

(19) 日本国特許庁(JP)

## (12) 特 許 公 報(B2)

(11) 特許番号

特許第4635147号  
(P4635147)

(45) 発行日 平成23年2月16日(2011.2.16)

(24) 登録日 平成22年12月3日(2010.12.3)

(51) Int.CI.

H04L 12/66 (2006.01)

F 1

H04L 12/66

B

請求項の数 4 (全 12 頁)

(21) 出願番号 特願2005-333199 (P2005-333199)  
 (22) 出願日 平成17年11月17日 (2005.11.17)  
 (65) 公開番号 特開2007-142767 (P2007-142767A)  
 (43) 公開日 平成19年6月7日 (2007.6.7)  
 審査請求日 平成20年6月23日 (2008.6.23)

特許法第30条第1項適用 2005年5月18日 社  
 団法人情報処理学会発行の「情報処理学会シンポジウム  
 シリーズVo I. 2005, No. 5 先進的計算基盤  
 システムシンポジウム SACSIS 2005 論文  
 集」に発表

(73) 特許権者 504171134  
 国立大学法人 筑波大学  
 茨城県つくば市天王台一丁目1番1  
 (73) 特許権者 301021533  
 独立行政法人産業技術総合研究所  
 東京都千代田区霞が関1-3-1  
 (74) 代理人 100082669  
 弁理士 福田 賢三  
 (74) 代理人 100095337  
 弁理士 福田 伸一  
 (74) 代理人 100061642  
 弁理士 福田 武通  
 (72) 発明者 山口 喜教  
 茨城県つくば市天王台一丁目1番1 国立  
 大学法人筑波大学内

最終頁に続く

(54) 【発明の名称】パターンマッチング装置、その形成方法、それを用いたネットワーク不正侵入検知装置の動作方  
 法、およびそれを用いた侵入防止システムの動作方法

## (57) 【特許請求の範囲】

## 【請求項1】

複数の入力信号の積をとる演算回路と、前記演算回路の演算結果を予め決められた時間  
 保持する保持回路と、からなる単位ステートマシンを複数備えるNFAステートマシンと  
 、

伝送された符号と、探索する符号との比較を行なう比較器と、  
 を含み、

前記の演算回路は、初段では予め決められた論理値の出力、あるいは、それ以降の段では前段の単位ステートマシンの出力と、上記の比較器の出力との積をとり、予め決められた段から探索結果を出力するものであって、

複数の単位ステートマシンが出力端まで直列接続された少なくともひとつの構成Aと、  
 上記の直列接続の中間点から分岐し、他の出力端まで接続された構成Bと、をもち、

上記の分岐点の位置を、該分岐点の前段では、構成Aと構成Bとの行なう探索が共通の  
 探索であるように定めたことを特徴とするパターンマッチング装置。

## 【請求項2】

再構成可能な半導体集積回路上のステートマシンを用いたパターンマッチング装置の形  
 成方法で、

1 ) 検査ルールからNFAを生成して、ルール中のマッチングパターンそれぞれを集約したN  
 FAを再生成するステップと、

2 ) 生成したNFA中に存在する重複ステートを抽出して、仮のパターンマッチング回路を

構成するステップと、

3 ) 上記の仮のパターンマッチング回路における重複ゲートを抽出して、パターンマッチング回路を生成するステップと、

4 ) また、ヘッダ検査ルールからはヘッダ検査回路を、生成するステップと、

5 ) ヘッダ - ペイロードルールの対応表から検出判定回路を生成するステップと、

6 ) 生成したパターンマッチング回路とヘッダ検査回路と検出判定回路とを、上記の再構成可能な半導体集積回路に書き込むことを特徴とする請求項 1 に記載のパターンマッチング装置の形成方法。

#### 【請求項 3】

ネットワークインターフェース部と、ネットワークフレーム抽出部と、ヘッダ・ペイロード分離部と、ヘッダ検査部と、パターンマッチング部とに入力するステップと、パターンマッチング部と、検出判定部とを備えるネットワーク不正侵入検知装置の動作方法で、

