ネットワークセッション再構築
コンピュータアプリケーションと直列にサービスを提供する存在を配置するよりもむしろ、サービスプロバイダをアプリケーションと並行に配置する。これは、アプリケーションとの各セッションをミラーリングするために、サービスプロバイダとの並行セッションを作成するセッションリコンストラクタによって達成される。
【発明の詳細な説明】
【背景技術】
【0001】
発明の背景
本発明は、コンピュータネットワークにおけるセッションの再構築に関する。
【0002】
コンピュータネットワークでは、情報はパケット形式で通常伝送される。情報の流れは、通常、コンピュータアプリケーションに対して為されるリクエストとアプリケーションによる該リクエストへの応答の形式である。パケットが、信頼されていない送信元(例えば、公衆インターネット)から来た場合、それらがコンピュータアプリケーションへの不正なリクエストを含んでいる(comprise又はcontain)危険性がある。そのような不正なリクエストは、所有者の情報へアクセスしようとする未許可の試み、情報を改竄しようとする未許可の試み、又はアプリケーションの通常の動作に干渉しようとする試み(所謂、「DoS攻撃」)を構成しうる。
【0003】
コンピュータ上のアプリケーションは、アプリケーションに向けられたパケットをフィルタリングするコンピュータファイアウォールによって、不正なリクエストから保護されうる。より詳細には、ファイアウォールはパケットを検証し、予め定義されたアクセスルールのセットにそれらが一致するかどうかによって、それらをアプリケーションへと受け渡すかまたはそれらを破棄する。公知のパケットフィルタリングファイアウォールは、使用されているプロトコルを検証するために、1つ以上のリンク層、ネットワーク層及びトランスポート層のパケットヘッダにルールを適用しうる。
【0004】
不正なリクエストからアプリケーションを保護するための別のアプローチには、プロキシファイアウォールの採用がある。プロキシファイアウォールは、公衆ネットワークを介して到達するパケットの宛先として機能し、各パケットから公衆ネットワークを介するパケットの方向付けに使用されたオーバーヘッドを取り除く。このアプローチにより、パケットのネットワークオーバーヘッドを使用するいずれの攻撃も回避される。公知のプロキシファイアウォールはまた、アプリケーションプロトコルを検証するために、ルールを適用しうる。
【0005】
コンピュータアプリケーションに対する不正なリクエストの複雑さは拡大し続けている。その対処は、ファイアウォールに、リクエストを選別するためのますます高度な技術を供給することである。さらに、公衆インターネットを介したトラフィック量、故に、公衆インターネットを介してアクセス可能なコンピュータアプリケーションへのトラフィック量は増加し続けている。これらの両傾向の結果、ファイアウォールはますますボトルネックになりえ、このことは、コンピュータアプリケーションの見かけ上の応答時間を低下させる。さらに、ファイアウォールに関する信頼性の問題が、コンピュータアプリケーションの信頼性に悪影響を与えうる(例えば、ファイアウォールがクラッシュした場合、コンピュータアプリケーションは利用できなくなるかもしれない)。
【発明の開示】
【発明が解決しようとする課題】
【0006】
一態様では、本発明は、コンピュータアプリケーションを不正なリクエストから守るための公知のアプローチの欠点を克服することを試みている。より一般的には、本発明は、ボトルネックを生じることなく、そして、コンピュータアプリケーションの信頼性を低下させることなく、コンピュータアプリケーションに関するサービスを提供することを可能にすることを試みている。
【課題を解決するための手段】
【0007】
発明の要旨
サービスを提供する存在(service providing entity)をコンピュータアプリケーションと直列に配置するよりもむしろ、サービスプロバイダ(service provider)をアプリケーションと並列に配置する。これは、アプリケーションとの各セッションをミラーリングするため、サービスプロバイダとの並行セッションを作成するセッションリコンストラクタによって、達成される。
【0008】
例えば、サービスプロバイダは、不正なリクエスト用のスクリーン(screen)でありうる。このような場合、リクエストが不正なものであるとスクリーンが決定したときには、それは、セッション終了コマンドを送信するなどの適切な処置をとりうる。(並行セッションにおいて作成された)このコマンドは、その後、セッションリコンストラクタによってオリジナルセッションに導入され、両エンドポイントに送信される。別の例として、サービスプロバイダは、規制遵守又は法執行のために、電子メールメッセージ又はインスタントメッセージなどのメッセージの内容を保持する、記録を保持する物(record keeper)でありうるかもしれない。さらなる例として、サービスプロバイダは、運用上の問題を識別し修正するためにネットワーク通信をモニタリングし再構築するデバッガでありうるかもしれない。
【0009】
本発明によれば、セッション指向ネットワークにおいて使用するための方法が提供され、該方法は、所定のエンドポイントを有する各セッションについて、該所定のエンドポイントに向けられた該各セッションのすべてのペイロードデータをミラーリングするペイロードデータを有する並行セッションを作成することを含み、該各セッションが、該所定のエンドポイントと別のエンドポイントとの間で交換されるパケットを含み、該パケットが、コントロール及びペイロードデータの一方又は両方を有する。セッション指向ネットワークに接続されたプロセッサに該方法を行わせるためのコンピュータ実行可能な命令を含むコンピュータ読取可能な媒体も提供される。
【0010】
本発明の別の態様によれば、セッションリコンストラクタが提供され、該セッションリコンストラクタは、セッション指向ネットワークに接続するためのインターフェースを含み、所定のエンドポイントに接続するためのインターフェースを含み、該所定のエンドポイントに向けられた各セッションのすべてのペイロードデータをミラーリングするペイロードデータを有する並行セッションを作成するためのプロセッサを含み、該所定のエンドポイントを有する該各セッションについて、該各セッションが、該所定のエンドポイントと別のエンドポイントとの間で交換されるパケットを含み、該パケットが、コントロール及びペイロードデータの一方又は両方を有する。
【0011】
他の特徴及び利点は、図面とともに、以下の説明を参照することによって、明らかになるだろう。
【発明を実施するための最良の形態】
【0012】
詳細な説明
図1を参照して、本発明に従い構築されたコンピュータネットワーク10は、ネットワーク12(例えば、公衆インターネット又は民間企業のネットワーク)を含む。多数のエンドポイント(例えば、パーソナルコンピュータ14及び他のプロセッサ16)がネットワーク12に接続される。プロセッサ20上で実行されるコンピュータアプリケーション22であるエンドポイント26は、通信路24を介してネットワークに接続される。セッションリコンストラクタ30もまた、通信路24に接続され、サービスプロバイダ32は、セッションリコンストラクタに接続される。セッションリコンストラクタは、例えば、ディスク、読み出し専用メモリ、又はリモートソースからダウンロードされたファイルでありうるコンピュータ読取可能な媒体34からのソフトウェアを用いて動作するように構成されうる。
