知財求人 - 知財ポータルサイト「IP Force」
▶ ヒューレット−パッカード デベロップメント カンパニー エル.ピー.の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】特表2015-528263(P2015-528263A)
(43)【公表日】2015年9月24日
(54)【発明の名称】ネットワークトラフィック処理システム
(51)【国際特許分類】
H04L 12/66 20060101AFI20150828BHJP
G06F 13/00 20060101ALI20150828BHJP
【FI】
H04L12/66 B
G06F13/00 351Z
【審査請求】有
【予備審査請求】未請求
【全頁数】13
(21)【出願番号】特願2015-524236(P2015-524236)
(86)(22)【出願日】2012年7月31日
(85)【翻訳文提出日】2015年1月21日
(86)【国際出願番号】US2012049036
(87)【国際公開番号】WO2014021863
(87)【国際公開日】20140206
(81)【指定国】
AP(BW,GH,GM,KE,LR,LS,MW,MZ,NA,RW,SD,SL,SZ,TZ,UG,ZM,ZW),EA(AM,AZ,BY,KG,KZ,RU,TJ,TM),EP(AL,AT,BE,BG,CH,CY,CZ,DE,DK,EE,ES,FI,FR,GB,GR,HR,HU,IE,IS,IT,LT,LU,LV,MC,MK,MT,NL,NO,PL,PT,RO,RS,SE,SI,SK,SM,TR),OA(BF,BJ,CF,CG,CI,CM,GA,GN,GQ,GW,ML,MR,NE,SN,TD,TG),AE,AG,AL,AM,AO,AT,AU,AZ,BA,BB,BG,BH,BN,BR,BW,BY,BZ,CA,CH,CL,CN,CO,CR,CU,CZ,DE,DK,DM,DO,DZ,EC,EE,EG,ES,FI,GB,GD,GE,GH,GM,GT,HN,HR,HU,ID,IL,IN,IS,JP,KE,KG,KM,KN,KP,KR,KZ,LA,LC,LK,LR,LS,LT,LU,LY,MA,MD,ME,MG,MK,MN,MW,MX,MY,MZ,NA,NG,NI,NO,NZ,OM,PE,PG,PH,PL,PT,QA,RO,RS,RU,RW,SC,SD,SE,SG,SK,SL,SM,ST,SV,SY,TH,TJ,TM,TN,TR,TT,TZ,UA,UG,US,UZ,VC,VN
(71)【出願人】
【識別番号】511076424
【氏名又は名称】ヒューレット−パッカード デベロップメント カンパニー エル.ピー.
【氏名又は名称原語表記】Hewlett‐Packard Development Company, L.P.
(74)【代理人】
【識別番号】100087642
【弁理士】
【氏名又は名称】古谷 聡
(74)【代理人】
【識別番号】100082946
【弁理士】
【氏名又は名称】大西 昭広
(74)【代理人】
【識別番号】100121061
【弁理士】
【氏名又は名称】西山 清春
(74)【代理人】
【識別番号】100195693
【弁理士】
【氏名又は名称】細井 玲
(72)【発明者】
【氏名】フルーリー,デイモン,イー
(72)【発明者】
【氏名】ロレッテ,ジェイムス
【テーマコード(参考)】
5B089
5K030
【Fターム(参考)】
5B089GA31
5B089GB02
5B089HA10
5B089KA05
5B089KA17
5B089KC23
5B089KC32
5B089MC02
5K030GA01
5K030GA15
5K030HD03
5K030LE09
(57)【要約】
ネットワークトラフィックを処理するためのシステムは、ハードウェアアクセラレーション検査モードでネットワークトラフィックを処理するためのハードウェアアクセラレーション検査ユニットと、ソフトウェア検査モードでネットワークトラフィックを処理するためのソフトウェア検査ユニットとを含む。ソフトウェア検査ユニットは、少なくとも接続の連続した所定数のバイトに関してソフトウェア検査モードで接続を処理する。接続がクリーンであると判断される場合に、接続が、ハードウェアアクセラレーション検査モードに遷移され得る。【選択図】図1
【特許請求の範囲】
【請求項1】
ネットワークトラフィックを処理するためのシステムであって、
ハードウェアアクセラレーション検査モードでネットワークトラフィックを処理するためのハードウェアアクセラレーション検査ユニットと、