1 ) ネットワークインターフェースを通じて入力したネットワークストリームからネットワークフレームを抽出するステップと、

2 ) ネットワークフレームの種別を解析してヘッダとペイロードに分離するステップと、

3 ) 上記の分離したヘッダとペイロードとを、それぞれヘッダ検査部、パターンマッチング部に入力するステップと、

4 ) 上記のヘッダ検査部、パターンマッチング部で各々検出された結果を、検出判定部でルールに合致するかどうか判断するステップと、

5 ) 上記のルールに合致する場合は、検出結果を整形し外部に出力するステップと、を含み、

上記のパターンマッチング部は請求項 1 のパターンマッチング装置で構成されていることを特徴とするネットワーク不正侵入検知装置の動作方法。

#### 【請求項 4】

ネットワークインターフェース部と、ネットワークフレーム抽出部と、ヘッダ・ペイロード分離部と、ヘッダ検査部と、パターンマッチング部とに入力するステップと、パターンマッチング部と、検出判定部と、フレーム遮断・出力部とを備える侵入防止システムの動作方法で、

侵入防止システムに請求項 1 に記載のパターンマッチング装置を用いる方法で、

1 ) ネットワークインターフェースより入力されたネットワークストリームからネットワークフレームを抽出するステップと、

2 ) ネットワークフレームをヘッダ・ペイロード分離部とディレイ部とにそれぞれ複製して入力するステップと、

3 ) ヘッダ・ペイロード部によりネットワークフレームの種別を解析してヘッダとペイロードに分離し、それぞれヘッダ検査部、パターンマッチング部に入力するステップと、

4 ) ヘッダ部、パターンマッチング部で各々検出された結果を検出判定部でルールに合致するかどうか判断するステップと、

5 ) 上記のルールに合致する場合は、選択されたルールをメモリ上に一時的に蓄積するステップと、

6 ) ディレイ部からネットワークフレームが出力される際に、対応する既に算出した検査結果をメモリより読み出すステップと、

7 ) 上記の検査結果に従ってネットワークフレームを遮断するか出力するか決定するステップと、を含み、

上記のパターンマッチング部は請求項 1 のパターンマッチング装置で構成されていることを特徴とする侵入防止システムの動作方法。

#### 【発明の詳細な説明】

##### 【技術分野】

##### 【0001】

この発明は、ネットワーク通信におけるパケット処理においてパターンマッチングを用いて文字列や記号列の探索を行う必要のある分野に関する。 50

**【背景技術】****【0002】**

近年ではネットワークにおけるサービスに社会が依存する傾向にあり、ネットワーク上におけるセキュリティの重要性が高まっている。しかし、ネットワークを利用する人口が増加するに従い、ネットワークサービスに対する攻撃や侵入が増加し、サービスに障害をもたらす要因となっている。このネットワークサービスに対する攻撃や侵入を検知し防御を行う起点となる技術が、パターンマッチング技術を用いるNIDS (Network Intrusion Detection System) である。NIDSでは常時ネットワークの状態を監視し侵入や攻撃の検知を行うため、その処理速度はネットワークのスループットと同じである事が望まれる。NIDSの一つに、攻撃・侵入ルールのパターンマッチングによる検知を行うSNORTがあるが、ソフトウェアによるパターンマッチング処理を行っているため、その処理速度は1Gb/sに満たない。

**【0003】**

パターンマッチング処理用として、NFA (Nondeterministic Finite Automaton) によりパターンマッチング回路を再構成可能なデバイスFPGA (Field Programmable Gate Array) 上に構成し、高速な処理を行う研究が幾つかなされている。NIDSでは、新たな攻撃や侵入に従ってマッチングパターンが変更されるためNFAによるパターンマッチングの場合ASICに実装するのは実用的でなく、FPGAのような再構成可能なハードウェアがパターンマッチングエンジンとして用いられる。