【0013】
図2に見られるように、セッションリコンストラクタは、プロセッサ36(これは、通信路24及びサービスプロバイダの両方に接続される)とメモリ38とを含む。明らかになる理由により、メモリ38は、コンピュータアプリケーション22とのセッションに関する特定の情報を持つテーブル40を保持している。
【0014】
通常どおり、コンピュータネットワーク10は、パケット指向ネットワークである。ネットワーク12を横断して伝送されるパケットは、上位のリンク層、中位のネットワーク層、より下位のトランスポート層、及び下位のアプリケーション層を含む。各層において、パケットのようなエンティティは、下位の層によって提供されるエンベロープ内にネストされる。従って、リンク層は、ヘッダと、ネットワーク層パケットを含むデータとを有するパケットであり、ネットワーク層パケットは、ヘッダと、トランスポート層パケットを含むデータとを有する。リンク層のヘッダは、パケットが従うプロトコルがインターネットプロトコル(IP)であることをほぼ常に示している(より旧式のプロトコルは、現在はほとんど廃れており、いずれにしても公衆インターネットでは使用されていない)。パケットがIPパケットである場合、ネットワーク層は、IPデータグラムとして知られている。トランスポート層のヘッダは、伝送プロトコルを示し、IPの伝送制御プロトコル(TCP)は、ウェブブラウジング、電子メール、及び、ウェブサービスに使用されているので、明らかに最も一般的な伝送プロトコルである。(当業者により理解されるように、ウェブサービスは機械間の対話であって、それにより、あるアプリケーションが別のアプリケーションのリクエストを作成しうる)。他に、ずっとより使用頻度の低い伝送プロトコルとして、ユーザデータグラムプロトコル(UDP)及びストリーム制御伝送プロトコル(SCTP)が挙げられる。
【0015】
トランスポート層パケットのデータは、アプリケーション層を含む(これは通常、複数のトランスポート層パケットにわたって分散されている)。トランスポート層におけるポート番号、及び/又はコンテキストは、アプリケーション層プロトコルを示している。伝送プロトコルがTCPである場合、アプリケーション層プロトコルは様々なアプリケーション層プロトコルのいずれであってもよいが、最も重要なのは、ハイパーテキスト転送プロトコル(HTTP)、セキュアHTTP(HTTPS)、ファイル転送プロトコル(FTP)、及び簡易メール転送プロトコル(SMTP)である。
【0016】
伝送プロトコルがTCPである場合、伝送されるパケットは、インターネットデータグラムとして送信される。インターネットプロトコルヘッダは、送信元及び宛先のIPアドレスを含む、いくつかの情報フィールドを持つ。TCPヘッダは、図3に図解したフォーマットに従う。従って、各パケット50は、送信元ポートフィールド52、宛先ポートフィールド54、シーケンス番号フィールド56、確認応答番号フィールド58、同期(SYN)フラグ60及びデータ領域62、ならびに、その他の情報用の64で通常示されるフィールドを含む。
【0017】
あるエンドポイント(例えば、コンピュータ14)が、別のエンドポイント(例えば、プロセッサ20上で実行されるコンピュータアプリケーション22)との通信セッションを確立したいときにはいつでも、イニシャルパケットがコンピュータ14から送信される。パケットの送信元ポートフィールド52は、セッションに使用されるコンピュータ14上のポートを特定し、宛先ポートフィールドは、パケットが方向付けられうるアプリケーション20の既知のポートを特定する。セッションにおけるコンピュータ14からの最初のパケットについて、SYNフラグ60がセットされ、シーケンス番号フィールド56は、イニシャルシーケンス番号を保持する。コンピュータ14が使用されたい確認応答番号は、確認応答番号フィールド58に記憶される。
【0018】
アプリケーション22がコンピュータ14からこの最初のパケットを受信したとき、それは、イニシャルシーケンス番号を記憶し、応答パケットを確立しうる。応答パケット(アプリケーション22からの最初のパケットである)は、SYNフラグセット、それ自身のフィールド56中のイニシャルシーケンス番号及びフィールド58中の確認応答番号を有する。この応答パケットのデータは、コンピュータ14からの最初のパケット中の確認応答番号を、この最初のパケットの受信の確認応答を提供するために含む。
【0019】
コンピュータ14は、応答パケットを受信すると、アプリケーション22のイニシャルシーケンス番号を記憶し、次いで、コンピュータ14がその最初のパケット中に供給したイニシャルシーケンス番号のインクリメントであるシーケンス番号を有するパケットを送り返す。このパケットのデータ部分は、アプリケーション22からの最初のパケット中の確認応答番号を、アプリケーション22からの最初のパケットの受信の確認応答として含む。
【0020】
セッションがここで確立される。毎回、コンピュータ14は、アプリケーション22にパケットを送信し、パケットは、セッションにおいてコンピュータ14により送信された次に前のパケットとともに送信されるシーケンス番号よりもインクリメンタルに大きいシーケンス番号を有する。アプリケーション22は常に最後のシーケンス番号を記憶し、これを受信した現在のパケットのシーケンス番号と比較する。この新しいシーケンス番号が最後のシーケンス番号のインクリメントである場合、新しいシーケンス番号は、前のシーケンス番号の代わりに、単に記憶される。しかし、新しいシーケンス番号が前のシーケンス番号のインクリメントではない場合、これは、順番が狂ってパケットが受信されていることを示し、シーケンス番号がそれらを適切に並び替えるのに使用される。同様に、毎回、アプリケーション22は、パケットを送信し、パケットは、アプリケーション22によって送信された、次の前のパケットとともに送信されたシーケンス番号よりもインクリメンタルに大きいシーケンス番号を有し、コンピュータ14は常に最後のシーケンス番号を記憶し、これを、受信した現在のパケットのシーケンス番号と比較する。
【0021】
セッション中のエンドポイントによって送信された任意の所定のパケットについて、エンドポイントが予想された時間内に応答(パケット内に埋め込まれた予想される確認応答番号有するパケットを受信することによって決定される)を受信しない場合、エンドポイントはパケットを再送信する。これは、パケットが最終的にエンドポイントに異なる順番で到着しうる1つの経路であることは明らかである。
【0022】
コンピュータアプリケーション22へのTCPパケットは、通信路24に沿って通過する。セッションリコンストラクタ30はこの通信路に接続されているので、アプリケーション22へのこれらのTCPパケットもまた、セッションリコンストラクタ30により受信される。同様に、アプリケーション22からのTCPパケットは、ネットワーク12へ通過するだけではなく、セッションリコンストラクタへも通過する。
【0023】
