知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6878451
(24)【登録日】2021年5月6日
(45)【発行日】2021年5月26日
(54)【発明の名称】データストリームの非同期分析
(51)【国際特許分類】
H04L 29/14 20060101AFI20210517BHJP
H04L 12/70 20130101ALI20210517BHJP
【FI】
H04L13/00 313
H04L12/70 100Z
【請求項の数】6
【全頁数】13
(21)【出願番号】特願2018-544429(P2018-544429)
(86)(22)【出願日】2016年11月4日
(65)【公表番号】特表2018-533899(P2018-533899A)
(43)【公表日】2018年11月15日
(86)【国際出願番号】FR2016052858
(87)【国際公開番号】WO2017081389
(87)【国際公開日】20170518
【審査請求日】2019年10月23日
(31)【優先権主張番号】1560784
(32)【優先日】2015年11月12日
(33)【優先権主張国】FR
(73)【特許権者】
【識別番号】518166243
【氏名又は名称】コスモス・テック
(74)【代理人】
【識別番号】100108453
【弁理士】
【氏名又は名称】村山 靖彦
(74)【代理人】
【識別番号】100110364
【弁理士】
【氏名又は名称】実広 信哉
(74)【代理人】
【識別番号】100133400
【弁理士】
【氏名又は名称】阿部 達彦
(72)【発明者】
【氏名】ジェローム・トレ
【審査官】
野元 久道
(56)【参考文献】
【文献】
国際公開第2014/199687(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 29/14
H04L 12/70
(57)【特許請求の範囲】
【請求項1】
電気通信ネットワークを介してクライアントとエンティティとの間で交換されるデータストリームを処理するための方法であって、前記データストリームが、データパケットのセットを含み、前記処理方法が、
- データストリームに属するデータパケットを傍受すると、前記データパケットをコピーし、または前記データパケットへの参照を生成し、受信者に前記データパケットを転送するステップであって、前記データストリームが発信元と前記受信者とを含み、前記クライアントが前記データストリームの前記発信元または前記受信者である、ステップと、
- 前記データストリームを分析することができるストリームアナライザに、前記コピーまたは参照を送信するステップと、
- 前記ストリームアナライザから前記データストリームの分析の結果を受信するステップと、
- 前記受信された分析結果に基づいて、前記データストリームを処理するステップと
を含み、
前記方法が、前記データパケットを前記コピーすることまたは前記参照を前記生成することに続く、所定の継続時間Dの時間遅延ステップをさらに含み、
- 前記ストリーム分析結果が、前記ストリームアナライザから受信され、前記データストリームが許可される場合、または
- 前記ストリーム分析結果が、前記ストリームアナライザからまだ受信されていない場合
にのみ、前記データパケットが、前記時間遅延の満了時に前記受信者に転送され、
前記所定の継続時間Dが、データストリームのセットNに対して、前記N個のデータストリームのうちの少なくとも1つの所定の部分kが、D未満の分析継続時間で前記ストリームアナライザによって分析可能であるように統計的に決定される、方法。
- データストリームに属するデータパケットを傍受すると、前記データパケットをコピーし、または前記データパケットへの参照を生成し、受信者に前記データパケットを転送するステップであって、前記データストリームが発信元と前記受信者とを含み、前記クライアントが前記データストリームの前記発信元または前記受信者である、ステップと、
- 前記データストリームを分析することができるストリームアナライザに、前記コピーまたは参照を送信するステップと、
- 前記ストリームアナライザから前記データストリームの分析の結果を受信するステップと、
- 前記受信された分析結果に基づいて、前記データストリームを処理するステップと
を含み、
前記方法が、前記データパケットを前記コピーすることまたは前記参照を前記生成することに続く、所定の継続時間Dの時間遅延ステップをさらに含み、
- 前記ストリーム分析結果が、前記ストリームアナライザから受信され、前記データストリームが許可される場合、または
- 前記ストリーム分析結果が、前記ストリームアナライザからまだ受信されていない場合
にのみ、前記データパケットが、前記時間遅延の満了時に前記受信者に転送され、