**【0004】**

この従来のNFAによるパターンマッチング回路は、1クロックサイクル当たり1バイトを処理するため、その処理性能は1.96Gb/s (245.97MHz, 30675文字、FPGA:Xilinx xc2vp100-6 時) 程度であった。このNFAによるパターンマッチング回路を1クロック当たり複数バイト処理する構成に改変し、処理性能を向上させる研究がなされている。しかし、改変による回路規模の増大は大きく、4バイト処理するNFA回路は、25002文字のマッチングパターンにおいてFPGA (Xilinx xc2v-8000) の100%を使用するものであった。

**【0005】**

パターンマッチング回路を実現する方法として、これまでに、非特許文献1に記載されているようなマッチングパターンを表す正規表現からNFAを構成し、これを回路化する方法が知られている。しかし、この方法では、1クロックサイクル当たりに処理する入力データ幅が1バイトであったため、高いスループットを得ることが困難であった。また、非特許文献2に記載されているようにNFAより構成したパターンマッチング装置が1クロックサイクルあたりに処理する入力データ幅を拡張し、回路のスループットを向上させる技術も知られている。しかし、この技術では、スループットは向上するものの、データ幅の倍化に伴って回路規模も同様に倍化するため、現実的に適用できるものではなかった。

**【0006】**

これら従来の技術では、探索しようとするマッチングパターンが複数ある場合に、それぞれのマッチングパターンに対して独立したステートマシンを生成することによりマッチング回路を構築していた。そのため、マッチングパターン数の増大に比例して回路規模の増大していた。

**【0007】**

上記の様に、ネットワークセキュリティシステムのNIDSは、ネットワークにおける攻撃や侵入を検知するシステムである。NIDSで定義ファイルを用いるシグネチャ方式を探るシステムでは、ネットワークパケットと攻撃・侵入パケットデータベースとのパターンマッチング処理が行われている。このパターンマッチング処理をソフトウェアで行うとスループットが数十Mb/s ~ 1Gb/s程度と低速であるため、ハードウェアによるパターンマッチング処理による高速化がなされてきた。

**【0008】**

ハードウェアによるパターンマッチング処理のうち、NFA (Non-deterministic Fini

10

20

30

40

50

te Automaton) によってパターンマッチング装置を構成する方法が存在する。このパターンマッチング装置で、例えば、文字列「a b b」を検出する場合の構築手順を図1に示す。

#### 【0009】

通常は、探索を受ける情報を、探索を容易にするために正規表現（通常の文字と、メタキャラクタと呼ばれる特別な意味を持った記号を組み合わせた表記）に変換しておく。また、探索しようとする文字列や記号列を変換して得られるマッチングパターンを示す正規表現からNFAステートマシンを生成する。このNFAステートマシン中のステート1つに1状態を保持するステートマシンを割り当ててパターンマッチング装置を構築する。

#### 【0010】

このような従来の技術では、パターンマッチング装置の処理データ幅を増やすと回路規模が大幅に増大してしまう、という問題があった。さらに、探索するマッチングパターンの数を増やすと回路規模が比例して増大してしまう、という問題もあった。これは、探索するマッチングパターンが複数ある場合に、それぞれのマッチングパターンに対して独立したNFAを生成してパターンマッチング装置を構築していたためである。

#### 【0011】

従来の技術によるパターンマッチング装置の構成を図2に示す。図2に示すパターンマッチング装置の処理するバイト幅は4バイトである。この装置は、入力されたデータを1バイト毎に比較する比較器部と各々のマッチングパターンに対応したステートマシン部より構成される。

#### 【0012】

【非特許文献1】Reetinder Sidhu, Viktor K. Prasanna, "Fast Regular Expression Matching using FPGAs", Proceedings of IEEE FCCM 2001, Apr 2001.

【非特許文献2】Christopher R. Clark, David E. Schimmel "Scalable Pattern Matching for High Speed Networks", FCCM2004, pp.249 -257, Apr 20 -23, 2004, Napa, California.

