とはならず、パケットは転送され(ステップS114)、本フローチャートに示された処理は終了する。一方、パケットが検査対象コンテンツを要求するパケットであると判定された場合、当該パケットによって要求されたコンテンツは、後述するステップS109における検査の対象として設定され、処理はステップS103へ進む。
GET / HTTP/1.1
Host: sample.site
Accept: */*
User-Agent: UserAgent 1.0
Accept-Language: ja
Accept-Encoding: gzip, deflate
Connection: keep-alive
パケットが検査対象コンテンツを要求するパケットではないと判定された場合、当該パケットによって要求されたコンテンツは検査対象とはならず、パケットは転送され(ステップS114)、本フローチャートに示された処理は終了する。一方、パケットが検査対象コンテンツを要求するパケットであると判定された場合、当該パケットによって要求されたコンテンツは、後述するステップS109における検査の対象として設定され、処理はステップS103へ進む。
ステップS103およびステップS104では、接続要求およびコンテンツ要求が送信される。通信検査装置20は、ステップS101の接続要求に係るサーバーに接続し、ステップS102のコンテンツ要求に係るコンテンツを、当該サーバーに要求する。この際、通信検査装置20は、ステップS101およびステップS102で受信されたパケットをそのままサーバーに転送してもよいし、必要に応じて送信元IPアドレスをアドレス変換してからサーバーに送信してもよい。その後、処理はステップS105へ進む。
ステップS105では、レスポンスステータスおよび/またはヘッダーを含むパケットが受信される。データ取得部22は、ステップS104で送信されたコンテンツ要求パケットへの応答パケットとしてサーバーから送信された、レスポンスステータスまたはヘッダーを含むデータを、クライアント90に到達する前に取得する。ここで、データが複数のパケットに分割されて送信されている場合には、データ取得部22は、複数のパケットを組み立てることで、レスポンスステータスまたはヘッダーを含むデータを取得する。また、通信検査装置20は、ヘッダーの内容を参照して、当該ヘッダーに続くコンテンツを、検査部26による検査対象とするか否かを判定する。この判定は、例えば、ヘッダーの内容から特定されたコンテンツの種類を、検査対象とする(または、検査対象としない)コンテンツの種類のリストと照合することで行われる。また、この判定は、ヘッダーの内容から特定されたコンテンツのサイズと、検査対象とするサイズの上限とを比較することによって行われてもよい。
例えば、HTTPデータが、以下に示されたレスポンスステータスおよびヘッダーを有する場合、後続コンテンツが検査対象であると判定される。
HTTP/1.1 200 OK
Server: Apache
Date: xxxxxxxx GMT
Content-Type: application/octet-stream
Content-Length: 108
Connection: keep-alive
Cache-Control: max-age=0, no-cache
Pragma: no-cache
判定の結果、コンテンツを検査対象としないと判定された場合、当該パケットに係るコネクションは検査の対象外に設定され、本フローチャートに示された処理は終了する(図示は省略する)。一方、コンテンツを検査対象とする場合、処理はステップS106へ進む。
HTTP/1.1 200 OK
Server: Apache
Date: xxxxxxxx GMT
Content-Type: application/octet-stream
Content-Length: 108
Connection: keep-alive
Cache-Control: max-age=0, no-cache
Pragma: no-cache
判定の結果、コンテンツを検査対象としないと判定された場合、当該パケットに係るコネクションは検査の対象外に設定され、本フローチャートに示された処理は終了する(図示は省略する)。一方、コンテンツを検査対象とする場合、処理はステップS106へ進む。
ステップS106では、後述するヘッダー送信処理による送信回数が予測される。送信回数予測部23は、はじめに、ステップS105で受信されたパケットのヘッダーを参照してコンテンツのサイズを把握し、これを、検査部26による処理能力(例えば、所定時間あたりに検査可能なデータサイズ)で除算することで、コンテンツの検査に必要な検査時間を予測する。そして、送信回数予測部23は、予測された検査時間を、検査中送信部27による送信間隔で除算することで、送信回数を予測する。ここで、検査中送信部27による送信間隔には、コンテンツを受信するクライアント90において、コンテンツに係るパケット受信の待ち時間がタイムアウトしない間隔が予め設定される。その後、処理はステップS107へ進む。