セッションリコンストラクタは、アプリケーション22へと向けられたTCPパケットに基づき、サービスプロバイダ32を用いてセッションを構築する。従って、アプリケーション22とのオリジナルセッションのパケットからの特定の情報は、リコンストラクタ30とサービスプロバイダ32との間の並行であるが異なるセッションの部分を形成する新たなTCPパケットへとコピーされる。より詳細には、例えば、新たなセッションを確立するために、プロセッサ16が最初のTCPパケットをコンピュータアプリケーション22へと方向付けた場合、セッションリコンストラクタ30はこのパケットを受信する。パケットのSYNフラグがセットされている事実から、リコンストラクタ30は、これが新たなセッションを確立する試みであることを認識する。セッションリコンストラクタは、メモリ38のセッションテーブル40に新しい列(例えば、列II)を作成しうる。リコンストラクタは、送信元IPアドレスを「リモートIPアドレス」行に、送信元ポート番号を「リモートポート番号」行に、パケットのイニシャルシーケンス番号をこの列の「リモートシーケンス番号」行に、宛先ポートを「コンピュータアプリケーションポート番号」行に、格納しうる。
【0024】
次に、リコンストラクタは、並行TCPパケットを構築し、データ62、及び、プロセッサ16からのオリジナルパケット由来のその他の情報64を並行パケットにコピーしうる。並行パケットのSYNフラグ60がセットされ、リコンストラクタが、フィールド56にそれ自身のイニシャルシーケンス番号を、フィールド58に確認応答番号を選択する。宛先ポートは、サービスプロバイダ32についての既知の宛先ポートである。この宛先ポートを、セッションリコンストラクタによって使用される送信元ポートとともに、サービスプロバイダ32からのパケットと、それが関連するオリジナルセッションとのマッチングを容易にするために、テーブル40の列IIに格納してもよい(その理由は説明する)。並行セッションの確立を継続するために、TCPセッションが確立される標準的な様式に従い、サービスプロバイダ32は、応答パケットをセッションリコンストラクタに送信する。
【0025】
新たなセッションの確立を継続するために、コンピュータアプリケーション22が、プロセッサ16からのイニシャルパケットに応答するためTCPパケットを送信するとき、セッションリコンストラクタは、応答パケットを受信し、列IIに、アプリケーションによって選択されたイニシャルシーケンス番号を格納しうる。しかし、セッションリコンストラクタは、いずれの並行パケットもサービスプロバイダ32に送信しない。
【0026】
同一セッションに関連するプロセッサ16からの各引き続くパケットについて、リコンストラクタは、送信元アドレスフィールドにマッチするリモートIPアドレス及び当該引き続くパケットの送信元ポートフィールド52にマッチするリモートポート番号を有する列についてセッションテーブル40をサーチすることによって、当該パケットが関連するセッションを決定する。マッチが見つかったら、当該引き続くパケットのフィールド56中のシーケンス番号が、その列中の予め存在するシーケンス番号のインクリメントである場合、リコンストラクタは、予め存在するシーケンス番号を、当該引き続くパケットのフィールド56からのシーケンス番号と置き換える。リコンストラクタはまた、当該引き続くパケットの送信元ポート、データ、及びその他の情報のコピーを有する並行パケットを作成し、この並行パケットをサービスプロバイダ32に方向付ける。パケットのシーケンス番号が、列に格納された予め存在するシーケンス番号のインクリメントではない場合、セッションリコンストラクタは、サービスプロバイダに送信された前のパケットのシーケンス番号と並行関係を有するシーケンス番号を持つ並行パケットを作成する。このようにして、サービスプロバイダは、順番が狂ったパケットを再び順序付けてもよい。
【0027】
セッションに関連するコンピュータアプリケーション22からの引き続くパケットは、当該セッションについてアプリケーションにより使用されている最新のシーケンス番号を有するテーブル40の列IIをアップデートするのに使用される。しかし、アプリケーションからのパケットが、セッションを変更するコントロール情報を含んでいない場合、サービスプロバイダに対して並行パケットは全く作成されない。より詳細には、セッションを終了するためのコントロール情報を有するパケットをアプリケーション22が送信する場合、リコンストラクタ30は、サービスプロバイダとの並行セッションを終了するために、並行パケットを送信する。
【0028】
サービスプロバイダは様々な目的で使用されうる。例えば、サービスプロバイダは、アプリケーション22への不正なリクエストをスクリーニングするためのルールを含みうる。適切なルールセットは、2003年10月1日に出願された国際出願番号PCT/CA2003/001507(その内容は、本明細書に参照によって援用される)に記載されている様式で、作成されうる。そのようなルールセットは、一旦作成されたら、2003年9月12日に出願された国際出願番号PCT/CA2003/001333(その内容は、本明細書に参照によって援用される)に記載されている様式で、不正なリクエストをスクリーニングしうる。
【0029】
サービスプロバイダが、(セッションの一連のTCPパケット中に示された)リクエストが不正なものであると決定した場合、それは警告を発しうる。代替的に、又は追加的に、それは、セッションを終了させることを命令するコントロール情報を含むパケットを、リコンストラクタ30に送信しうる。このパケットは、パケットが関連するオリジナルセッションについての列を決定するために、セッションリコンストラクタがテーブル40にアクセスすることを可能とする送信元及び宛先ポートを含む。次いで、リコンストラクタは、カレントのリモートシーケンス番号をこの列から読み出し、このシーケンス番号とセッションの終了を要求するコントロール情報とを含む、プロセッサ16に向けたTCPパケットを作成する。同様にして、リコンストラクタは、カレントのコンピュータアプリケーションシーケンス番号をこの列から読み出し、このシーケンス番号とセッションの終了を要求するコントロール情報とを含む、アプリケーション22に向けたTCPパケットを作成する。両方のパケットが、通信路24に投入される。このようにして、リコンストラクタは、プロセッサ16とアプリケーション22との間の不正なリクエスト含んでいたセッションを取り去ることができる。
【0030】
上述したことから、セッションリコンストラクタ及びサービスプロバイダが、コンピュータアプリケーションと並行に動作することは明らかである。その結果、リコンストラクタ及びサービスプロバイダは、アプリケーション22の応答性に影響を与えない(すなわち、これらは、アプリケーションを妨げず、またその信頼性も低下させない)。
【0031】
コンピュータアプリケーション22は、クライアントからのブラウザベースのリクエストを満たすためのサーバとして動作するように、プロセッサ20を適合できるだろう。コンピュータ14は、例えば、そのようなブラウザベースのリクエストを作成するように適合されうる。あるいは、アプリケーション22は、ウェブサービスを提供するようにプロセッサ20を適合しえ、プロセッサ16は、例えば、そのようなウェブサービスを要求するように適合されうる。
【0032】
