[发明专利]信息处理装置以及信息处理方法

说明书

本发明涉及信息处理装置以及方法，其课题在于，实时地进行准确性更高的协议判定。在信息处理装置中，具备：第一解析部，每当接收到数据时，依照预先设定了的第一协议的特征来解析该数据，由此推定通信流所涉及的协议是否是该第一协议；以及第二解析部，不论由第一解析部得到的解析结果如何，每当接收到属于该通信流的数据时，依照预先设定了的第二协议的特征来解析该数据，由此推定该通信流所涉及的协议是否是该第二协议。

技术领域

本发明涉及用于判定协议的技术。

背景技术

以往，提出了一种侵入检测装置，该侵入检测装置具备：数据段组建部，在来自外部网络的信息包是基于TCP的通信的情况下，将信息包中包括的数据段的副本与会话信息关联起来并临时性地保留，如果接收到具有与会话信息相同的最后的数据段的信息包，则组建具有相同的会话信息的数据段；以及不正当访问解析部，解析所接收到的数据段或者组建了的数据段，在包括不正当访问的情况下，丢弃包括最后接收到的数据段的信息包(参照专利文献1)。

另外，提出了一种数据信息包检查方法，该数据信息包检查方法使用所接收到的数据信息包的组头以及内容中包括的信息来对数据信息包进行分类，根据组头信息以及内容这两者来确定处理信息包的流命令，使用流命令来处理信息包(参照专利文献2)。

现有技术文献

专利文献

专利文献1：日本特开2004-179999号公报

专利文献2：日本特开2008-011537号公报

发明内容

发明要解决的技术问题

以往，在通信的分类中，使用基于通信协议的分类，进行基于目的地端口号的识别。但是，在该方法中，对于不利用协议标准的端口号的通信、故意伪装了端口号的通信，无法正确地识别协议。另外，作为其他识别方法，有使用通信初始的数据来识别协议的方法，但在该方法中，关于类似的协议(例如，HTTP(Hypertext Transfer Protocol，超文本传输协议)和SIP(Session Initiation Protocol，会话初始化协议)、FTP(File TransferProtocol，文件传送协议)与POP3(Post Office Protocol version 3，邮局协议版本3)等)，可能产生协议识别的错误。进一步地，除了这样的类似协议以外，有时还对协议标准追加任意的方法、指令来利用，或者修订协议规格而追加新的方法、指令。因此，难以通过初始数据正确地识别协议，在正确地识别的情况下，需要累积全部的接收数据直到能够唯一地识别协议，缺乏实时性。

本公开鉴于上述的问题，以实时地进行准确性更高的协议判定作为课题。

解决技术问题的技术手段

本公开的一个例子涉及一种信息处理装置，其特征在于，具备：流管理单元，识别所获取到的数据所属的通信流；第一解析单元，每当接收到属于所述通信流的数据时，依照预先设定了的第一协议的特征来解析该数据，由此推定该通信流所涉及的协议是否是该第一协议；以及第二解析单元，不论由所述第一解析单元得到的解析结果如何，每当接收到属于所述通信流的数据时，依照预先设定了的第二协议的特征来解析该数据，由此推定该通信流所涉及的协议是否是该第二协议，所述流管理单元在属于所述通信流的数据的解析的结果满足了一个或者多个中止条件中的任一个的情况下，使由所述第一解析单元或者所述第二解析单元实施的、所述通信流所涉及的数据的解析中止。

本公开能够作为信息处理装置、系统、通过计算机来执行的方法或者使计算机执行的程序来把握。另外，本公开也能够将这样的程序作为在计算机等其他装置、设备等可读的记录介质中记录了的程序来把握。在这里，计算机等可读的记录介质是指：能够通过电、磁、光学、机械或者化学作用来累积数据、程序等信息并且从计算机等读取的记录介质。

发明效果