ステップS107では、検査中に送信可能なヘッダーの部分が抽出される。抽出部24は、ステップS105において受信されたヘッダーから、宛先に受信されるコンテンツを確定させないヘッダー部分を抽出する。換言すれば、抽出部24は、検査中送信部27によって送信済みの部分に続くデータの一部として、仮にサーバーから送信されたデータ以外のデータ(例えば、検査結果)が宛先に送信された場合に、該宛先による該データの処理に不都合(例えば、データサイズの矛盾や、コンテンツの種類の矛盾)が生じるヘッダー部分を除外することで、宛先に受信されるコンテンツを確定させないヘッダーを抽出する。
例えば、ステップS105の説明において例示したヘッダーのうち、以下に示す部分は、コンテンツの種類およびサイズを限定するヘッダー部分であり、その後に送信可能なデータを限定してしまうヘッダー部分である。
Content-Type: application/octet-stream
Content-Length: 108
このため、抽出部24は、上記したヘッダー部分を除いた部分を、コンテンツを確定させないヘッダーとして抽出する。
Content-Type: application/octet-stream
Content-Length: 108
このため、抽出部24は、上記したヘッダー部分を除いた部分を、コンテンツを確定させないヘッダーとして抽出する。
なお、本実施形態では、コンテンツの送受信にHTTP(Hypertext Transfer Protocol)が用いられる場合を例に挙げて説明しているが、本開示は、その他のプロトコルにも適用可能である。例えば、コンテンツの送受信に用いられるプロトコルがPOP3(Post Office Protocol Version 3)である場合には、ヘッダー中のFromフィールド、Toフィールド、CcフィールドおよびSubjectフィールド等が、コンテンツの種類およびサイズを限定するヘッダーであるため、抽出部24は、これらの部分を除くヘッダーを抽出する。
また、抽出部24は、データ取得部22によって取得されたデータに含まれるヘッダーから、宛先に受信されるコンテンツを確定させないヘッダーを、ステップS106で予測された送信回数に応じて決定された量だけ抽出することとしてもよい。具体的には、抽出部24は、ステップS106で予測された送信回数に分けて送信可能な量、ヘッダー部分を抽出してもよい。なお、抽出可能なヘッダー部分の量が、送信回数分に満たない場合、抽出部24は、コンテンツを確定させないヘッダー部分を全て抽出する。その後、処理はステップS108へ進む。
ステップS108からステップS110では、コンテンツが受信され、受信されたコンテンツが検査される。データ取得部22は、ステップS104で送信されたコンテンツ要求パケットへの応答パケットとしてサーバーから送信された、コンテンツを含むデータを取得する(ステップS108)。また、データ取得部22は、コンテンツを含むデータを、クライアント90に到達する前に取得し、当該データに含まれるコンテンツの検査が完了するまで、宛先クライアント90への転送を保留する。そして、データの転送が保留されている間に、検査部26は、取得されたコンテンツが、クライアント90への転送が許可されるコンテンツであるか否かを、予め定められた検査項目に従って検査する(ステップS109)。ここで、データが複数のパケットに分割されて送信されている場合には、検査部26は、複数のパケットの夫々がデータ取得部22によって取得される毎にパケットを組み立てながら、受信済みの部分について順次検査を行う。コンテンツ全体の検査が完了すると(ステップS110)、処理はステップS111へ進む。
なお、ステップS108からステップS110におけるコンテンツの受信および検査が行われている間、通信検査装置20は、クライアント90における受信待ち時間のタイムアウトを防止するため、ヘッダー送信処理を実行する。ヘッダー送信処理の詳細については、図5を用いて説明する。
ステップS111では、検査結果が判定される。ステップS108からステップS110における検査の結果、コンテンツが、クライアント90への転送が許可されるコンテンツであると判定された場合、処理はステップS112へ進む。一方、コンテンツが、クライアント90への転送が許可されないコンテンツであると判定された場合、処理はステップS113へ進む。
ステップS112では、データが転送される。転送部28は、コンテンツを含むデータのうち、後述するヘッダー送信処理において検査中送信部27によって既に送信済みの部分を除くデータを、当該データの宛先であるクライアント90に転送(送信)する。その後、本フローチャートに示された処理は終了する。