前記所定の継続時間Dが、データストリームのセットNに対して、前記N個のデータストリームのうちの少なくとも1つの所定の部分kが、D未満の分析継続時間で前記ストリームアナライザによって分析可能であるように統計的に決定される、方法。
【請求項2】
前記データストリームを処理するステップが、
- 前記受信された分析結果に応じてサービス品質ポリシーを適用するステップ、または
- 前記受信された分析結果に基づいて、前記データストリームを許可もしくは禁止するステップ
を含むことができる、請求項1に記載の方法。
- 前記受信された分析結果に応じてサービス品質ポリシーを適用するステップ、または
- 前記受信された分析結果に基づいて、前記データストリームを許可もしくは禁止するステップ
を含むことができる、請求項1に記載の方法。
【請求項3】
前記ストリームを処理する前記ステップが、
- データベースに前記データストリームのマーキングを記憶するステップであって、前記マーキングは、前記ストリームが許可されるか、または禁止されるかを示す、ステップ
を含み、
データパケットを傍受するごとに、前記方法が、
- 前記受信されたパケットに対応する前記データストリームを識別するステップと、
- 前記データパケットが、許可されたストリームに対応する場合、前記データパケットを前記受信者に転送するステップと、
- 前記データパケットが、禁止されたストリームに対応する場合、前記データパケットをブロックするステップと
をさらに含む、請求項1または2に記載の方法。
- データベースに前記データストリームのマーキングを記憶するステップであって、前記マーキングは、前記ストリームが許可されるか、または禁止されるかを示す、ステップ
を含み、
データパケットを傍受するごとに、前記方法が、
- 前記受信されたパケットに対応する前記データストリームを識別するステップと、
- 前記データパケットが、許可されたストリームに対応する場合、前記データパケットを前記受信者に転送するステップと、
- 前記データパケットが、禁止されたストリームに対応する場合、前記データパケットをブロックするステップと
をさらに含む、請求項1または2に記載の方法。
【請求項4】
非一時的コンピュータ可読記憶媒体であって、この非一時的コンピュータ可読記憶媒体がプロセッサによって実行されるとき、請求項1から3のいずれか一項に記載の方法を実施するための命令を含む、非一時的コンピュータ可読記憶媒体。
【請求項5】
電気通信ネットワークを介してクライアントとエンティティとの間で交換されるデータストリームを処理するためのデバイスであって、前記データストリームが、データパケットのセットを含み、前記処理デバイスが、
- データストリームに属するデータパケットを傍受するための入力インターフェースと、
- 出力インターフェースと、
- データストリームに属するデータパケットを傍受すると、前記データパケットをコピーし、または前記データパケットへの参照を生成し、前記出力インターフェースを介して受信者に前記データパケットを転送するように構成されたプロセッサであって、前記データストリームが発信元および前記受信者を含み、前記クライアントが前記データストリームの前記発信元または前記受信者である、プロセッサと
を備え、
前記出力インターフェースが、前記データストリームを分析することができるストリームアナライザへ、前記コピーまたは参照を送信するようにさらに設計され、
前記入力インターフェースが、前記ストリームアナライザから前記データストリームの分析の結果を受信するようにさらに設計され、
前記プロセッサが、前記受信された分析結果に基づいて前記データストリームを処理するようにさらに設計され、
前記プロセッサが、前記データパケットを前記コピーすることまたは前記参照を前記生成することに続く、所定の継続時間Dの間、時間遅延し、
- 前記ストリーム分析結果が、前記ストリームアナライザから受信され、前記データストリームが許可される場合、または
- 前記ストリーム分析結果が、前記ストリームアナライザからまだ受信されていない場合
にのみ、前記時間遅延の満了時に前記受信者に前記データパケットを転送することができ、
前記プロセッサが、前記所定の継続時間Dを、データストリームのセットNに対して、前記N個のデータストリームのうちの少なくとも1つの所定の部分kが、D未満の分析継続時間で前記ストリームアナライザによって分析可能であるように統計的に決定するように設計される、
デバイス。
- データストリームに属するデータパケットを傍受するための入力インターフェースと、
- 出力インターフェースと、
- データストリームに属するデータパケットを傍受すると、前記データパケットをコピーし、または前記データパケットへの参照を生成し、前記出力インターフェースを介して受信者に前記データパケットを転送するように構成されたプロセッサであって、前記データストリームが発信元および前記受信者を含み、前記クライアントが前記データストリームの前記発信元または前記受信者である、プロセッサと