#### 【発明の開示】

#### 【発明が解決しようとする課題】

#### 【0013】

従来の技術では、パターンマッチング装置の処理データ幅を増やすと回路規模が大幅に増大してしまう問題があった。さらに、探索するマッチングパターンの数を増やすと回路規模が比例して増大してしまう問題もあった。

#### 【発明の効果】

#### 【0014】

本発明のパターンマッチング装置の構成を採ることにより、パターンマッチング装置の回路規模の増大を抑制しつつ入力データ幅を拡張することが可能である。これにより、NIDS (Network Intrusion Detection System: ネットワーク不正侵入検知システム) に使用されるマッチングパターン全てに対応しつつ高いスループットを持つパターンマッチング装置を1つのFPGA (Field Programmable Gate Array: 再構成可能な半導体集積回路) デバイス上に搭載することができる。

#### 【課題を解決するための手段】

#### 【0015】

従来、複数のマッチングパターンそれからステートマシンを生成していたが、本発明では、このステートマシンの数を集約するものである。このため、本発明のパターンマッチング装置では、複数の入力信号の積をとる演算回路と、前記演算回路の演算結果を予め決められた時間保持する保持回路と、からなる単位ステートマシンを複数備えるNFAステートマシンと、伝送された符号と、検索する符号と、の比較を行なう比較器と、を含み、前記の演算回路は、初段では予め決められた論理値の出力、あるいは、それ以降の段では前段の単位ステートマシンの出力と、上記の比較器の出力との積をとり、予め決められた段から検索結果を出力するものであって、複数の単位ステートマシンが出力端まで直

10

20

30

40

50

列接続された少なくともひとつの構成 A と、上記の直列接続の中間点から分岐し、他の出力端まで接続された構成 B と、をもち、上記の分岐点の位置を、該分岐点の前段では、構成 A と構成 B との行なう検索が共通の検索であるように定める。

#### 【 0 0 1 6 】

また、ステートマシンを再構成可能な半導体集積回路上に構成して、上記のパターンマッチング装置を形成する方法は、攻撃あるいは侵入パケットを検出するルールを入力するステップと、ネットワークフレーム中のヘッダを検査するルールと、ペイロードを検査するルール(マッチングパターン)と、ヘッダルールとペイロードルールとを対応付ける表と、を分離するステップと、の後に、

1 ) 検査ルールから NFA を生成して、ルール中のマッチングパターンそれぞれを集約した NFA を再生成するステップと、10

2 ) 生成した NFA 中に存在する重複ステートを抽出して、仮のパターンマッチング回路を構成するステップと、

3 ) 上記の仮のパターンマッチング回路における重複ゲートを抽出して、パターンマッチング回路を生成するステップと、

4 ) また、ヘッダ検査ルールからはヘッダ検査回路を、生成するステップと、

5 ) ヘッダ - ペイロードルールの対応表から検出判定回路を生成するステップと、

6 ) 生成したパターンマッチング回路とヘッダ検査回路と検出判定回路とを、上記の再構成可能な半導体集積回路に書き込む、というものである。20

#### 【 0 0 1 7 】

また、本発明は、ネットワークインタフェース部と、ネットワークフレーム抽出部と、ヘッダとペイロード分離部と、ヘッダ検査部と、パターンマッチング部とに入力するステップと、パターンマッチング部と、検出判定部とを備えるネットワーク不正侵入検知装置の動作方法で、

1 ) ネットワークインタフェースを通じて入力したネットワークストリームからネットワークフレームを抽出するステップと、

2 ) ネットワークフレームの種別を解析してヘッダとペイロードに分離するステップと、

3 ) 上記の分離したヘッダとペイロードとを、それぞれヘッダ検査部、パターンマッチング部に入力するステップと、30

4 ) 上記のヘッダ検査部、パターンマッチング部で各々検出された結果を、検出判定部でルールに合致するかどうか判断するステップと、

5 ) 上記のルールに合致する場合は、検出結果を整形し外部に出力するステップと、を含み、上記のパターンマッチング部は請求項 1 のパターンマッチング装置で構成したものである。30