ソフトウェア検査モードで前記ネットワークトラフィックを処理するためのソフトウェア検査ユニットとを含み、前記ソフトウェア検査ユニットが、シグネチャマッチを検出するために前記ソフトウェア検査モードで前記ネットワークトラフィックの接続を処理し、前記接続が、少なくとも前記接続の連続した所定数のバイトに関して前記ソフトウェア検査ユニットによりクリーンであると判断される場合に、前記接続が、前記ハードウェアアクセラレーション検査により処理するために前記ハードウェアアクセラレーション検査モードに遷移される、システム。
ハードウェアアクセラレーション検査モードでネットワークトラフィックを処理するためのハードウェアアクセラレーション検査ユニットと、
ソフトウェア検査モードで前記ネットワークトラフィックを処理するためのソフトウェア検査ユニットとを含み、前記ソフトウェア検査ユニットが、シグネチャマッチを検出するために前記ソフトウェア検査モードで前記ネットワークトラフィックの接続を処理し、前記接続が、少なくとも前記接続の連続した所定数のバイトに関して前記ソフトウェア検査ユニットによりクリーンであると判断される場合に、前記接続が、前記ハードウェアアクセラレーション検査により処理するために前記ハードウェアアクセラレーション検査モードに遷移される、システム。
【請求項2】
前記ハードウェアアクセラレーション検査ユニットが潜在的なシグネチャマッチを検出する場合、前記接続は、前記接続に関してディープパケットインスペクションを実行するために前記ソフトウェア検査ユニットに戻るように遷移される、請求項1に記載のシステム。
【請求項3】
前記接続がシグネチャマッチを有することを前記ソフトウェア検査ユニットが判断する場合、アクションが前記シグネチャマッチに基づいてとられる、請求項2に記載のシステム。
【請求項4】
前記ハードウェアアクセラレーション検査ユニットが、前記ソフトウェア検査ユニットより速いレートで前記接続を処理する、請求項1に記載のシステム。
【請求項5】
前記ソフトウェア検査モードにおいて、前記接続が、前記ハードウェアアクセラレーション検査ユニット及び前記ソフトウェア検査ユニットにより処理される、請求項1に記載のシステム。
【請求項6】
前記ハードウェアアクセラレーション検査モードにおいて、前記接続が、前記ハードウェアアクセラレーション検査ユニットによってのみ処理される、請求項1に記載のシステム。
【請求項7】
前記システムにより受け取られた全ての前記ネットワークトラフィックが、少なくとも前記ハードウェアアクセラレーション検査ユニットにより処理される、請求項1に記載のシステム。
【請求項8】
前記システムが、独立型ネットワークアプライアンスである、請求項1に記載のシステム。
【請求項9】
前記システムが、ネットワーク切替装置、ファイアウォールのネットワークアプライアンス、集中型セキュリティーアプライアンス、又はブレード筐体へ組み込まれる、請求項1に記載のシステム。
【請求項10】
侵入防止システム(IPS)であって、
ネットワークトラフィックを受け取り、前記IPSによりクリーンであると判断される場合にその宛先の方へ前記ネットワークトラフィックを出力するためのインターフェースと、
ハードウェアアクセラレーション検査モードにおいて前記ネットワークトラフィックの接続を処理して、前記接続が潜在的なシグネチャマッチを有するか否かを判断するためのハードウェアアクセラレーション検査ユニットと、
前記接続がシグネチャマッチを有するか否かを判断するためにソフトウェア検査モードにおいて前記接続を処理するためのソフトウェア検査ユニットとを含み、
前記ソフトウェア検査ユニットが、前記ソフトウェア検査モードで前記接続を処理し、前記接続が、前記接続の連続した所定数のバイトに関してクリーンであると判断される場合に、前記接続が、前記ハードウェアアクセラレーション検査ユニットにより処理するために前記ハードウェアアクセラレーション検査モードに遷移される、侵入防止システム。
ネットワークトラフィックを受け取り、前記IPSによりクリーンであると判断される場合にその宛先の方へ前記ネットワークトラフィックを出力するためのインターフェースと、
ハードウェアアクセラレーション検査モードにおいて前記ネットワークトラフィックの接続を処理して、前記接続が潜在的なシグネチャマッチを有するか否かを判断するためのハードウェアアクセラレーション検査ユニットと、