を備え、
前記出力インターフェースが、前記データストリームを分析することができるストリームアナライザへ、前記コピーまたは参照を送信するようにさらに設計され、
前記入力インターフェースが、前記ストリームアナライザから前記データストリームの分析の結果を受信するようにさらに設計され、
前記プロセッサが、前記受信された分析結果に基づいて前記データストリームを処理するようにさらに設計され、
前記プロセッサが、前記データパケットを前記コピーすることまたは前記参照を前記生成することに続く、所定の継続時間Dの間、時間遅延し、
- 前記ストリーム分析結果が、前記ストリームアナライザから受信され、前記データストリームが許可される場合、または
- 前記ストリーム分析結果が、前記ストリームアナライザからまだ受信されていない場合
にのみ、前記時間遅延の満了時に前記受信者に前記データパケットを転送することができ、
前記プロセッサが、前記所定の継続時間Dを、データストリームのセットNに対して、前記N個のデータストリームのうちの少なくとも1つの所定の部分kが、D未満の分析継続時間で前記ストリームアナライザによって分析可能であるように統計的に決定するように設計される、
デバイス。
【請求項6】
請求項5に記載の処理デバイスと、データストリームの1つまたは複数のデータパケットに基づいて前記データストリームの分析の結果を取得することができるストリームアナライザとを備える、ストリーム処理システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電気通信ネットワークにおけるデータの処理に関し、特に、クライアントへ/クライアントから移動するストリームの分析に関する。
【0002】
本発明は、より正確には、たとえば、インターネットストリーム用の、データストリーム監視およびフィルタリングアプリケーションに関する。
【0003】
以下では、データストリームとは、たとえば、インターネットタイプのネットワーク上で、クライアントとエンティティとの間で、つまりクライアントとサーバとの間で、または2つのクライアント間(いわゆるピアツーピア、すなわちP2Pのストリーム)で、交換されるデータの任意のセットを意味する。
【背景技術】
【0004】
データストリームをフィルタリングすること、ネットワークにおいてサービス品質QoSを設定できるようにストリームを分類すること、またはより一般的にはデータストリームを処理することを目的として、データフォーマット、またはそれらの伝送に採用されるプロトコルを検出するために、様々なデータストリーム分類方式を適用することが知られている。
【0005】
このために、たとえば病院または大学構内などの公的な場所に位置する、たとえばWi-fiステーションなどのネットワークアクセスポイントには、ストリームアナライザが、傍受の観点から(interception-wise)配置されることがある。実際に、病院または大学構内では、P2Pデータストリームを防止することが望ましい場合があり、したがって、そのようなデータストリームを検出する必要がある。
【0006】
そのようなデータストリームアナライザは、データストリームのパケットを傍受し、パケットは、ストリームの分類を試みるために処理される。
【0007】
統計アルゴリズムおよび決定性アルゴリズム(「ディープパケットインスペクション(Deep Packet Inspection)」、すなわちDPIとも呼ばれる)が、よく知られており、傍受されるデータパケットに基づいて、交換されるデータまたはそれらの伝送に使用されるプロトコルのフォーマットを決定すること、またはより一般的には、データストリームがそれに割り当てられるカテゴリーに応じて、許可されたストリームであるか否か、もしくはこのストリームに関して特定のQoSが適用されるべきかどうかを推論するために、データストリームをカテゴリーに入れることを可能にする。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】EP1722509
【発明の概要】
【発明が解決しようとする課題】
【0009】
しかしながら、データストリームのパケットの分析は、ストリームアナライザが電気通信ネットワークにおいて傍受中であるとき、遅れをもたらし、アナライザによって受信された各パケットは、アナライザによって適用される処理の間、処理および保持される。
【0010】
パケットの分析は、処理されたパケットに対応するストリームを分類できるようにすることがある。この場合、パケットは、ストリームが禁止される場合は保持され、ストリームが許可される場合は転送され、またはパケットに対応するストリームに、QoSポリシーが適用される。パケットの分析が、ストリームを分類するのに十分ではない場合には、パケットは、分析の完了時に転送される。