ステップS113では、データの転送が中止され、検査結果情報が通知される。中止部29は、検査部26による検査結果が、当該コンテンツが当該データの宛先への転送が許可されるコンテンツではないという検査結果であった場合に、転送部28による転送を中止する。このため、本実施形態に係るシステムによれば、望ましくないコンテンツが、クライアント90に対して送信されてしまうことを防止することが出来る。そして、検査結果通知部30は、当該検査結果をデータの宛先に通知するための情報を、検査中送信部27によって送信済みの部分に続くデータの一部(ヘッダーおよびコンテンツ等)として、当該宛先に送信する。具体的には、検査結果通知部30は、クライアント90が要求したコンテンツに、マルウェアや望ましくない表現等が含まれていることを、クライアント90のユーザーに通知するためのコンテンツ(例えば、Webページ)と、当該コンテンツに適したヘッダー(例えば、コンテンツの種類およびサイズを限定するヘッダー)とを生成し、クライアント90に対して送信する。その後、本フローチャートに示された処理は終了する。
図5は、本実施形態に係るヘッダー送信処理の流れの概要を示すフローチャートである。本実施形態に係るヘッダー送信処理は、図4に示されたパケット処理において、ステップS108からステップS110に示されたコンテンツ検査が開始されたことを契機として実行される。
ステップS201では、ヘッダーの一部が送信される。検査中送信部27は、データに含まれるヘッダーの少なくとも一部を、当該データの宛先であるクライアント90に送信する。なお、本実施形態では、タイムアウト防止のために送信されるデータとして、抽出部24によって抽出されたヘッダーの一部、または、ヘッダー生成部25によって生成されたヘッダーが用いられているが、タイムアウト防止のために送信されるデータは、クライアント90に受信される後続データの種類やサイズ等を確定させないものであればよく、ヘッダーに限定されない。その後、処理はステップS202へ進む。
ステップS202では、検査が終了したか否かが判定される。検査中送信部27は、上述したパケット処理のステップS108からステップS110に示されたコンテンツ検査が終了したか否かを判定する。コンテンツ検査が終了していないと判定された場合、処理はステップS203へ進む。一方、コンテンツ検査が終了したと判定された場合、本フローチャートに示された処理は終了する。なお、本実施形態では、検査部26によるコンテンツ検査が終了したか否かを確認して、ヘッダー送信処理を継続するか否かを決定することとしているが、ヘッダー送信処理の継続/終了の判定は、検査開始から検査時間(ステップS106で算出)が経過したか否かに基づいて判定されてもよい。
ステップS203およびステップS204では、未送信のヘッダーが無い場合に、タイムアウト防止用のヘッダーが生成される。ヘッダー生成部25は、ステップS107で抽出されたヘッダーが全てクライアント90に対して送信され、送信可能なヘッダーが尽きた場合(ステップS203のNO)、タイムアウト防止用のヘッダーを生成する(ステップS204)。ここで生成されるヘッダーは、ステップS107で抽出されたヘッダーと同様、宛先に受信されるコンテンツを確定させないヘッダーである。また、ヘッダー生成部25は、宛先に受信されるコンテンツを確定させないヘッダーとして、例えば、名称が「X−」から始まるオリジナルヘッダーを生成してよい。
なお、本実施形態では、抽出されたヘッダーが尽きた場合に、ヘッダー生成部25にタイムアウト防止用のヘッダーを生成させ、検査中送信部27に送信させることとしているが、このような構成に代えて、検査中送信部27に、サーバーから受信されたデータ中のヘッダー以外の部分(例えば、コンテンツ中の、クライアント90に送信してよい部分)を少しずつ送信させる構成が採用されてもよい。
ステップS205では、送信間隔の経過が待たれる。検査中送信部27は、予め設定された送信間隔の経過を待つ。上述の通り、送信間隔には、コンテンツを受信するクライアント90において、コンテンツに係るパケット受信の待ち時間がタイムアウトしない間隔が予め設定される。送信間隔が経過すると、処理はステップS201へ進み、ヘッダーの続きが一部送信される(ステップS201)。即ち、本実施形態に係るシステムによれば、検査中送信部27は、検査部26による検査が行われている間、宛先におけるデータの受信待ち時間がタイムアウトしない間隔で、データに含まれるヘッダーを一部ずつ当該データの宛先に送信する。
図6は、本実施形態において、パケット処理およびヘッダー送信処理を実行した場合のパケットの流れを示す図である。本実施形態に係る情報処理装置、方法およびプログラムによれば、コンテンツ要求に応じてサーバーから送信されたデータを通信検査装置20が検査している間、データのうちコンテンツを確定させない部分(ヘッダー等)を分割してクライアント90に送信することで、コンテンツ検査中のタイムアウトを防止することが出来る。
なお、受信待ち時間のタイムアウトを防止するための技術として、従来、空のパケットを一定時間毎に送信することで、TCP(Transmission Control Protocol)層等の下位層でのタイムアウトを防止する技術(例えば、TCPにおけるkeep-alive)が用いられることがあるが、これは、アプリケーション層でのタイムアウトを防止するものではなかった。本実施形態に示された情報処理装置、方法およびプログラムによれば、TCP層のような下位層におけるタイムアウトのみならず、アプリケーション層におけるタイムアウトも防止することが出来る。