前記接続がシグネチャマッチを有するか否かを判断するためにソフトウェア検査モードにおいて前記接続を処理するためのソフトウェア検査ユニットとを含み、
前記ソフトウェア検査ユニットが、前記ソフトウェア検査モードで前記接続を処理し、前記接続が、前記接続の連続した所定数のバイトに関してクリーンであると判断される場合に、前記接続が、前記ハードウェアアクセラレーション検査ユニットにより処理するために前記ハードウェアアクセラレーション検査モードに遷移される、侵入防止システム。
【請求項11】
前記接続が潜在的なシグネチャマッチを有することを、前記ハードウェアアクセラレーション検査ユニットが判断する場合、前記接続は、前記接続に関して追加の検査を実行するために前記ソフトウェア検査ユニットに戻るように遷移される、請求項10に記載のIPS。
【請求項12】
前記接続がシグネチャマッチを有することを前記ソフトウェア検査ユニットが判断する場合、前記接続が前記インターフェースから送出されることがブロックされる、請求項11に記載のIPS。
【請求項13】
前記ハードウェアアクセラレーション検査ユニットが、前記ソフトウェア検査ユニットより速いレートで前記接続を処理する、請求項10に記載のIPS。
【請求項14】
ネットワークトラフィックを処理する方法であって、
ネットワーク処理システムのインターフェースで接続を受け取り、
前記接続がシグネチャマッチを有するか否かを判断するために、前記接続の所定数のバイトに関してソフトウェア検査モードにおいて前記接続を処理し、
前記接続が前記所定数のバイトに関してクリーンであると判断される場合に、前記接続の処理をハードウェアアクセラレーション検査モードに遷移させ、前記ハードウェアアクセラレーション検査モードにおける接続の処理が、前記ソフトウェア検査モードにおけるものよりも速い、方法。
ネットワーク処理システムのインターフェースで接続を受け取り、
前記接続がシグネチャマッチを有するか否かを判断するために、前記接続の所定数のバイトに関してソフトウェア検査モードにおいて前記接続を処理し、
前記接続が前記所定数のバイトに関してクリーンであると判断される場合に、前記接続の処理をハードウェアアクセラレーション検査モードに遷移させ、前記ハードウェアアクセラレーション検査モードにおける接続の処理が、前記ソフトウェア検査モードにおけるものよりも速い、方法。
【請求項15】
前記接続が潜在的なシグネチャマッチを有することを、前記ハードウェアアクセラレーション検査モードにおける前記処理が判断する場合、前記接続の処理が、前記ソフトウェア検査モードに戻るように遷移されることを含む、請求項14に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
背景インターネットのトラフィックが、西暦2015年までに4倍になる見通しであることが示唆されている。更に、世界平均の接続レートが前年比43%増加し、世界平均のピークレートが前年比67%増加したことを、レポートが指摘している。同時に、あらゆる種類のウイルス、ワーム、マルウェアの形態での内部および外部ネットワーク攻撃の複雑巧妙化が、激増している。
【0002】
ネットワーク管理者は、ネットワークセキュリティの提供の任務を負い続け、ネットワークセキュリティ用の様々なシステムに依存することが多い。例えば、侵入検知システム(Intrusion Detection System:IDS)は、ネットワーク攻撃を検出するが、一部は、事後の攻撃通知を提供するにすぎない受動的システムとして動作する。対照的に、侵入防止システム(Intrusion Prevention System:IPS)は、入来トラフィック及び送出トラフィックをスキャンすることにより、ネットワークトラフィックのフロー(流れ)を積極的に分析することにより、ファイアウォールのような従来のセキュリティ製品を補完するために開発された。しかしながら、IPSによるディープパケットインスペクションは一般に、かなりの量のリソースを利用し、それらの性能が増大する接続レート及びスループット帯域幅についていけない場合には、ネットワークのボトルネックになる可能性がある。
【0003】
実施形態は、以下の図面に示された例に関連して詳細に説明される。
【図面の簡単な説明】
【0004】
【図1】ネットワークトラフィック処理システムを示す図である。
【図2A】異なるネットワーク環境におけるネットワークトラフィック処理システムを示す図である。
【図2B】異なるネットワーク環境におけるネットワークトラフィック処理システムを示す図である。