【0011】
したがって、各データパケットは、その分析の間保持され、それによってネットワークにレイテンシをもたらす。さらに、分析継続時間は可変(数ミリ秒から10分の数秒)であるので、レイテンシは、クライアントに対して全く保証されず、これは満足のいくものではない。
【0012】
したがって、クライアントの最小限のレイテンシを保証しながら、クライアントのデータストリームを効果的に分析する必要がある。
【0013】
本発明は、この状況を改善する。
【課題を解決するための手段】
【0014】
このために、本発明は、電気通信ネットワークを介してクライアントとエンティティとの間で交換されるデータストリームを処理するための方法であって、データストリームが、データパケットのセットを含み、この処理方法が、- データストリームに属するデータパケットを傍受すると、データパケットをコピーし、またはデータパケットへの参照を生成し、受信者にデータパケットを転送するステップであって、データストリームが発信元と受信者とを含み、クライアントがデータストリームの発信元または受信者である、ステップと、
- データストリームを分析することができるストリームアナライザに、上記のコピーまたは参照を送信するステップと、
- ストリームアナライザからデータストリームの分析の結果を受信するステップと、
- 受信された分析結果に基づいて、データストリームを処理するステップと
を含む方法を提案する。
【0015】
エンティティとは、クライアントとデータストリームを交換することができる任意のエンティティを意味し、たとえば、別のクライアントまたはサーバであってもよい。
【0016】
分析結果とは、所与のカテゴリーへのデータストリームの任意の分類、またはデータストリームの特性の任意の推論を意味する。この結果は、ストリームの単一のパケットの分析によって取得されてもよく、または代替的に、ストリームのいくつかのパケットの分析を必要としてもよい。ストリームの処理は、分析結果を入力とし、この分析結果に関連する処理を示すルールのセットに基づくものであってもよい。
【0017】
本発明による方法を実施するストリームアナライザおよびエンティティが、同じメモリスペースを共有する場合には、ストリームアナライザがパケットを分析するには、データパケットへの参照(メモリにおけるパケットのストレージアドレスなど)で十分である。この場合、パケットは、一方では受信者に転送され、他方では、ストリームアナライザおよび本方法を実施するエンティティがパケットのそれらのそれぞれの処理を完了するまで、メモリに記憶されるが、これらの処理の完了の順序はほとんど重要ではない。したがって、パケットは場合によっては、ストリームアナライザによるその処理が完了していないのでメモリに保存されているにもかかわらず、すでに受信者に送信されていてもよい。このような参照の生成により、ストリームアナライザおよび本発明による方法を実施するエンティティが、同じメモリスペースを共有する場合に、データパケットを不必要にコピーしないようにすることが可能になる。データパケットをコピーするために要するソフトウェアリソースの不必要な消費は、このようにして回避される。
【0018】
さらに、ストリームの分析を、データパケットのコピーに、またはデータパケットへの参照に基づかせると、有利には、各パケットが分析されている間、データパケットは保持される必要がないので、ストリームの分析に関連するレイテンシを減らすことが可能になる。対応して、処理がストリームを許可または禁止することにある場合には、禁止されたストリームに属する恐れがあるデータパケットが受信者に送信されるが、実際には、禁止されたストリームの数個のデータパケットを通過させることは、特にいくつかのタイプのストリーム(たとえば、P2Pストリームなど)を禁止することが求められる情況では害はない。処理が、分析結果に応じてサービス品質ポリシーを適用することにある場合には、対応して、サービス品質ポリシーは、分析結果が受信されると実施されるにすぎない。しかしながら、これは、最も悲観的なシナリオにおいて、たとえば、ビデオ会議に対応する第1のパケットにサービス品質が適用されないようにするにすぎず、これはユーザには害はない。
【0019】
本方法は、データパケットをコピーすることまたは参照を生成することに続く、所定の継続時間Dの時間遅延ステップをさらに含むことができ、- ストリーム分析結果が、ストリームアナライザから受信され、データストリームが許可される場合、または
- ストリーム分析結果が、ストリームアナライザからまだ受信されていない場合
にのみ、データパケットは、時間遅延の満了時に受信者に転送され得る。