また、本実施形態に係る情報処理装置、方法およびプログラムによれば、クライアント90において受信待ち時間のタイムアウトを起こさせずに、コンテンツ全体の検査が終了するまでクライアント90にコンテンツを受信させないようにすることが出来る。更に、不適切なコンテンツが検出された場合には、専用のアプリケーション等を用いることなく、クライアント90のコンテンツ要求に対する応答データとして、ユーザーに通知することが出来る。
1 システム
20 通信検査装置
90 クライアント
20 通信検査装置
90 クライアント
Claims (16)
- ネットワークを流れる、ヘッダーとコンテンツを含むデータを、宛先に到達する前に取得するデータ取得手段と、
前記コンテンツを検査する検査手段と、
前記データ取得手段によって取得されたデータに含まれるヘッダーから、前記宛先に受信されるコンテンツを確定させないヘッダーを抽出する抽出手段と、
前記検査手段による検査が行われている間、前記データの少なくとも一部として、前記抽出手段によって抽出されたヘッダーを前記宛先に送信する検査中送信手段と、
前記検査手段によるコンテンツの検査が完了した後に、該コンテンツを含むデータのうち前記検査中送信手段によって送信済みの部分を除く前記データを、前記宛先に転送する転送手段と、
を備える情報処理装置。 - 前記検査中送信手段は、前記宛先における前記データの受信待ち時間がタイムアウトしない間隔で、前記抽出手段によって抽出されたヘッダーを該宛先に送信する、
請求項1に記載の情報処理装置。 - 前記データ取得手段によって取得されるコンテンツの検査に必要な検査時間を予測し、予測された検査時間に基づいて、前記検査中送信手段による送信回数を予測する送信回数予測手段を更に備え、
前記抽出手段は、前記データ取得手段によって取得されたデータに含まれるヘッダーから、前記宛先に受信されるコンテンツを確定させないヘッダーを、予測された前記送信回数に応じて決定された量抽出する、
請求項1又は2に記載の情報処理装置。 - 前記検査手段は、該コンテンツが前記宛先への転送が許可されるコンテンツであるか否かを検査し、
前記転送手段は、前記検査手段による検査結果が、該コンテンツが前記宛先への転送が許可されるコンテンツであるという検査結果であった場合に、該コンテンツを含むデータのうち前記検査中送信手段によって送信済みの部分を除く前記データを、前記宛先に転送する、
請求項1から3の何れか一項に記載の情報処理装置。 - 前記検査手段による検査結果が、該コンテンツが前記宛先への転送が許可されるコンテンツではないという検査結果であった場合に、前記転送手段による転送を中止する中止手段を更に備える、
請求項4に記載の情報処理装置。 - 前記検査手段による検査結果が、該コンテンツが前記宛先への転送が許可されるコンテンツではないという検査結果であった場合に、該検査結果を該宛先に通知するための情報を、前記検査中送信手段によって送信済みの部分に続くデータの一部として該宛先に送信する、検査結果通知手段を更に備える、
請求項5に記載の情報処理装置。 - 前記検査結果通知手段は、前記検査結果を前記宛先に通知するための情報を、前記検査中送信手段によって送信済みの部分に続くヘッダーおよびコンテンツの少なくとも何れかとして該宛先に送信する、
請求項6に記載の情報処理装置。 - 前記検査中送信手段は、前記検査手段による検査が行われている間、前記データに含まれるヘッダーの少なくとも一部を前記宛先に送信する、
請求項1から7の何れか一項に記載の情報処理装置。 - ネットワークを流れる、ヘッダーとコンテンツを含むデータを、宛先に到達する前に取得するデータ取得手段と、
前記コンテンツを検査する検査手段と、
前記検査手段による検査が行われている間、前記データの少なくとも一部を前記宛先に送信する検査中送信手段と、
前記検査手段によるコンテンツの検査が完了した後に、該コンテンツを含むデータのうち前記検査中送信手段によって送信済みの部分を除く前記データを、前記宛先に転送する転送手段と、
前記宛先に受信されるコンテンツを確定させないヘッダーを生成するヘッダー生成手段と、を備え、
前記検査中送信手段は、ヘッダー生成手段によって生成されたヘッダーを更に送信する、
情報処理装置。 - 送信元、宛先および要求コンテンツの種類の少なくとも何れかが所定の条件に合致するコンテンツ要求を検知するコンテンツ要求検知手段を更に備え、
前記データ取得手段は、前記コンテンツ要求検知手段によって検知されたコンテンツ要求に応じて送信されたコンテンツを含むデータを取得する、
請求項1から9の何れか一項に記載の情報処理装置。 - 前記データは、複数のパケットに分割されて送信されており、
前記データ取得手段は、前記複数のパケットを組み立てることで前記データを取得する、