【図3】ネットワークトラフィックの処理を示す図である。
【図4】ネットワークトラフィックの処理を示す図である。
【0005】
実施形態の詳細な説明簡略化および例示のために、実施形態の原理は、主としてその例を引き合いに出すことにより説明される。以下の説明において、多くの特定の細部が、実施形態の完全な理解を提供するために記載される。明らかなように、実施形態は、特定の細部の全てに対する制限なしに実施され得る。また、実施形態は、様々な組み合わせにおいて、互いに使用され得る。
【0006】
一実施形態に従って、ネットワークトラフィックを処理するためのシステムは、潜在的なシグネチャマッチ(signature match)を識別するためにネットワークトラフィックを検査する。潜在的なシグネチャマッチを有すると考えられるネットワークトラフィックは、それがシグネチャマッチを有するか否かを判断するために更に検査される。シグネチャマッチが検出された場合、ネットワークトラフィックは、ブロック(遮断)され、報告され、レート制限され、又は他の是正措置が取られ得る。
【0007】
システムは、パケットのハードウェアアクセラレーション検査を実行する、フィールドプログラマブルゲートアレイ(FPGA)、特定用途向け集積回路(ASIC)、又は別のタイプのカスタマイズ可能な集積回路またはプロセッサのような、ハードウェアアクセラレーション検査ユニットを含み、システムは、パケットのソフトウェア検査を実行するためにプロセッサ又はある種の処理回路により実行される機械可読命令から構成されたソフトウェア検査ユニットを含む。ハードウェアアクセラレーション検査ユニットは、その検査実行の時にソフトウェア検査ユニットよりも速く、システムは、検査処理速度を改善するためにハードウェアアクセラレーション検査ユニットを活用する。例えば、接続の開始時に、パケット検査はソフトウェア検査ユニットにより実行される。接続は、同じ属性を有するパケットを含む。属性の例には、出所インターネットプロトコル(IP)アドレス、宛先IPアドレス、出所IPポート、宛先IPポート、IPプロトコルなどが含まれ得る。一例において、接続は、伝送制御プロトコル(TCP)フローである。別の例において、接続は、同じ属性を有するパケットを含む擬似フローである。例えば、接続は、ユーザデータグラムプロトコル(UDP)、或いは伝送チャネル又はデータ経路をセットアップするための通信の前に必要でない別のプロトコルにおいて擬似フローとすることができる。接続がビットの閾値(例えば、8キロバイト(KB))に到達する時までに、攻撃が検出されない場合、ソフトウェア検査ユニットは、ハードウェアアクセラレーション検査ユニットに、当該フローをハードウェアアクセラレーション検査モードにするように命令して、性能を向上させる。
【0008】
ハードウェアアクセラレーション検査モードにおいて、接続は、ソフトウェア検査ユニットでもって可能であるものよりも速いレート(速度)で、ハードウェアアクセラレーション検査ユニットにより検査される。ハードウェアアクセラレーション検査ユニットにより実行される処理は、ソフトウェア検査ユニットにより実行される処理に比べて2〜3倍速くすることができる。ハードウェアアクセラレーション検査モードにおいて、接続がクリーンである(例えば、潜在的なシグネチャマッチを有さないと判断される)場合、接続のためのパケットは、当該パケットにおいてソフトウェア検査が実行されずに伝達される。ハードウェアアクセラレーション検査モードにおいて、接続のためのパケットは、ハードウェアアクセラレーション検査ユニットにより処理されるが、処理時間を最小限にするためにソフトウェア検査ユニットにより処理されない。しかしながら、ハードウェアアクセラレーション検査ユニットが接続において潜在的なシグネチャマッチを検出する場合、当該接続は、シグネチャマッチが存在するか否かを判断するためにソフトウェア検査ユニットによって更に処理するために、ソフトウェア検査モードに移行される。ソフトウェア検査モードにおいて、接続は、ソフトウェア検査ユニットにより処理され、ハードウェアアクセラレーション検査ユニットによっても処理される。ハードウェアアクセラレーション検査モードとソフトウェア検査モードとの間で、接続の検査を遷移させることにより、セキュリティを維持しながら、スループットが増大する。
【0009】