【0020】
このようにして、禁止されたストリームのデータパケットを転送するリスクを制限すること、または所与のサービス品質ポリシーが適用されるべきパケットを転送しないようにすることが可能となると同時に、保証される最大レイテンシを確保し、これはインターネットストリームなどのデータストリームの情況において有利である。
【0021】
変形形態として、コピーされた後に、または参照を生成した後に、データパケットは、受信者に瞬時に転送することができる。
【0022】
参照がストリームアナライザに転送されるとき、およびデータパケットが受信者に転送されるとき、データパケットはさらに、本方法を実施するエンティティのメモリに記憶される。このメモリは、受信された参照によってパケットにアクセスするストリームアナライザに利用可能にされる。
【0023】
したがって、フィルタリング方法は、この実施形態によれば、レイテンシの観点から透過的である。
【0024】
一実施形態では、データストリームを処理するステップは、- 受信された分析結果に応じてサービス品質ポリシーを適用するステップ、または
- 受信された分析結果に基づいて、データストリームを許可もしくは禁止するステップ
を含むことができる。
【0025】
当然ながら、他の処理を考えることができ、サービス品質ポリシーの適用およびストリームのフィルタリング(許可または禁止)は、単に例として与えるものである。
【0026】
さらに、所定の継続時間Dは、データストリームのセットNに対して、N個のデータストリームのうちの少なくとも1つの所定の部分kが、D未満の分析継続時間でストリームアナライザによって分析可能であるように統計的に決定され得る。
【0027】
継続時間Dは、このようにして、低レイテンシと、禁止されたストリームのデータパケットを転送するリスクが低いこと、またはサービス品質ポリシーが適用されているはずのデータパケットを転送するリスクが低いこととの折り合いを確保するように最適化される。
【0028】
本発明の一実施形態によれば、受信された分析に基づいてデータストリームを処理するステップは、- データベースにデータストリームのマーキングを記憶するステップであって、マーキングは、ストリームが許可されるか、または禁止されるかを示す、ステップ
を含むことができる。
【0029】
本方法は、データパケットを傍受するごとに、- 受信されたパケットに対応するデータストリームを識別するステップと、
- データパケットが、許可されたストリームに対応する場合、データパケットを受信者に転送するステップと、
- データパケットが、禁止されたストリームに対応する場合、データパケットをブロックするステップと
をさらに含むことができる。
【0030】
本発明の第2の態様は、コンピュータプログラム製品であって、このコンピュータプログラム製品がプロセッサによって実行されるとき、本発明の第1の態様による方法を実施するための命令を含む、コンピュータプログラム製品に関する。
【0031】
本発明の第3の態様は、電気通信ネットワークを介してクライアントとエンティティとの間で交換されるデータストリームを処理するためのデバイスであって、データストリームが、データパケットのセットを含み、処理デバイスが、- データストリームに属するデータパケットを傍受するための入力インターフェースと、
- 出力インターフェースと、
- データストリームに属するデータパケットを傍受すると、データパケットをコピーし、またはデータパケットへの参照を生成し、出力インターフェースを介して受信者にデータパケットを転送するように構成されたプロセッサであって、データストリームが発信元および受信者を含み、クライアントがデータストリームの発信元または受信者である、プロセッサと
を備える、デバイスに関する。
【0032】
出力インターフェースは、データストリームを分析することができるストリームアナライザへ、コピーを送信するようにさらに設計されることが可能であり、入力インターフェースは、ストリームアナライザからデータストリームの分析の結果を受信するようにさらに設計されることが可能であり、プロセッサは、受信された分析結果に基づいてデータストリームを処理するようにさらに設計されることが可能である。
【0033】
プロセッサは、データパケットをコピーすることまたは参照を生成することに続く、所定の継続時間Dの間、時間遅延し、- ストリーム分析結果が、ストリームアナライザから受信され、データストリームが許可される場合、または
- ストリーム分析結果が、ストリームアナライザからまだ受信されていない場合
にのみ、時間遅延の満了時に受信者にデータパケットを転送することがさらに可能となり得る。
【0034】
本発明の第4の態様は、本発明の第3の態様による処理デバイスと、データストリームの1つまたは複数のデータパケットに基づいてデータストリームの分析の結果を取得することができるストリームアナライザとを備えるデータストリーム処理システムに関する。
【0035】
本発明の他の特徴および利点は、以下に詳述する説明、および添付の図面を調べれば明らかになるであろう。
【図面の簡単な説明】
【0036】
【図1】本発明の一実施形態によるシステムの一般的なアーキテクチャを示す図である。
【図2】本発明の一実施形態による処理方法のステップを提示するチャートである。
【図3】様々なデータストリームの分析の継続時間を示す曲線である。
【図4】本発明の一実施形態によるデータ処理デバイスの構造を示す図である。
【発明を実施するための形態】
【0037】
図1は、本発明の一実施形態によるシステムを示す。
【0038】
システムは、たとえばインターネットなどの電気通信ネットワーク14のアクセスポイント11と通信することを可能にするインターフェースを備えたラップトップまたはデスクトップコンピュータ、タッチタブレット、スマートフォン、あるいは任意の電子デバイスなどの、以下では「クライアント」と呼ぶ、ユーザ端末10を含む。
【0039】
アクセスポイント11に制限は付与されず、たとえばWi-fiタイプなどの、ワイヤレスアクセスポイント、またはワイヤードリンク(たとえばADSLもしくはファイバー)であってもよい。
【0040】
たとえば、以下では、アクセスポイント11は、大学構内のWi-fiステーションであると考えられる。導入で説明したように、大学構内のアクセスポイントを介してインターネットネットワークにアクセスするユーザに対して、P2Pデータストリームの禁止を望む場合がある。
【0041】
電気通信ネットワーク14を介して、クライアント10は、たとえば、マルチメディアコンテンツを要求するために、またはより単純にインターネットページのローディングを要求するために、あるいはピアツーピア通信プロトコルにより別のクライアント16と(アップリンクでおよび/またはダウンリンクで)ファイルを交換するために、リモートサーバ15と通信することができる。本発明はまた、クライアント10がサーバ15上のマルチメディアコンテンツをアップロードできることを実現する。
【0042】
通信が確立され、要求および応答がルーティングされる方法自体はよく知られており、以下ではより詳細に提示しない。
【0043】
クライアント10とサーバ15またはクライアント16との間で通信が確立されるとき、電気通信ネットワーク14を介してデータストリームが交換される。このデータストリームは、たとえばTCP(「トランスポート制御プロトコル」)パケットなどのデータパケットの交換を、このトランスポートプロトコルが採用されるとき、実施することができる。しかしながら、データストリームの通信に採用されるプロトコルのレイヤに制限は付与されない。
【0044】
そのようなデータストリームが、本発明の一実施形態による処理デバイス12によって観測され、傍受されてもよく、処理デバイス12は、アクセスポイント11のアップストリームもしくはダウンストリームにあってもよく、または処理デバイス12は、アクセスポイント11に組み込まれてもよい。たとえば、上記で考えた例の大学構内には、単一の処理デバイス12が装備されている場合がある。
【0045】
処理デバイス12は、データストリームの分析を目的として、データストリームのパケットの分析を担当するストリームアナライザ13にリンクされていてもよい。変形形態では、ストリームアナライザ13は、処理デバイス12に組み込まれてもよい。ストリームアナライザ13および処理デバイス12は、いくつかの実施形態によれば、1つの同じメモリを共有してもよい。
【0046】
そのようなストリームアナライザ13自体はよく知られており、本発明の範囲外である。たとえば、第EP1722509号の下で公開された特許出願のトラフィック分析システムを参照することが可能であろう。
【0047】
いずれにしても、ストリームアナライザ13は、データストリームを処理するために利用され得る処理デバイス12に分析結果を返すことができる。たとえば、分析結果は、たとえば、P2Pデータストリームのグループと、非P2Pデータストリームのグループとの間で、データストリームの分類を可能にしてもよい。したがって、処理デバイス12がフィルタリング専用である場合には、処理デバイス12は、P2Pであると分類されたストリームを禁止し、非P2Pであると分類されたストリームを許可してもよい。変形形態として、ストリームの分類は、差別化されたQoSポリシーを適用するために処理ユニット12によって使用されてもよい。
【0049】
以下では、例示的に、データストリームフィルタリングの例を考える。データストリームは、したがって処理デバイス12によって許可または禁止され得る。しかしながら、上記で詳述したように、本発明は、データストリームへのQoSポリシーの適用に、より一般的には任意のデータストリーム処理にも当てはまる。
【0050】
ステップ201において、データパケットが、分析デバイス12によって傍受される。すでに説明したように、データパケットは、クライアント10から送られることがあり、またはクライアント10に宛てられることがある。
【0051】
ステップ202において、データパケットが対応するデータストリームが識別される。ストリームを識別する方法に、制限は付与されない。ストリーム識別子は、たとえば、発信元の識別子と、受信者の識別子とを含んでもよい。クライアント10は、識別されたストリームの発信元または受信者のいずれかである。
【0052】
ステップ203において、識別されたストリームが許可されたストリームまたは禁止されたストリームとして処理デバイス12において以前に分類されているかどうかが確認される。
【0053】
ストリームの分類が以前に行われていない場合、データパケットはステップ204においてコピーされる。データパケットのコピーが、このようにして取得され、ストリームアナライザ13に送信される。変形形態として、ストリームアナライザ13および処理デバイス12が共通のメモリを共有する場合には、ステップ204は、データパケットへの参照を生成することにある。
【0054】
データパケットは、その後ステップ205においてストリームの受信者(クライアント10が受信者であるときはクライアント10、クライアント10が発信元であるときはサーバ15またはクライアント16)に送信される。データパケットのコピーの代わりに参照が生成される場合、データパケットはさらに、以下で詳述するステップ206の完了までメモリに記憶される。
【0055】
データパケットおよびそのコピー(またはその参照)が転送される順序に、制限は付与されず、図2のステップの配置は、例として挙げるものである。
【0056】
ストリームの分析をデータパケットのコピーに、または参照に基づかせることによって、データパケットはパケットが分析されるまで処理ユニット12に保持される必要がないので、ストリームの分析に関連するレイテンシを減らすことが可能となる。対応して、禁止されるストリームに属する恐れがあるデータパケットが、受信者に送信される。しかしながら、実際には、禁止されたストリームの数個のデータパケットを通過させることは、特にいくつかのタイプのストリーム(たとえば、P2Pストリームなど)を禁止することが求められる情況では害はない。
【0057】
ステップ206において、データストリームに対応するデータパケットの1つもしくは複数のコピーまたは参照が、ストリームアナライザ13に転送されたとき、ステップ206において分析の結果が、ストリームアナライザ13から受信される。そのような結果を取得するのに必要とされる継続時間は、事前にわかっていない場合があり、分析されるデータストリームに応じて変動する。データストリームの分析の継続時間は、図3のように、曲線301で表されてもよい。
【0058】
データストリームのインデックスが、横座標として表され、このデータストリームの分析の継続時間が、縦座標として表される。曲線301は、N個のデータストリームの分析後に取得され、Nは、数百または数千の大きさである。データストリームのインデックスは、分析継続時間が減少していくようにランク付けされる。実際には、取得される曲線301は、双曲線形状であり、すなわち、比較的小さい数のデータストリームが、長い分析を必要とする。
【0059】
ステップ207において、ストリームアナライザ13から分析の結果を受信すると、処理ユニット12は、データストリームを許可する、または禁止する目的で、データストリームを分類することができる。この分類の結果は、同じデータストリームに対応する新しいデータパケットを受信すると、ステップ203において利用することができる。
【0060】
処理ユニット12は、分析結果を入力として取り込み、ストリームの分類、すなわち許可されたストリームまたは禁止されたストリームのいずれかを返すルールのセットを記憶することができる。上記で説明した特定の例では、分析結果は、データストリームがP2Pストリームであるかどうかを示すことができ、P2Pストリームのみが、処理ユニット12によって禁止されるストリームとして分類される。データストリームの分類(またはデータストリームのマーキング)は、処理ユニット12のデータベースに、データストリームの識別子に関連付けて記憶され得る。すでに説明したように、データストリームの識別子は、受信者の識別子(たとえばIPアドレス、またはポート番号/IPアドレスのペア)、および発信元の識別子を含むことができる。
【0061】
したがって、ステップ203において、受信されたデータパケットに対応するデータストリームが分類されていると決定されるとき、方法は、ステップ208において、データパケットに対応するデータストリームに割り当てられたカテゴリーに基づくデータパケットのフィルタリングを含み、- データストリームが許可される場合、たとえば、データストリームが大学構内のクライアント10とサーバ15との間で確立される(非P2Pストリーム)場合、データパケットは、直ちに受信者に転送され、
- データストリームが禁止される場合、たとえば、データストリームが大学構内のクライアント10と他のクライアント16との間で確立される(P2Pストリーム)場合、データパケットはブロックされる。
【0062】
すでに説明したように、データパケットは、ステップ204においてコピーされた後(または参照を生成した後)に、ステップ205において受信者に転送される。第1の実施形態によれば、データパケットは、コピーされた後に、または参照を生成した後に、ステップ205において直ちに転送される(ブロック204からの出力の左側の分岐)。
【0063】
第2の実施形態によれば、ステップ204においてデータパケットをコピーした後に、または参照を生成した後に、所定の継続時間Dの間、ステップ209において時間遅延する場合がある(ブロック204からの出力の右側の分岐)。継続時間Dの完了時に、ステップ210において、分析結果が受信されたかどうかが決定される。そうではない場合、データパケットは、ステップ205において、データストリームの受信者に転送される。
【0064】
ステップ210において分析結果が受信されたと決定される場合、ステップ211において、データストリームは許可されたストリームとして分類されているかどうかが確認される。そうである場合、データパケットは、ステップ205において転送される。反対に、データストリームが禁止される場合、データパケットは、ステップ212においてブロックされる。
【0065】
したがって、第2の実施形態によれば、すべてのデータパケットは、分析結果が受信されていない限り、継続時間Dだけ遅延する。
【0066】
継続時間Dは、有利には、図3に提示する曲線301に基づいて選択することができる。たとえば、Dは、データストリームの少なくともk%、たとえば90%に対して、分析結果を取得することができる継続時間とすることができる。Dは、したがって、図3に示す数N1が、考えられるデータストリームの総数Nの10分の1を表すように計算される。
【0067】
これは、比較的小さい値の、固定のレイテンシを確保することを可能にすると同時に、(分析結果は、90%の場合に継続時間Dの完了時に取得されることになるので)禁止されたストリームに属するデータパケットを転送するリスクを低減させる。
【0068】
図3は、本発明の一実施形態による処理デバイス12を表す。
【0069】
処理デバイス12は、図2に関して上記で説明した方法のステップの実施を可能にする命令を記憶するために、ランダムアクセスメモリ404およびプロセッサ403を備える。フィルタリングデバイス12はまた、方法の適用後に保存されるよう意図されたデータ、特に、許可されたデータストリームもしくは禁止されたデータストリームとして、または適用されるQoSポリシーによって差別化されるデータストリームとして、データストリームをマーキングするためのデータ、また分析結果に基づいてストリーム分類を推論することを可能にするルールを、記憶するためのデータベース405を備える。処理デバイス12はさらに、アクセスポイント11を介して交換されるデータストリームのデータパケットを受信することと、ストリームアナライザ13の分析の結果を受信することとを行うように意図された入力インターフェース401を備える。変形形態として、一方は、アクセスポイントを介して交換されるデータパケットの傍受専用であり、他方はストリームアナライザ13の分析の結果の受信専用である、異なる入力インターフェースが設けられてもよい。
【0070】
処理デバイス12は、一方ではストリームアナライザ13にデータパケットのコピー(またはデータパケットの参照)を送信し、他方ではクライアント10またはネットワーク14にデータパケットを転送することが可能な出力インターフェース406を備える。まさに入力インターフェース401の場合のように、別個の出力インターフェースが設けられてもよい。
【0071】
当然ながら、本発明は、例として上記で説明した実施形態に限定されず、他の変形形態にも適用される。
【符号の説明】
【0072】
10 ユーザ端末/クライアント11 アクセスポイント
12 処理デバイス
13 ストリームアナライザ
14 電気通信ネットワーク
15 リモートサーバ
16 クライアント
401 入力インターフェース
403 プロセッサ
404 ランダムアクセスメモリ
405 データベース
406 出力インターフェース