#### 【 0 0 1 8 】

また、本発明は、ネットワークインタフェース部と、ネットワークフレーム抽出部と、ヘッダ・ペイロード分離部と、ヘッダ検査部と、パターンマッチング部とに入力するステップと、パターンマッチング部と、検出判定部と、フレーム遮断・出力部とを備える侵入防止システムの動作方法で、

侵入防止システムに請求項 1 に記載のパターンマッチング装置を用いる方法で、40

1 ) ネットワークインタフェースより入力されたネットワークストリームからネットワークフレームを抽出するステップと、

2 ) ネットワークフレームをヘッダ・ペイロード分離部とディレイ部とにそれぞれ複製して入力するステップと、

3 ) ヘッダ・ペイロード部によりネットワークフレームの種別を解析してヘッダとペイロードに分離し、それぞれヘッダ検査部、パターンマッチング部に入力するステップと、

4 ) ヘッダ部、パターンマッチング部で各々検出された結果を検出判定部でルールに合致するかどうか判断するステップと、

5 ) 上記のルールに合致する場合は、選択されたルールをメモリ上に一時的に蓄積するステップと、50

6) ディレイ部からネットワークフレームが出力される際に、対応する既に算出した検査結果をメモリより読み出すステップと、

7) 上記の検査結果に従ってネットワークフレームを遮断するか出力するか決定するステップと、を含み、

上記のパターンマッチング部は上記のパターンマッチング装置で構成したものである。

**【発明を実施するための最良の形態】**

**【0019】**

以下に、この発明の実施の形態を図面に基づいて詳細に説明する。

**【実施例1】**

**【0020】**

10

上記のように、従来は複数のマッチングパターンそれぞれからステートマシンを生成していたが、本発明では、このステートマシンを集約するものである。さらに、ステートマシンのステート遷移条件を生成するANDゲート2、パターン検出信号を生成するORゲート3をステートマシン1の回路と独立させる。一例として、図3に本発明の技術によるパターンマッチング装置の構成を示す。前記構成は、入力されたデータを1バイト毎に比較する比較器部、ANDゲート群、マッチングパターン全てを含んだ1つのステートマシン、ORゲート群より成る。図3の単位ステートマシンA、B、Cでは、単位ステートマシンAを共有して、AとBの、あるいはAとCの単位ステートマシンの直列接続と同様の結果が得られる。

**【0021】**

20

このようにステートマシンを集約することで、ステートマシン中で同じ状態を表すステートが抽出可能となる。重複したステートを共有・削減することにより回路規模の削減を図る。さらに、ステート遷移条件を生成するAND群中にも同じ条件を表すANDゲートが抽出でき、これも共有・削減することにより一層の回路規模の削減を図る。

**【0022】**

また、一例として、図4に同じ状態を表すステートの削減方法を示す。図4(1)、(2)は、それぞれ、従来の場合と本発明の場合、である。マッチングパターン間で接頭パターンが同じであれば、その接頭パターンを表すステートは重複しており、共有が可能である。図では「a b c」「a b b」の2つのマッチングパターンを例として挙げているが、「a b c」「a b b」は「a b」が同じであるため、このパターンを表すステートが共有されている。

30

**【0023】**

次に、一例として、図5に同じステート遷移条件を生成するANDゲートの削減方法を示す。例として、処理するデータ幅が4バイトであるパターンマッチング装置において、マッチングパターン「a b c」「b b c」を検出するステートマシンのステート遷移に必要な条件を示す。点線で囲まれた条件は同じ遷移条件を表しており、該当するANDゲートを共有あるいは削減することができる。

**【0024】**

上記の共有あるいは削減により、回路規模を従来の回路構成と比べて半分以下に削減することが可能であり、1つのデバイス上にNIDSで必要とされるパターンマッチング回路を構築することが現実的となる。また、回路規模の大幅な削減により低消費電力効果が期待できる。

40

**【0025】**

一般に、NFAによるパターンマッチング装置を構成する際、処理データ幅を増大しスループットの向上を図ると、回路規模が大幅に増大する。しかし、マッチングパターンからNFAベースのパターンマッチング装置を構成する際、上記の様に、各々のパターンから生成されるステートマシンを1つのステートマシンに集約して共有可能なステート等を抽出することにより、処理データ幅を増大しつつ回路規模増大の抑制を行うことができる。

**【実施例2】**

50

## 【0026】

次に、再構成可能な半導体集積回路をパターンマッチング回路に用いて、ステートマシンを自動生成する装置の動作方法を説明する。この装置のブロック図を図9に示す。この装置は、検出すべきネットワークフレームを特定するためのルールをルール解析部5に入力すると、分離部6でネットワークフレーム中のヘッダを検査するルール、ペイロードを検査するルール、そしてヘッダルールとペイロードルールに対応して3つに分離される。分離された信号の1つはヘッダ検査回路生成部8を通り、半導体集積回路のソースコードの一部を出力する。また、他の1つは、NFA生成部7、重複ステート・重複ゲート抽出部9、パターンマッチング回路生成部11を通り、半導体集積回路のソースコードの一部を出力する。ここでは、自動的にイーサネット（登録商標）フレームのヘッダに対するルールとペイロードに対するマッチングパターンを抽出し、ヘッダ検査回路、パターンマッチング回路、ルール検出判定回路を生成する。残りの信号は、検出判定回路生成部10で処理され半導体集積回路のソースコードの一部を出力する。これらのソースコードを用いて再構成部12で半導体集積回路の再構成を行なう。

10

## 【0027】

上記のパターンマッチング回路を自動生成する装置をシグネチャ方式のNIDSに適用する場合を以下で説明する。一般に、シグネチャ方式のNIDSでは、攻撃や侵入を検出するためのルールを定義し、このルールを元に検出処理を行う。本ソフトウェアは攻撃・侵入パケットを検出するルールから、検出処理する回路を自動生成する装置である。本ソフトウェアの処理手順を図6に示す。本装置は、

20

- 1) 攻撃あるいは侵入パケットを検出するルールを入力すると、
- 2) ネットワークフレーム中のヘッダを検査するルールとペイロードを検査するルール（マッチングパターン）、そしてヘッダルールとペイロードルールを対応付ける表の3つに分離する。
- 3) ペイロード検査ルールからはNFAを生成し、ルール中のマッチングパターンそれぞれを集約したNFAを再生成する。
- 4) そして、生成したNFA中に存在する重複ステートを抽出し、
- 5) 仮のパターンマッチング回路を構成後、
- 6) さらに重複ゲートを抽出して、パターンマッチング回路を生成する。

7) また、ヘッダ検査ルールからはヘッダ検査回路、ヘッダ-ペイロードルールの対応表からは検出判定回路を生成する。

30

本装置では、入力した攻撃・侵入ルールからサブセットのルールを生成し回路化することもできる。また、回路が処理するデータ幅を指定することができ、容易に高いループットを持つ回路を生成することもできる。

## 【実施例3】

## 【0028】

次に、本発明をNIDS（ネットワーク不正侵入検知）装置に適用する場合について説明する。これは、あらかじめ設定されたマッチングパターンに従ってネットワークフレームを検査することで、攻撃や侵入を検出する装置である。NIDS装置の構成を図7に示す。本装置は、

40

- 1) まずネットワークIF（インターフェース）より入力されたネットワークストリームからネットワークフレームを抽出する。
- 2) そして、ネットワークフレームの種別を解析してヘッダとペイロードに分離し、
- 3) それぞれヘッダ検査部、パターンマッチング部に入力する。
- 4) ヘッダ部、パターンマッチング部で各々検出された結果を検出判定部でルールに合致するかどうか判断する。
- 5) 1つのネットワークフレームが複数のルールに合致する場合は、プライオリティエンコーダにより重要なルールが選択される。最後に結果を整形し外部に出力する。