ソフトウェア検査ユニットは、ハードウェア検査モードにおいて実行されるものに比べてきめ細かいパケット検査およびフィルタリングを含むことができるパケット検査を実行する。従って、ハードウェアアクセラレーション検査ユニットにより実行されるパケット処理は、ソフトウェア検査ユニットにより実行されるパケット検査と異なることができる。例えば、ソフトウェア検査ユニットにより実行されるパケット処理は、ディープパケットインスペクションを含む。ディープパケットインスペクションは、接続において、パケットのペイロード並びにヘッダを検査することを含む。ディープパケットインスペクションは、7つの開放型システム間相互接続(OSI)層の全てにおける接続からのデータを検査することを含むことができる。ハードウェアアクセラレーション検査ユニットにより実行されるパケット処理は、7つのOSI層の全てからのデータを含むことができない。例えば、パケット検査(インスペクション)は、ヘッダに限定され得る。
【0010】
潜在的なシグネチャマッチを有する接続は、特有の所定の属性を有すると判断される接続である。例えば、接続は、セキュリティーの脅威を表す属性を有する1つのパケット又は複数のパケットを含むことができる。例えば、接続におけるパケットは、それらの順序がバラバラであるか否か、又はそれらがバラバラにされているか否か、或いはそれらがそれらのペイロードにおいて特定のバイトパターンを有するか否かを判断するために、ハードウェアアクセラレーション検査ユニットにより検査される。
【0011】
また、接続は、それがポリシー又は規則に基づいて関心のあるものと判断されたデータを含む場合に、潜在的なシグネチャマッチを有するかもしれない。例えば、規則は、特定のアプリケーションのパケットを監視することを指定する。接続がこれらアプリケーションの何れかからのパケットを含む場合、それは、規則に基づいたシグネチャマッチと考えられる。例えば、インスタントメッセージアプリケーションからのパケットは、監視され、システムにより、ローカルエリアネットワーク(LAN)を出ることを阻止され得る。
【0012】
潜在的なシグネチャマッチと同様に、接続は、それが所定の属性を有する場合にシグネチャマッチを有すると判断されるかもしれないが、当該属性は、ハードウェアアクセラレーション検査ユニットではなくて、ソフトウェア検査ユニットにより識別される。シグネチャマッチの属性は、潜在的なシグネチャマッチの属性と異なることができる。シグネチャマッチの属性は、ディープパケットインスペクションにより識別され得る。シグネチャマッチは、正規表現マッチングにより、及び/又はパケットに関する及びそれが悪意のある又は関心のあることを示すことができるそのデータに関する追加の情報を検出するための他のフィルタリング及びパケットシグネチャ検出技術により判断されるマッチ(match)を含むことができる。悪意のある属性は、フィッシング攻撃、企てられたスパイウェアインストール、ネットワーク帯域幅またはサーバリソースを使い果たして正真正銘のパケットを除外させる可能性があるパケットフラッディングなどを表すことができる。
【0013】
ネットワークトラフィックを処理するためのシステムは、ネットワークに接続されたIPSを含むことができる。IPSは、接続を検査し、接続がシグネチャマッチを有することを見出された場合には、接続はフラグをたてられ、ブロックされ、及び/又は廃棄され得る。ログが保持され、警報または他の通知が生成されることができ、シグネチャマッチの結果としてシステム管理者に送信され得る。接続がクリーンである場合、IPSはその宛先に伝達されるべき接続を出力する。
【0014】
図1は、ネットワークトラフィックを処理するためのシステム100を示す。システム100は、シグネチャマッチを有すると判定されたネットワークトラフィックをブロックするIPSを含むことができる。システム100は、ポート102を含むインターフェース101を含む。インターフェース101は、システム100をネットワークに接続するネットワークインターフェースである。パケットは、インターフェース101のポート102において送受信される。
【0015】
システム100は、ハードウェアアクセラレーション検査ユニット110及びソフトウェア検査ユニット120を含む。システム100のコンポーネントは、バス130を介して接続され得る。ソフトウェア検査ユニット120は、データ記憶装置122a−nを含む1つ又は複数のプロセッサ121a−nを含むことができ、データ記憶装置122a−nは、機械可読命令およびデータを格納するように動作可能なコンピュータ可読記憶媒体からなる。機械可読命令は、本明細書で説明される接続処理機能を実行するためのコードを含むことができる。ハードウェアアクセラレーション検査ユニット110は、接続処理も実行するけれどもソフトウェア検査ユニット120と比べて加速速度で実行する、FPGA、ASIC又は別のタイプのカスタマイズ可能な集積回路またはハードウェアのような、処理回路111を含む。また、ハードウェアアクセラレーション検査ユニット110は、データ記憶装置112も含むことができる。
【0016】
ハードウェアアクセラレーション検査ユニット110及びソフトウェア検査ユニット120は、接続が潜在的なシグネチャマッチを有するか否かを判断するために、ネットワークから受け取った接続を処理する。これは、検査(インスペクション)と呼ばれる。接続がシグネチャマッチを有すると判断される場合、接続は、その宛先へ送信していることをブロックされ得る。接続は、フラグをたてられて、システム100により廃棄され得る。クリーンであると判断された接続は、インターフェース101を介してその宛先へ伝達される。クリーンな接続は、潜在的なシグネチャマッチ及び/又はシグネチャマッチを有さない接続である。
【0017】
ハードウェアアクセラレーション検査ユニット110及びソフトウェア検査ユニット120は、インライン処理するように構成され得る。例えば、インターフェース101により受け取られた接続は、最初にハードウェアアクセラレーション検査ユニット110により処理され、次いでソフトウェア検査ユニット120により処理され得る。接続がクリーンであると判断される場合、それはインターフェース101を介してその宛先へ送られる。
【0018】
システム100は、接続がハードウェアアクセラレーション検査ユニット110により最初に処理され、次いでソフトウェア検査ユニット120により処理され得るインライン構成においてのように、ハードウェアアクセラレーション検査モードとソフトウェア検査モードを切り替えることができ、ハードウェアアクセラレーション検査モードでは、接続がハードウェアアクセラレーション検査ユニットにより検査されるが、ソフトウェア検査ユニット120により処理されず、ソフトウェア検査モードでは、ソフトウェア検査ユニットにより処理され、且つハードウェアアクセラレーション検査ユニットによっても処理され得る。
【0019】
システム100は、一般にパケットを受け取って検査し且つクリーンなパケットを送出するために、ルータ又はファイアウォール又はネットワークに接続され得る独立型ネットワークアプライアンスとすることができる。システム100は、ルータ、ファイアウォール又は別のタイプの切替装置のような、既存のネットワークアプライアンスに組み込まれ得る。システム100は、単一デバイスにおけるIPS及びファイアウォールのような、多機能集中型セキュリティーアプライアンス中に存在することができる。システム100は、ブレード筐体、又は別のタイプのアプライアンス中に存在することができる。
【0020】
図2A〜図2Bは、異なるネットワーク環境において接続されたIPS200とすることができるシステム100を示す。図2Aは、「バンプインザワイヤ(Bump-in-the-wire)」構成で接続されたIPS200を示す。ユーザ'1' 202〜ユーザ'n' 204は、IPS200に接続された切替装置206に接続され、次いでIPS200はインターネット213又はネットワークバックボーンに接続される。IPS200は一般に、切替装置とネットワークとの間に設けられ、セキュリティー脅威が、インターネット213又はネットワークバックボーンから受け取られる、又はインターネット213又はネットワークバックボーンへ伝達されるのを阻止する。
【0021】
図2Bは、別のネットワーク環境において実現されたIPS200a−cを示す。この図において、内部サブネットワーク'A' 210は、IPS'1' 200aに接続された切替装置'1' 216に接続された、クライアントパーソナルコンピュータ(PC)'1' 212〜クライアントPC'n' 214からなる。内部サブネットワーク'B' 220は、IPS'2' 200bに接続された切替装置'2' 226に接続された、サーバ'1' 222〜サーバ'n' 224からなる。内部サブネットワーク'A' 210及び内部サブネットワーク'B' 220は、ルータ230に接続され、ルータ230は、外部ネットワークノード234に接続されたIPS'3' 200cに接続される。IPS'3' 200cは一般に、外部ネットワーク234から内部サブネットワーク'A' 210及び内部サブネットワーク'B' 220へのセキュリティー脅威の浸入を阻止するように実施される。