請求項1から10の何れか一項に記載の情報処理装置。 - 前記データ取得手段は、前記データを、宛先に到達する前に取得し、該データに含まれるコンテンツの検査が完了するまで、該コンテンツの該宛先への転送を保留する、
請求項1から11の何れか一項に記載の情報処理装置。 - コンピューターが、
ネットワークを流れる、ヘッダーとコンテンツを含むデータを、宛先に到達する前に取得するデータ取得ステップと、
前記コンテンツを検査する検査ステップと、
前記データ取得ステップで取得されたデータに含まれるヘッダーから、前記宛先に受信されるコンテンツを確定させないヘッダーを抽出する抽出ステップと、
前記検査ステップにおける検査が行われている間、前記データの少なくとも一部として、前記抽出ステップで抽出されたヘッダーを前記宛先に送信する検査中送信ステップと、
前記検査ステップにおけるコンテンツの検査が完了した後に、該コンテンツを含むデータのうち前記検査中送信ステップで送信済みの部分を除く前記データを、前記宛先に転送する転送ステップと、
を実行する方法。 - コンピューターが、
ネットワークを流れる、ヘッダーとコンテンツを含むデータを、宛先に到達する前に取得するデータ取得ステップと、
前記コンテンツを検査する検査ステップと、
前記検査ステップにおける検査が行われている間、前記データの少なくとも一部を前記宛先に送信する検査中送信ステップと、
前記検査ステップにおけるコンテンツの検査が完了した後に、該コンテンツを含むデータのうち前記検査中送信ステップで送信済みの部分を除く前記データを、前記宛先に転送する転送ステップと、
前記宛先に受信されるコンテンツを確定させないヘッダーを生成するヘッダー生成ステップと、を実行し、
前記検査中送信ステップでは、ヘッダー生成ステップで生成されたヘッダーが更に送信される、
方法。 - コンピューターを、
ネットワークを流れる、ヘッダーとコンテンツを含むデータを、宛先に到達する前に取得するデータ取得手段と、
前記コンテンツを検査する検査手段と、
前記データ取得手段によって取得されたデータに含まれるヘッダーから、前記宛先に受信されるコンテンツを確定させないヘッダーを抽出する抽出手段と、
前記検査手段による検査が行われている間、前記データの少なくとも一部として、前記抽出手段によって抽出されたヘッダーを前記宛先に送信する検査中送信手段と、
前記検査手段によるコンテンツの検査が完了した後に、該コンテンツを含むデータのうち前記検査中送信手段によって送信済みの部分を除く前記データを、前記宛先に転送する転送手段と、
として機能させるプログラム。 - コンピューターを、
ネットワークを流れる、ヘッダーとコンテンツを含むデータを、宛先に到達する前に取得するデータ取得手段と、
前記コンテンツを検査する検査手段と、
前記検査手段による検査が行われている間、前記データの少なくとも一部を前記宛先に送信する検査中送信手段と、
前記検査手段によるコンテンツの検査が完了した後に、該コンテンツを含むデータのうち前記検査中送信手段によって送信済みの部分を除く前記データを、前記宛先に転送する転送手段と、
前記宛先に受信されるコンテンツを確定させないヘッダーを生成するヘッダー生成手段と、として機能させ、
前記検査中送信手段は、ヘッダー生成手段によって生成されたヘッダーを更に送信する、
プログラム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015039596A JP6598188B2 (ja) | 2015-02-27 | 2015-02-27 | 情報処理装置、方法およびプログラム |
| US15/052,066 US9848050B2 (en) | 2015-02-27 | 2016-02-24 | Information processing device for packet and header inspection |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015039596A JP6598188B2 (ja) | 2015-02-27 | 2015-02-27 | 情報処理装置、方法およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016163162A JP2016163162A (ja) | 2016-09-05 |
| JP6598188B2 true JP6598188B2 (ja) | 2019-10-30 |
Family
ID=56798480
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015039596A Active JP6598188B2 (ja) | 2015-02-27 | 2015-02-27 | 情報処理装置、方法およびプログラム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9848050B2 (ja) |