他の実施形態では、サービスプロバイダ32は、記録保持又は証拠収集の機能に適合されうる。例えば、サービスプロバイダ32は、電子メールセッション又はインスタンス(instance)メッセージングセッションなどの特定のタイプのセッションを認識しうる。そのような状況で、サービスプロバイダは、電子メール、又はインスタンスメッセージ、マネージメントサービス(例えば、多数の電子メールのロギング、又は、送信者の記憶されたリスト中のエントリとマッチする送信者を有する電子メールなどのイベントのスクリーニング)を提供するために使用されうる。エントリとマッチする電子メールが見つかったら、サービスプロバイダは、警告を発するなどの適切なアクションをとるように適合されうる。サービスプロバイダはまた、デバッガ(動作上の問題を識別し修正するために、ネットワーク通信をモニタリングし再構築する)でもありうるだろう。
【0033】
とりわけ、サービスプロバイダ32について予定されうるサービスの多くについて、サービスプロバイダは、それがオリジナルセッションよりむしろ再構築されたセッションのハンドリングであるという認識は必要としない。例えば、これは、モニタリング(例えば、記録保持、証拠収集、又はデバッギング)サービスなどの、オリジナルセッションに情報を投入する必要がない任意のサービスに当てはまる。そのような場合、任意の予め存在する標準サービスプロバイダが、セッションリコンストラクタ30とともに、サービスプロバイダ32に変更を加えることなく、使用されうる。
【0034】
他の変更は当業者に明らかであり、従って、本発明は、特許請求の範囲に定義される。
【図面の簡単な説明】
【0035】
本発明の実施例の態様を説明する図面において、
【図1】図1は、本発明に従い構成されたネットワークの概略図であり、
【図2】図2は、図1のセッションリコンストラクタの図式的な詳細図であり、
【図3】図3は、TCPセグメントの概略図である。
【背景技術】
【0001】
発明の背景
本発明は、コンピュータネットワークにおけるセッションの再構築に関する。
【0002】
コンピュータネットワークでは、情報はパケット形式で通常伝送される。情報の流れは、通常、コンピュータアプリケーションに対して為されるリクエストとアプリケーションによる該リクエストへの応答の形式である。パケットが、信頼されていない送信元(例えば、公衆インターネット)から来た場合、それらがコンピュータアプリケーションへの不正なリクエストを含んでいる(comprise又はcontain)危険性がある。そのような不正なリクエストは、所有者の情報へアクセスしようとする未許可の試み、情報を改竄しようとする未許可の試み、又はアプリケーションの通常の動作に干渉しようとする試み(所謂、「DoS攻撃」)を構成しうる。
【0003】
コンピュータ上のアプリケーションは、アプリケーションに向けられたパケットをフィルタリングするコンピュータファイアウォールによって、不正なリクエストから保護されうる。より詳細には、ファイアウォールはパケットを検証し、予め定義されたアクセスルールのセットにそれらが一致するかどうかによって、それらをアプリケーションへと受け渡すかまたはそれらを破棄する。公知のパケットフィルタリングファイアウォールは、使用されているプロトコルを検証するために、1つ以上のリンク層、ネットワーク層及びトランスポート層のパケットヘッダにルールを適用しうる。
【0004】
不正なリクエストからアプリケーションを保護するための別のアプローチには、プロキシファイアウォールの採用がある。プロキシファイアウォールは、公衆ネットワークを介して到達するパケットの宛先として機能し、各パケットから公衆ネットワークを介するパケットの方向付けに使用されたオーバーヘッドを取り除く。このアプローチにより、パケットのネットワークオーバーヘッドを使用するいずれの攻撃も回避される。公知のプロキシファイアウォールはまた、アプリケーションプロトコルを検証するために、ルールを適用しうる。
【0005】
コンピュータアプリケーションに対する不正なリクエストの複雑さは拡大し続けている。その対処は、ファイアウォールに、リクエストを選別するためのますます高度な技術を供給することである。さらに、公衆インターネットを介したトラフィック量、故に、公衆インターネットを介してアクセス可能なコンピュータアプリケーションへのトラフィック量は増加し続けている。これらの両傾向の結果、ファイアウォールはますますボトルネックになりえ、このことは、コンピュータアプリケーションの見かけ上の応答時間を低下させる。さらに、ファイアウォールに関する信頼性の問題が、コンピュータアプリケーションの信頼性に悪影響を与えうる(例えば、ファイアウォールがクラッシュした場合、コンピュータアプリケーションは利用できなくなるかもしれない)。
【発明の開示】
【発明が解決しようとする課題】
【0006】
一態様では、本発明は、コンピュータアプリケーションを不正なリクエストから守るための公知のアプローチの欠点を克服することを試みている。より一般的には、本発明は、ボトルネックを生じることなく、そして、コンピュータアプリケーションの信頼性を低下させることなく、コンピュータアプリケーションに関するサービスを提供することを可能にすることを試みている。
【課題を解決するための手段】
【0007】
発明の要旨
サービスを提供する存在(service providing entity)をコンピュータアプリケーションと直列に配置するよりもむしろ、サービスプロバイダ(service provider)をアプリケーションと並列に配置する。これは、アプリケーションとの各セッションをミラーリングするため、サービスプロバイダとの並行セッションを作成するセッションリコンストラクタによって、達成される。
【0008】
例えば、サービスプロバイダは、不正なリクエスト用のスクリーン(screen)でありうる。このような場合、リクエストが不正なものであるとスクリーンが決定したときには、それは、セッション終了コマンドを送信するなどの適切な処置をとりうる。(並行セッションにおいて作成された)このコマンドは、その後、セッションリコンストラクタによってオリジナルセッションに導入され、両エンドポイントに送信される。別の例として、サービスプロバイダは、規制遵守又は法執行のために、電子メールメッセージ又はインスタントメッセージなどのメッセージの内容を保持する、記録を保持する物(record keeper)でありうるかもしれない。さらなる例として、サービスプロバイダは、運用上の問題を識別し修正するためにネットワーク通信をモニタリングし再構築するデバッガでありうるかもしれない。
【0009】
本発明によれば、セッション指向ネットワークにおいて使用するための方法が提供され、該方法は、所定のエンドポイントを有する各セッションについて、該所定のエンドポイントに向けられた該各セッションのすべてのペイロードデータをミラーリングするペイロードデータを有する並行セッションを作成することを含み、該各セッションが、該所定のエンドポイントと別のエンドポイントとの間で交換されるパケットを含み、該パケットが、コントロール及びペイロードデータの一方又は両方を有する。セッション指向ネットワークに接続されたプロセッサに該方法を行わせるためのコンピュータ実行可能な命令を含むコンピュータ読取可能な媒体も提供される。
【0010】