## 【0029】

本装置により、ネットワーク上の攻撃や侵入をネットワークのワイヤスピードで検査す

50

ることができる。また、本装置を構成する、パターンマッチング、ヘッダ検査、検出判定の回路は実施例(1)で示した装置により生成される。

【実施例4】

【0030】

次に、本発明をIPS(Intrusion Protection System:侵入防止システム)装置に適用する場合について説明する。これは、あらかじめ設定されたマッチングパターンに従ってネットワークフレームを検査することで攻撃や侵入を検出し、さらに有害なネットワークフレームは遮断する装置である。IPS装置の構成を図7に示す。

【0031】

1) 本装置は、まずネットワークIF(インターフェース)より入力されたネットワークストリームからネットワークフレームを抽出する。  
10

2) ネットワークフレームはヘッダ・ペイロード分離部とディレイ部にそれぞれ複製されて入力される。

3) そして、ヘッダ・ペイロード部によりネットワークフレームの種別を解析してヘッダとペイロードに分離し、

4) それぞれヘッダ検査部、パターンマッチング部に入力する。

5) ヘッダ部、パターンマッチング部で各々検出された結果を検出判定部でルールに合致するかどうか判断する。1つのネットワークフレームが複数のルールに合致する場合は、プライオリティエンコーダにより重要なルールが選択される。選択されたルールはメモリ上に一時的に蓄積される。  
20

6) 最後に、ディレイ部からネットワークフレームが出力される際に、対応する既に算出した検査結果をメモリより読み出される。

7) このとき、検査結果に従ってネットワークフレームを遮断するか出力するか決定する。  
。

【0032】

本装置により、ネットワーク上の攻撃や侵入をネットワークのワイヤスピードで検査することができるほか、危険なネットワークフレームを遮断することができる。本装置を構成する、パターンマッチング、ヘッダ検査、検出判定の回路は実施例(1)で示した装置により生成される。

【産業上の利用可能性】

【0033】

本発明のパターンマッチング装置の使用目的は、ネットワークのセキュリティの向上に限定される理由はなく、データベースの検索にも用いることができる。また、文字や記号に限定する理由もなく、アナログ信号であっても、符号化した後の情報を用いて探索を行なうことができる。

【図面の簡単な説明】

【0034】

【図1】文字列「a b b」を検出するパターンマッチング装置の構築手順を説明するためのブロック図である。

【図2】従来のパターンマッチング装置のブロック図である。

40

【図3】本発明を用いたパターンマッチング装置のブロック図である。

【図4】同じ状態を表すステートの削減を示す模式図である。

【図5】同じステート遷移条件を生成するANDゲートの削減を示す模式図である。

【図6】パターンマッチング装置を自動生成する装置の処理手順を示す図である。

【図7】NIDS装置のブロック図である。

【図8】IPS装置のブロック図である。

【図9】パターンマッチング装置を自動生成する装置のブロック図である。

【符号の説明】

【0035】

1 ステートマシン

50

- 2 AND ゲート  
 3 OR ゲート  
 4 単位ステートマシン  
 5 ルール解析部  
 6 分離部  
 7 NFA 生成部  
 8 ヘッダ検査回路生成部  
 9 重複ステート・重複ゲート抽出部  
 10 検出判定回路生成部  
 11 パターンマッチング回路生成部  
 12 再構成部

10

【図1】



【図2】



【図3】



【図4】



【図5】

(1) abc  
(2) bcb

【図6】



【図7】



【図8】



【図9】



---

フロントページの続き

(72)発明者 前田 敦司  
茨城県つくば市天王台一丁目1番1 国立大学法人筑波大学内

(72)発明者 片下 敏宏  
茨城県つくば市天王台一丁目1番1 国立大学法人筑波大学内

(72)発明者 戸田 賢二  
茨城県つくば市東1 - 1 - 1 独立行政法人産業技術総合研究所つくばセンター内

審査官 矢頭 尚之

(56)参考文献 特表2005-527042(JP,A)

(58)調査した分野(Int.Cl., DB名)

H 04 L 12 / 66