| JP (1) | JP6598188B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102462861B1 (ko) | 2015-08-05 | 2022-11-02 | 퀄컴 인코포레이티드 | 모바일 cdn 을 위한 심층 패킷 검사 표시 |
| EP3335399A4 (en) * | 2015-08-11 | 2018-12-26 | Qualcomm Incorporated | Http-aware content caching |
| JP6836773B2 (ja) | 2016-11-15 | 2021-03-03 | 株式会社エヴリカ | 情報処理装置、方法およびプログラム |
| US12407651B2 (en) * | 2023-02-16 | 2025-09-02 | Palo Alto Networks, Inc. | Inline inspection cybersecurity enforcement of multipart file transmissions |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE336131T1 (de) * | 2000-02-04 | 2006-09-15 | Aladdin Knowledge Systems Ltd | Schutz von computernetzen gegen böswillige inhalte |
| JP2001256045A (ja) | 2000-03-14 | 2001-09-21 | Nippon Telegraph & Telephone East Corp | コンピュータウイルスチェック方法及び装置 |
| US20050149720A1 (en) * | 2004-01-07 | 2005-07-07 | Shimon Gruper | Method for speeding up the pass time of an executable through a checkpoint |
| US7486673B2 (en) | 2005-08-29 | 2009-02-03 | Connect Technologies Corporation | Method and system for reassembling packets prior to searching |
| US8755381B2 (en) * | 2006-08-02 | 2014-06-17 | Silver Peak Systems, Inc. | Data matching using flow based packet data storage |
| KR101221045B1 (ko) * | 2008-12-22 | 2013-01-10 | 한국전자통신연구원 | 패킷 처리 방법 및 이를 이용한 toe 장치 |
| EP2222048A1 (en) * | 2009-02-24 | 2010-08-25 | BRITISH TELECOMMUNICATIONS public limited company | Detecting malicious behaviour on a computer network |
| US8432919B2 (en) * | 2009-02-25 | 2013-04-30 | Cisco Technology, Inc. | Data stream classification |
| US8750112B2 (en) * | 2009-03-16 | 2014-06-10 | Echostar Technologies L.L.C. | Method and node for employing network connections over a connectionless transport layer protocol |
| US8291058B2 (en) * | 2010-02-19 | 2012-10-16 | Intrusion, Inc. | High speed network data extractor |
| US9652372B2 (en) * | 2010-12-15 | 2017-05-16 | At&T Intellectual Property I, L.P. | Method and apparatus for improving non-uniform memory access |
| US9391892B2 (en) * | 2011-08-02 | 2016-07-12 | Cavium, Inc. | Method and apparatus for managing transport operations to a cluster within a processor |
-
2015
- 2015-02-27 JP JP2015039596A patent/JP6598188B2/ja active Active
-
2016