本発明の別の態様によれば、セッションリコンストラクタが提供され、該セッションリコンストラクタは、セッション指向ネットワークに接続するためのインターフェースを含み、所定のエンドポイントに接続するためのインターフェースを含み、該所定のエンドポイントに向けられた各セッションのすべてのペイロードデータをミラーリングするペイロードデータを有する並行セッションを作成するためのプロセッサを含み、該所定のエンドポイントを有する該各セッションについて、該各セッションが、該所定のエンドポイントと別のエンドポイントとの間で交換されるパケットを含み、該パケットが、コントロール及びペイロードデータの一方又は両方を有する。
【0011】
他の特徴及び利点は、図面とともに、以下の説明を参照することによって、明らかになるだろう。
【発明を実施するための最良の形態】
【0012】
詳細な説明
図1を参照して、本発明に従い構築されたコンピュータネットワーク10は、ネットワーク12(例えば、公衆インターネット又は民間企業のネットワーク)を含む。多数のエンドポイント(例えば、パーソナルコンピュータ14及び他のプロセッサ16)がネットワーク12に接続される。プロセッサ20上で実行されるコンピュータアプリケーション22であるエンドポイント26は、通信路24を介してネットワークに接続される。セッションリコンストラクタ30もまた、通信路24に接続され、サービスプロバイダ32は、セッションリコンストラクタに接続される。セッションリコンストラクタは、例えば、ディスク、読み出し専用メモリ、又はリモートソースからダウンロードされたファイルでありうるコンピュータ読取可能な媒体34からのソフトウェアを用いて動作するように構成されうる。
【0013】
図2に見られるように、セッションリコンストラクタは、プロセッサ36(これは、通信路24及びサービスプロバイダの両方に接続される)とメモリ38とを含む。明らかになる理由により、メモリ38は、コンピュータアプリケーション22とのセッションに関する特定の情報を持つテーブル40を保持している。
【0014】
通常どおり、コンピュータネットワーク10は、パケット指向ネットワークである。ネットワーク12を横断して伝送されるパケットは、上位のリンク層、中位のネットワーク層、より下位のトランスポート層、及び下位のアプリケーション層を含む。各層において、パケットのようなエンティティは、下位の層によって提供されるエンベロープ内にネストされる。従って、リンク層は、ヘッダと、ネットワーク層パケットを含むデータとを有するパケットであり、ネットワーク層パケットは、ヘッダと、トランスポート層パケットを含むデータとを有する。リンク層のヘッダは、パケットが従うプロトコルがインターネットプロトコル(IP)であることをほぼ常に示している(より旧式のプロトコルは、現在はほとんど廃れており、いずれにしても公衆インターネットでは使用されていない)。パケットがIPパケットである場合、ネットワーク層は、IPデータグラムとして知られている。トランスポート層のヘッダは、伝送プロトコルを示し、IPの伝送制御プロトコル(TCP)は、ウェブブラウジング、電子メール、及び、ウェブサービスに使用されているので、明らかに最も一般的な伝送プロトコルである。(当業者により理解されるように、ウェブサービスは機械間の対話であって、それにより、あるアプリケーションが別のアプリケーションのリクエストを作成しうる)。他に、ずっとより使用頻度の低い伝送プロトコルとして、ユーザデータグラムプロトコル(UDP)及びストリーム制御伝送プロトコル(SCTP)が挙げられる。
【0015】
トランスポート層パケットのデータは、アプリケーション層を含む(これは通常、複数のトランスポート層パケットにわたって分散されている)。トランスポート層におけるポート番号、及び/又はコンテキストは、アプリケーション層プロトコルを示している。伝送プロトコルがTCPである場合、アプリケーション層プロトコルは様々なアプリケーション層プロトコルのいずれであってもよいが、最も重要なのは、ハイパーテキスト転送プロトコル(HTTP)、セキュアHTTP(HTTPS)、ファイル転送プロトコル(FTP)、及び簡易メール転送プロトコル(SMTP)である。
【0016】
伝送プロトコルがTCPである場合、伝送されるパケットは、インターネットデータグラムとして送信される。インターネットプロトコルヘッダは、送信元及び宛先のIPアドレスを含む、いくつかの情報フィールドを持つ。TCPヘッダは、図3に図解したフォーマットに従う。従って、各パケット50は、送信元ポートフィールド52、宛先ポートフィールド54、シーケンス番号フィールド56、確認応答番号フィールド58、同期(SYN)フラグ60及びデータ領域62、ならびに、その他の情報用の64で通常示されるフィールドを含む。
【0017】
あるエンドポイント(例えば、コンピュータ14)が、別のエンドポイント(例えば、プロセッサ20上で実行されるコンピュータアプリケーション22)との通信セッションを確立したいときにはいつでも、イニシャルパケットがコンピュータ14から送信される。パケットの送信元ポートフィールド52は、セッションに使用されるコンピュータ14上のポートを特定し、宛先ポートフィールドは、パケットが方向付けられうるアプリケーション20の既知のポートを特定する。セッションにおけるコンピュータ14からの最初のパケットについて、SYNフラグ60がセットされ、シーケンス番号フィールド56は、イニシャルシーケンス番号を保持する。コンピュータ14が使用されたい確認応答番号は、確認応答番号フィールド58に記憶される。
【0018】
アプリケーション22がコンピュータ14からこの最初のパケットを受信したとき、それは、イニシャルシーケンス番号を記憶し、応答パケットを確立しうる。応答パケット(アプリケーション22からの最初のパケットである)は、SYNフラグセット、それ自身のフィールド56中のイニシャルシーケンス番号及びフィールド58中の確認応答番号を有する。この応答パケットのデータは、コンピュータ14からの最初のパケット中の確認応答番号を、この最初のパケットの受信の確認応答を提供するために含む。
【0019】
コンピュータ14は、応答パケットを受信すると、アプリケーション22のイニシャルシーケンス番号を記憶し、次いで、コンピュータ14がその最初のパケット中に供給したイニシャルシーケンス番号のインクリメントであるシーケンス番号を有するパケットを送り返す。このパケットのデータ部分は、アプリケーション22からの最初のパケット中の確認応答番号を、アプリケーション22からの最初のパケットの受信の確認応答として含む。
【0020】
セッションがここで確立される。毎回、コンピュータ14は、アプリケーション22にパケットを送信し、パケットは、セッションにおいてコンピュータ14により送信された次に前のパケットとともに送信されるシーケンス番号よりもインクリメンタルに大きいシーケンス番号を有する。アプリケーション22は常に最後のシーケンス番号を記憶し、これを受信した現在のパケットのシーケンス番号と比較する。この新しいシーケンス番号が最後のシーケンス番号のインクリメントである場合、新しいシーケンス番号は、前のシーケンス番号の代わりに、単に記憶される。しかし、新しいシーケンス番号が前のシーケンス番号のインクリメントではない場合、これは、順番が狂ってパケットが受信されていることを示し、シーケンス番号がそれらを適切に並び替えるのに使用される。同様に、毎回、アプリケーション22は、パケットを送信し、パケットは、アプリケーション22によって送信された、次の前のパケットとともに送信されたシーケンス番号よりもインクリメンタルに大きいシーケンス番号を有し、コンピュータ14は常に最後のシーケンス番号を記憶し、これを、受信した現在のパケットのシーケンス番号と比較する。
【0021】
セッション中のエンドポイントによって送信された任意の所定のパケットについて、エンドポイントが予想された時間内に応答(パケット内に埋め込まれた予想される確認応答番号有するパケットを受信することによって決定される)を受信しない場合、エンドポイントはパケットを再送信する。これは、パケットが最終的にエンドポイントに異なる順番で到着しうる1つの経路であることは明らかである。
【0022】
コンピュータアプリケーション22へのTCPパケットは、通信路24に沿って通過する。セッションリコンストラクタ30はこの通信路に接続されているので、アプリケーション22へのこれらのTCPパケットもまた、セッションリコンストラクタ30により受信される。同様に、アプリケーション22からのTCPパケットは、ネットワーク12へ通過するだけではなく、セッションリコンストラクタへも通過する。
【0023】
セッションリコンストラクタは、アプリケーション22へと向けられたTCPパケットに基づき、サービスプロバイダ32を用いてセッションを構築する。従って、アプリケーション22とのオリジナルセッションのパケットからの特定の情報は、リコンストラクタ30とサービスプロバイダ32との間の並行であるが異なるセッションの部分を形成する新たなTCPパケットへとコピーされる。より詳細には、例えば、新たなセッションを確立するために、プロセッサ16が最初のTCPパケットをコンピュータアプリケーション22へと方向付けた場合、セッションリコンストラクタ30はこのパケットを受信する。パケットのSYNフラグがセットされている事実から、リコンストラクタ30は、これが新たなセッションを確立する試みであることを認識する。セッションリコンストラクタは、メモリ38のセッションテーブル40に新しい列(例えば、列II)を作成しうる。リコンストラクタは、送信元IPアドレスを「リモートIPアドレス」行に、送信元ポート番号を「リモートポート番号」行に、パケットのイニシャルシーケンス番号をこの列の「リモートシーケンス番号」行に、宛先ポートを「コンピュータアプリケーションポート番号」行に、格納しうる。
【0024】
次に、リコンストラクタは、並行TCPパケットを構築し、データ62、及び、プロセッサ16からのオリジナルパケット由来のその他の情報64を並行パケットにコピーしうる。並行パケットのSYNフラグ60がセットされ、リコンストラクタが、フィールド56にそれ自身のイニシャルシーケンス番号を、フィールド58に確認応答番号を選択する。宛先ポートは、サービスプロバイダ32についての既知の宛先ポートである。この宛先ポートを、セッションリコンストラクタによって使用される送信元ポートとともに、サービスプロバイダ32からのパケットと、それが関連するオリジナルセッションとのマッチングを容易にするために、テーブル40の列IIに格納してもよい(その理由は説明する)。並行セッションの確立を継続するために、TCPセッションが確立される標準的な様式に従い、サービスプロバイダ32は、応答パケットをセッションリコンストラクタに送信する。
【0025】
新たなセッションの確立を継続するために、コンピュータアプリケーション22が、プロセッサ16からのイニシャルパケットに応答するためTCPパケットを送信するとき、セッションリコンストラクタは、応答パケットを受信し、列IIに、アプリケーションによって選択されたイニシャルシーケンス番号を格納しうる。しかし、セッションリコンストラクタは、いずれの並行パケットもサービスプロバイダ32に送信しない。
【0026】
同一セッションに関連するプロセッサ16からの各引き続くパケットについて、リコンストラクタは、送信元アドレスフィールドにマッチするリモートIPアドレス及び当該引き続くパケットの送信元ポートフィールド52にマッチするリモートポート番号を有する列についてセッションテーブル40をサーチすることによって、当該パケットが関連するセッションを決定する。マッチが見つかったら、当該引き続くパケットのフィールド56中のシーケンス番号が、その列中の予め存在するシーケンス番号のインクリメントである場合、リコンストラクタは、予め存在するシーケンス番号を、当該引き続くパケットのフィールド56からのシーケンス番号と置き換える。リコンストラクタはまた、当該引き続くパケットの送信元ポート、データ、及びその他の情報のコピーを有する並行パケットを作成し、この並行パケットをサービスプロバイダ32に方向付ける。パケットのシーケンス番号が、列に格納された予め存在するシーケンス番号のインクリメントではない場合、セッションリコンストラクタは、サービスプロバイダに送信された前のパケットのシーケンス番号と並行関係を有するシーケンス番号を持つ並行パケットを作成する。このようにして、サービスプロバイダは、順番が狂ったパケットを再び順序付けてもよい。
【0027】
セッションに関連するコンピュータアプリケーション22からの引き続くパケットは、当該セッションについてアプリケーションにより使用されている最新のシーケンス番号を有するテーブル40の列IIをアップデートするのに使用される。しかし、アプリケーションからのパケットが、セッションを変更するコントロール情報を含んでいない場合、サービスプロバイダに対して並行パケットは全く作成されない。より詳細には、セッションを終了するためのコントロール情報を有するパケットをアプリケーション22が送信する場合、リコンストラクタ30は、サービスプロバイダとの並行セッションを終了するために、並行パケットを送信する。
【0028】
サービスプロバイダは様々な目的で使用されうる。例えば、サービスプロバイダは、アプリケーション22への不正なリクエストをスクリーニングするためのルールを含みうる。適切なルールセットは、2003年10月1日に出願された国際出願番号PCT/CA2003/001507(その内容は、本明細書に参照によって援用される)に記載されている様式で、作成されうる。そのようなルールセットは、一旦作成されたら、2003年9月12日に出願された国際出願番号PCT/CA2003/001333(その内容は、本明細書に参照によって援用される)に記載されている様式で、不正なリクエストをスクリーニングしうる。
【0029】
サービスプロバイダが、(セッションの一連のTCPパケット中に示された)リクエストが不正なものであると決定した場合、それは警告を発しうる。代替的に、又は追加的に、それは、セッションを終了させることを命令するコントロール情報を含むパケットを、リコンストラクタ30に送信しうる。このパケットは、パケットが関連するオリジナルセッションについての列を決定するために、セッションリコンストラクタがテーブル40にアクセスすることを可能とする送信元及び宛先ポートを含む。次いで、リコンストラクタは、カレントのリモートシーケンス番号をこの列から読み出し、このシーケンス番号とセッションの終了を要求するコントロール情報とを含む、プロセッサ16に向けたTCPパケットを作成する。同様にして、リコンストラクタは、カレントのコンピュータアプリケーションシーケンス番号をこの列から読み出し、このシーケンス番号とセッションの終了を要求するコントロール情報とを含む、アプリケーション22に向けたTCPパケットを作成する。両方のパケットが、通信路24に投入される。このようにして、リコンストラクタは、プロセッサ16とアプリケーション22との間の不正なリクエスト含んでいたセッションを取り去ることができる。
【0030】
上述したことから、セッションリコンストラクタ及びサービスプロバイダが、コンピュータアプリケーションと並行に動作することは明らかである。その結果、リコンストラクタ及びサービスプロバイダは、アプリケーション22の応答性に影響を与えない(すなわち、これらは、アプリケーションを妨げず、またその信頼性も低下させない)。
【0031】
コンピュータアプリケーション22は、クライアントからのブラウザベースのリクエストを満たすためのサーバとして動作するように、プロセッサ20を適合できるだろう。コンピュータ14は、例えば、そのようなブラウザベースのリクエストを作成するように適合されうる。あるいは、アプリケーション22は、ウェブサービスを提供するようにプロセッサ20を適合しえ、プロセッサ16は、例えば、そのようなウェブサービスを要求するように適合されうる。
【0032】
他の実施形態では、サービスプロバイダ32は、記録保持又は証拠収集の機能に適合されうる。例えば、サービスプロバイダ32は、電子メールセッション又はインスタンス(instance)メッセージングセッションなどの特定のタイプのセッションを認識しうる。そのような状況で、サービスプロバイダは、電子メール、又はインスタンスメッセージ、マネージメントサービス(例えば、多数の電子メールのロギング、又は、送信者の記憶されたリスト中のエントリとマッチする送信者を有する電子メールなどのイベントのスクリーニング)を提供するために使用されうる。エントリとマッチする電子メールが見つかったら、サービスプロバイダは、警告を発するなどの適切なアクションをとるように適合されうる。サービスプロバイダはまた、デバッガ(動作上の問題を識別し修正するために、ネットワーク通信をモニタリングし再構築する)でもありうるだろう。
【0033】
とりわけ、サービスプロバイダ32について予定されうるサービスの多くについて、サービスプロバイダは、それがオリジナルセッションよりむしろ再構築されたセッションのハンドリングであるという認識は必要としない。例えば、これは、モニタリング(例えば、記録保持、証拠収集、又はデバッギング)サービスなどの、オリジナルセッションに情報を投入する必要がない任意のサービスに当てはまる。そのような場合、任意の予め存在する標準サービスプロバイダが、セッションリコンストラクタ30とともに、サービスプロバイダ32に変更を加えることなく、使用されうる。
【0034】
他の変更は当業者に明らかであり、従って、本発明は、特許請求の範囲に定義される。
【図面の簡単な説明】
【0035】
本発明の実施例の態様を説明する図面において、
【図1】図1は、本発明に従い構成されたネットワークの概略図であり、
【図2】図2は、図1のセッションリコンストラクタの図式的な詳細図であり、
【図3】図3は、TCPセグメントの概略図である。
【特許請求の範囲】
【請求項1】
セッション指向ネットワークにおいて使用するための方法であって、
所定のエンドポイントを有する各セッションについて、該所定のエンドポイントに向けられた該各セッションの全てのペイロードデータをミラーリングするペイロードデータを有する並行セッションを作成することを含み、
該各セッションが、該所定のエンドポイントと別のエンドポイントとの間で交換されるパケットを含み、該パケットが、コントロール及びペイロードデータの一方又は両方を有する、方法。
【請求項2】
所定のエンドポイントを有する前記各セッションがオリジナルセッションであり、
さらに、
所定の並行セッションにおいて、コントロール情報を受信すること、及び
そこから該所定の並行セッションが生じた特定のオリジナルセッションについて、該特定のオリジナルセッションについての該所定のエンドポイント及び前記別のエンドポイントに向けられた該特定のオリジナルセッション中に該コントロール情報を挿入すること
を含む、請求項1に記載の方法。
【請求項3】
前記並行セッションを作成することが、さらに、
前記各オリジナルセッションの全てのコントロール情報をミラーリングするコントロール情報を有する該並行セッションを作成すること
を含む、請求項2に記載の方法。
【請求項4】
前記特定のオリジナルセッションに挿入された前記コントロール情報が、セッション終了コマンドである、請求項3に記載の方法。
【請求項5】
前記ネットワークがインターネットプロトコルに従う、請求項4に記載の方法。
【請求項6】
前記ネットワークが伝送制御プロトコルに従う、請求項5に記載の方法。
【請求項7】
前記特定のオリジナルセッションのシーケンス番号をトラッキングすることをさらに含み、該特定のオリジナルセッションに前記コントロール情報を挿入することが、予想されるシーケンス番号とともにコントロール情報を挿入することを含む、請求項6に記載の方法。
【請求項8】
前記所定のエンドポイントが、ブラウザベースのリクエストを満たすためのサーバである、請求項7に記載の方法。
【請求項9】
前記所定のエンドポイントが、ウェブサービスを提供するためのサーバである、請求項7に記載の方法。
【請求項10】
所定のエンドポイントを有する前記各セッションがオリジナルセッションであり、所定の並行セッションが、そこから該所定の並行セッションが生ずる特定のオリジナルセッションのイニシャルシーケンス番号とは異なるイニシャルシーケンス番号を有する、請求項1に記載の方法。
【請求項11】
さらに、前記ペイロードデータを不正なリクエストについてスクリーニングすることを含む、請求項1に記載の方法。
【請求項12】
所定のエンドポイントを有する前記各セッションがオリジナルセッションであり、
所定のオリジナルセッションについて不正なリクエストを見つけた際、該特定のオリジナルセッションについての該所定のエンドポイント及び前記別のエンドポイントに向けられた該所定のオリジナルセッション中にセッション終了コマンドを挿入することをさらに含む、請求項11に記載の方法。
【請求項13】
イベントについての前記ペイロードデータをスクリーニングすることをさらに含む、請求項1に記載の方法。
【請求項14】
所定のエンドポイントを有する前記各セッションがオリジナルセッションであり、
所定のオリジナルセッションについてのイベントを決定する際に、該イベントをロギングすることをさらに含む、請求項13に記載の方法。
【請求項15】
前記イベントが特定のパラメータを有する電子メールメッセージである、請求項14に記載の方法。
【請求項16】
セッションリコンストラクタであって、
セッション指向ネットワークへの接続用のインターフェースを含み、
所定のエンドポイントへの接続用のインターフェースを含み、
該所定のエンドポイントを有する各セッションについて、該所定のエンドポイントへ向けられた該各セッションの全てのペイロードデータをミラーリングするペイロードデータを有する並行セッションを作成するためのプロセッサを含み、該各セッションが、該所定のエンドポイントと別のエンドポイントとの間で交換されるパケットを含み、該パケットが、コントロール及びペイロードデータの一方又は両方を有する、
セッションリコンストラクタ。
【請求項17】
前記各セッションについての情報を有するテーブルを記憶するためのメモリをさらに含み、該情報が、前記別のエンドポイントのアドレス、該別のエンドポイントのポート番号、該別のエンドポイントのシーケンス番号、前記所定のエンドポイントのポート番号、及び該所定のポイントのシーケンス番号を含む、請求項16に記載のセッションリコンストラクタ。
【請求項18】
コンピュータ読取可能な媒体であって、
セッション指向ネットワークに接続されたプロセッサに、所定のエンドポイントを有する各セッションについて、該所定のエンドポイントに向けられた該各セッションの全てのペイロードデータをミラーリングするペイロードデータを有する並行セッションを作成させるためのコンピュータ実行可能な命令を含み、
該各セッションが、該所定のエンドポイントと別のエンドポイントとの間で交換されるパケットを含み、該パケットが、コントロール及びペイロードデータの一方又は両方を有する、コンピュータ読取可能な媒体。
【請求項1】
セッション指向ネットワークにおいて使用するための方法であって、
所定のエンドポイントを有する各セッションについて、該所定のエンドポイントに向けられた該各セッションの全てのペイロードデータをミラーリングするペイロードデータを有する並行セッションを作成することを含み、
該各セッションが、該所定のエンドポイントと別のエンドポイントとの間で交換されるパケットを含み、該パケットが、コントロール及びペイロードデータの一方又は両方を有する、方法。
【請求項2】
所定のエンドポイントを有する前記各セッションがオリジナルセッションであり、
さらに、
所定の並行セッションにおいて、コントロール情報を受信すること、及び
そこから該所定の並行セッションが生じた特定のオリジナルセッションについて、該特定のオリジナルセッションについての該所定のエンドポイント及び前記別のエンドポイントに向けられた該特定のオリジナルセッション中に該コントロール情報を挿入すること
を含む、請求項1に記載の方法。
【請求項3】
前記並行セッションを作成することが、さらに、
前記各オリジナルセッションの全てのコントロール情報をミラーリングするコントロール情報を有する該並行セッションを作成すること
を含む、請求項2に記載の方法。
【請求項4】
前記特定のオリジナルセッションに挿入された前記コントロール情報が、セッション終了コマンドである、請求項3に記載の方法。
【請求項5】
前記ネットワークがインターネットプロトコルに従う、請求項4に記載の方法。
【請求項6】
前記ネットワークが伝送制御プロトコルに従う、請求項5に記載の方法。
【請求項7】
前記特定のオリジナルセッションのシーケンス番号をトラッキングすることをさらに含み、該特定のオリジナルセッションに前記コントロール情報を挿入することが、予想されるシーケンス番号とともにコントロール情報を挿入することを含む、請求項6に記載の方法。
【請求項8】
前記所定のエンドポイントが、ブラウザベースのリクエストを満たすためのサーバである、請求項7に記載の方法。
【請求項9】
前記所定のエンドポイントが、ウェブサービスを提供するためのサーバである、請求項7に記載の方法。
【請求項10】
所定のエンドポイントを有する前記各セッションがオリジナルセッションであり、所定の並行セッションが、そこから該所定の並行セッションが生ずる特定のオリジナルセッションのイニシャルシーケンス番号とは異なるイニシャルシーケンス番号を有する、請求項1に記載の方法。
【請求項11】
さらに、前記ペイロードデータを不正なリクエストについてスクリーニングすることを含む、請求項1に記載の方法。
【請求項12】
所定のエンドポイントを有する前記各セッションがオリジナルセッションであり、
所定のオリジナルセッションについて不正なリクエストを見つけた際、該特定のオリジナルセッションについての該所定のエンドポイント及び前記別のエンドポイントに向けられた該所定のオリジナルセッション中にセッション終了コマンドを挿入することをさらに含む、請求項11に記載の方法。
【請求項13】
イベントについての前記ペイロードデータをスクリーニングすることをさらに含む、請求項1に記載の方法。
【請求項14】
所定のエンドポイントを有する前記各セッションがオリジナルセッションであり、
所定のオリジナルセッションについてのイベントを決定する際に、該イベントをロギングすることをさらに含む、請求項13に記載の方法。
【請求項15】
前記イベントが特定のパラメータを有する電子メールメッセージである、請求項14に記載の方法。
【請求項16】
セッションリコンストラクタであって、
セッション指向ネットワークへの接続用のインターフェースを含み、
所定のエンドポイントへの接続用のインターフェースを含み、
該所定のエンドポイントを有する各セッションについて、該所定のエンドポイントへ向けられた該各セッションの全てのペイロードデータをミラーリングするペイロードデータを有する並行セッションを作成するためのプロセッサを含み、該各セッションが、該所定のエンドポイントと別のエンドポイントとの間で交換されるパケットを含み、該パケットが、コントロール及びペイロードデータの一方又は両方を有する、
セッションリコンストラクタ。
【請求項17】
前記各セッションについての情報を有するテーブルを記憶するためのメモリをさらに含み、該情報が、前記別のエンドポイントのアドレス、該別のエンドポイントのポート番号、該別のエンドポイントのシーケンス番号、前記所定のエンドポイントのポート番号、及び該所定のポイントのシーケンス番号を含む、請求項16に記載のセッションリコンストラクタ。
【請求項18】
コンピュータ読取可能な媒体であって、
セッション指向ネットワークに接続されたプロセッサに、所定のエンドポイントを有する各セッションについて、該所定のエンドポイントに向けられた該各セッションの全てのペイロードデータをミラーリングするペイロードデータを有する並行セッションを作成させるためのコンピュータ実行可能な命令を含み、
該各セッションが、該所定のエンドポイントと別のエンドポイントとの間で交換されるパケットを含み、該パケットが、コントロール及びペイロードデータの一方又は両方を有する、コンピュータ読取可能な媒体。
【図1】
【図2】
【図3】
【図2】
【図3】
【公表番号】特表2007−534223(P2007−534223A)
【公表日】平成19年11月22日(2007.11.22)
【国際特許分類】
【出願番号】特願2006−540121(P2006−540121)
【出願日】平成16年11月23日(2004.11.23)
【国際出願番号】PCT/CA2004/002012
【国際公開番号】WO2005/050926
【国際公開日】平成17年6月2日(2005.6.2)
【出願人】(506176294)エフエスシー インターネット コーポレイション (1)
【Fターム(参考)】
【公表日】平成19年11月22日(2007.11.22)
【国際特許分類】
【出願日】平成16年11月23日(2004.11.23)
【国際出願番号】PCT/CA2004/002012
【国際公開番号】WO2005/050926
【国際公開日】平成17年6月2日(2005.6.2)
【出願人】(506176294)エフエスシー インターネット コーポレイション (1)
【Fターム(参考)】
[ Back to top ]