【0022】
IPS'1' 200aは、内部サブネットワーク'A' 210から生じるセキュリティー脅威の浸入を阻止することにより、追加の浸入防御を提供する。同様に、IPS'2' 200bは、内部サブネットワーク'B' 220から生じるセキュリティー脅威の浸入を阻止することにより、追加の浸入防御を提供する。当業者には明らかなように、IPS'1' 200aの具現化形態は、1つ又は複数のクライアントPC212〜214及び対応する切替装置'1' 216からなる内部サブネットワーク210に対する浸入問題を切り離す。同様に、IPS'2' 200bの具現化形態は、1つ又は複数のサーバ222〜224及び対応する切替装置'2' 226からなる内部サブネットワーク220に対する浸入問題を切り離す。
【0023】
図3は、ある時間にわたって、ハードウェアアクセラレーション検査モードとソフトウェア検査モードの接続処理切り替えの例を示す。接続の開始時に、接続は、図1に示されたソフトウェア検査ユニット120により、ソフトウェア検査モードで処理される。接続は、点Bまで少なくとも所定数のバイトに関してソフトウェア検査モードで処理される。ソフトウェア検査モードで接続を処理することは、接続が潜在的なシグネチャマッチを有すると判断されるか否か、閾値(例えば、8KB)を通り過ぎて継続される。例は8KBを示すが、閾値は、より大きく又はより小さくてもよい。
【0024】
接続が点Bまで「クリーン」である場合、接続の処理は、ソフトウェア検査モードからハードウェアアクセラレーション検査モードへ、点Bから点Cに遷移し、接続が点Dにおいてのような、ハードウェアアクセラレーション検査ユニット110により潜在的なシグネチャマッチを有すると判断されるまで、パケットがソフトウェア検査モードよりもずっと速いレートで処理されるハードウェアアクセラレーション検査モードにとどまる。次いで、接続の処理は、ディープパケットインスペクションを含むことができる追加の検査のためにソフトウェア検査モードへ、点Dから点Eへ遷移し、接続が「クリーン」であると判断されるまで、ソフトウェア検査モードにとどまる。接続が「クリーン」である場合、処理は、最高性能のために点Fから点Gへ、ハードウェアアクセラレーション検査モードへ再び遷移する。接続処理の遷移は、接続の存続期間にわたって発生し続けることができる。接続は別々に処理され、そのため異なる接続は、潜在的なシグネチャマッチ又はシグネチャマッチが接続において検出される場合および検出される時に応じた異なる接続処理遷移を有することができる。
【0025】
図4は、ネットワークトラフィックを処理するための方法400の例を示す。方法400は、一例として及び制限しないものとしてシステム100に関連して説明される。方法は、他のシステムで実施され得る。
【0026】
401において、システムは新たな接続を受け取る。新たな接続は、接続を定義する属性により識別されることができ、エントリが、接続ID及び接続属性および接続の現在のモードに関するしるしを含む、図1に示されたハードウェアアクセラレーション検査ユニット110において及び/又はソフトウェア検査ユニット120において格納された接続テーブルに形成され得る。現在のモードは、ハードウェアアクセラレーション検査モード又はソフトウェア検査モードの何れかである。新たな接続は、ソフトウェア検査モードで処理されているものとして始まる。
【0027】
402において、接続は、少なくとも所定数のバイトに対して、ソフトウェア検査モードで処理される。例えば、接続は、ハードウェアアクセラレーション検査ユニット110により処理され、接続は、少なくとも閾値数のバイトに到達するまで、更なる処理のためにハードウェアアクセラレーション検査ユニット110からソフトウェア検査ユニット120へ送られる。ハードウェアアクセラレーション検査ユニット110は、その接続テーブルにおいて、接続がソフトウェア検査モードであることを示すことができる。
【0028】
403において、接続が少なくとも所定のバイトに対して、ソフトウェア検査モードで処理されていると同時に、接続がソフトウェア検査ユニット120により潜在的なシグネチャマッチを有するか否かに関して判定がなされる。yesの場合、接続に関するパケット処理は、404においてソフトウェア検査モードで継続する。接続の処理は、405において接続がクリーンであると判断されるまでソフトウェア検査モードで継続する。接続がクリーンである場合、接続の処理は、407においてハードウェアアクセラレーション検査モードに遷移する。接続の処理がクリーンでない場合、ソフトウェア検査モード状態の接続の処理は404において継続される。例えば、シグネチャマッチが検出された場合、ソフトウェア検査モード状態の接続の処理は404において継続される。例えば、悪意のあるパケットがシグネチャマッチを通じて検出されて、接続がブロックされる場合、ソフトウェア検査モード状態の接続の処理は継続される。接続の処理は、接続がクリーンになってやっとハードウェアアクセラレーション検査モードに遷移する。接続がクリーンであり、接続が406において所定数のバイトに対してクリーンである場合、接続の処理は、407においてハードウェアアクセラレーション検査モードに遷移される。例えば、ソフトウェア検査ユニット120は、接続をハードウェアアクセラレーション検査モードに置くようにハードウェアアクセラレーション検査ユニット110に命令する。例えば、ハードウェアアクセラレーション検査ユニット110は、接続が現在、ハードウェアアクセラレーション検査モードにあることを示すために、その接続テーブルを更新する。
【0029】
408において、接続は例えば、接続が終了するまで又は接続がハードウェアアクセラレーション検査ユニット110によって潜在的なシグネチャマッチを有すると判断されるまで、ハードウェアアクセラレーション検査ユニット110によりハードウェアアクセラレーション検査モードで処理される。接続が潜在的なシグネチャマッチを有すると判断される場合、処理は、ソフトウェア検査モードに遷移され、接続が409においてソフトウェア検査モードで処理され、処理は404において継続することができる。次いで、ハードウェアアクセラレーション検査ユニット110は、接続がソフトウェア検査モードであることを示すためにその接続テーブルを更新することができ、そのため任意のパケットが接続のインターフェース101で受け取られた場合に、ハードウェアアクセラレーション検査ユニット110は、処理後のパケットをソフトウェア検査ユニット110に送ることが分かっている。
【0030】
ハードウェアアクセラレーション検査ユニット110の接続テーブルが、接続がハードウェアアクセラレーション検査モードであることを示す場合、ハードウェアアクセラレーション検査ユニットは、接続がクリーンであることをハードウェアアクセラレーション検査ユニット110が判断する場合に、ソフトウェア検査ユニット120へパケットを送信することが分かっていない。接続は、それがポリシールールに基づいて関心のないものであると判断される場合に、クリーンあると判断され得る。それよりむしろ、パケットはインターフェース110を介して送出される。また、パケットの順序がバラバラであるか否か、パケットが不審なバイトパターン、又はそれが悪意のあること又は関心のあることを示す幾つかの他の属性を有するか否かのような、パケットが不審である情報がハードウェアアクセラレーション検査ユニット110により識別される場合、その情報は、ソフトウェア検査ユニット120に送られて、ソフトウェア検査ユニット120により実行されるパケット検査に役立つことができる。他の情報は、処理モードのしるし又は異なるモードへ遷移するための命令のような、ソフトウェア検査ユニット120とハードウェアアクセラレーション検査ユニット110との間で伝達され得る。
【0031】
また、パケットがソフトウェア検査ユニット120により、悪意のあるもの又は関心のあるもと判断される場合、システム100は、接続をブロックして、接続に関して不審なパケット又は任意の他のパケットを送信しないことができる。システム100は、接続に関するパケット又は一組のパケットが悪意のあるもの又は関心のあるもとソフトウェア検査ユニット120が判断する場合に、パケットを廃棄することができる。また、ログファイルが、事象および当該事象について送信された通知に関して更新され得る。
【0032】
本明細書で説明された1つ又は複数のステップ及び機能は、機械可読命令を実行するように動作可能なプロセッサ又は別のタイプの処理回路により実行される機械可読命令として具現化され得る。機械可読命令は、図1に示された1つ又は複数の記憶デバイスを含むことができる持続性記憶媒体に格納され得る。
【0033】
実施形態は例に関連して説明されたが、説明された実施形態に対する様々な変更は、特許請求の範囲に記載された実施形態の範囲から逸脱せずに行われ得る。
【国際調査報告】