- 2016-02-24 US US15/052,066 patent/US9848050B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016163162A (ja) | 2016-09-05 |
| US20160255176A1 (en) | 2016-09-01 |
| US9848050B2 (en) | 2017-12-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104717101B (zh) | 深度包检测方法和系统 | |
| US20190075049A1 (en) | Determining Direction of Network Sessions | |
| US10645145B2 (en) | Method and apparatus for accelerating data transmission in a network communication system | |
| JP6598188B2 (ja) | 情報処理装置、方法およびプログラム | |
| CN101877710A (zh) | 代理网关防病毒实现方法、预分类器和代理网关 | |
| CN110839060B (zh) | 一种DPI场景中http多会话的文件还原方法和装置 | |
| JP6502902B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
| US8490173B2 (en) | Unauthorized communication detection method | |
| TW201626759A (zh) | 用於自共用公用ip位址之網際網路請求訊務偵測由一具有額外非指定網域名稱的網路伺服器所選擇之複數個用戶端終端機之裝置的數量之方法,及用於選擇性偵測其之系統 | |
| JP5219903B2 (ja) | Urlフィルタリング装置およびurlフィルタリング方法 | |
| KR101375133B1 (ko) | 통합 sns 게이트웨이 | |
| CN108605039B (zh) | 在spdy连接上检测恶意软件 | |
| CN111917682A (zh) | 访问行为识别方法、性能检测方法、装置、设备和系统 | |
| Narita et al. | Reliable cloud-based robot services | |
| WO2017005118A1 (zh) | 维持通信连接的方法、装置、终端及服务器 | |
| JP6529033B2 (ja) | 情報処理装置、方法およびプログラム | |
| JP5925287B1 (ja) | 情報処理装置、方法およびプログラム | |
| JP5764511B2 (ja) | Urlフィルタリング装置 | |
| KR20210077286A (ko) | 스마트 팩토리의 모니터링 시스템 | |
| CN106961393B (zh) | 网络会话中udp报文的检测方法及装置 | |
| JP6836773B2 (ja) | 情報処理装置、方法およびプログラム | |
| CN113422760A (zh) | 数据传输方法、装置、电子装置和存储介质 | |
| Zhang et al. | A slow rate denial-of-service attack against HTTP/2 | |
| KR101230001B1 (ko) | 플로우 분석 기반 파일공유 사업자 서버 검출 장치 및 그 방법 | |
| JP5655687B2 (ja) | 解析処理装置,解析処理プログラムおよび解析処理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180130 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181127 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181204 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190128 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190611 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190719 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190903 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190925 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6598188 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |