技術領域

本發明涉及進行客戶機與服務提供服務器之間的HTTP通信的過濾的過濾系統以及過濾方法。

背景技術

在現有的HTTP通信的過濾方式中，具有HTTP代理（proxy）方式或透明型代理方式（日本特開2010-244134號公報（稱為文獻1）、段落0002~0005）。

但是，在這些方式中指出了以下的課題。

在前者的HTTP代理方式中，在HTTP客戶機沒有進行使用HTTP代理的設定時無法進行過濾（文獻1，段落0006）。

此外，在后者的透明型代理方式中，TCP會話的終結處理復雜，需要基于軟件的處理，因此產生吞吐量降低的問題（文獻1，段落0007、0008）。

為了解決這些課題，提出了以下的方式（文獻1、段落0013、0014），通常時不進行TCP終結處理，從接收數據包中提取HTTP訪問的請求行中的URL，執行URL的通過/訪問拒絕判定，在判定結果為拒絕訪問時，執行TCP終結處理。

但是，文獻1公開的技術，在切斷（限制）來自客戶機的訪問的情況下，一度透明轉發從客戶機向Web服務器的TCP?3way-handshake（TCP三路握手）并確立了TCP連接后，判定為拒絕訪問，在服務器側進行TCP終結處理（文獻1，段落0030~0034以及圖3）。

在該方法中，對于Web服務器來說，看起來在進行了TCP連接后，不接收HTTP請求地從客戶機一側進行TCP切斷。

在頻繁地進行這樣的處理時，在Web服務器一側誤識別為DoS（Denial?ofService：拒絕服務）攻擊，Web服務器管理者對于來自該客戶機側網絡的連接，可能采取以IP地址為基礎的訪問切斷的安全對策。

當訪問被切斷時，之后存在與該客戶機側網絡連接的客戶機無法與Wb服務器連接的問題。

為了避免該問題，必須即便在切斷訪問的情況下，也不頻繁地進行以下的過程：在從過濾器裝置對Web服務器進行TCP連接后，對于Web服務器不發送HTTP請求地進行TCP切斷。

發明內容

為了解決上述課題，公開的過濾系統的特征為：具有在Web服務器裝置等服務服務器裝置（以下總稱為Web服務器裝置）提供的服務對于要進行訪問的用戶來說為訪問限制對象的情況下，能夠切斷向該服務的頻繁的TCP連接的結構。

具體地說，第一特征為：具備從同一客戶機向同一Web服務器中的訪問限制對象數據的頻繁的訪問的檢測單元；在該單元檢測到頻繁的訪問后切斷向該Web服務器的TCP連接的切斷單元。

并且，第二特征為：具備當存在多個提供某相同的訪問限制對象數據的Web服務器，在針對某個主機名的DNS名稱解析時的應答數據中記載了不同的多個IP地址時，把向具有這些不同的多個IP地址的該Web服務器組的訪問限制對象數據的訪問作為同一訪問來處理，在通過所述檢測單元檢測到之后，切斷向該Web服務器組的TCP連接的切斷單元。

第三特征為：具備在來自客戶機的Web服務器的主機名的名稱解析時，在通過所述檢測單元檢測到之后，切斷向提供訪問限制對象數據的Web服務器的名稱解析請求的訪問的訪問切斷單元。

更具體的一個方式是一種網絡系統，其，具備過濾裝置，該過濾裝置具有對在客戶機裝置與服務服務器裝置之間確立的TCP連接以及利用TCP連接收發的HTTP請求以及HTTP應答進行中繼的功能、和切斷從客戶機裝置向服務服務器裝置所提供的訪問限制對象服務的訪問的功能，其中，過濾裝置具有進行檢測處理和切斷處理的過濾處理部，檢測處理是通過從同一客戶機裝置向由服務服務器裝置提供的同一訪問限制對象服務的頻繁的HTTP訪問所利用的TCP連接的確立請求，來檢測HTTP訪問的處理，切斷處理是當通過檢測處理檢測到頻繁的HTTP訪問所利用的TCP連接的確立請求時，不向服務服務器裝置轉發TCP連接的確立請求，進行把該過濾裝置作為終端的TCP連接的確立和切斷的處理。

上述過濾處理部還可以在切斷處理中，如果接收到來自利用了所確立的TCP連接的客戶機裝置的HTTP請求，則向客戶機裝置發送訪問限制消息并切斷TCP連接。

此外，過濾處理部可以在檢測處理中，在判斷為TCP連接的確立請求不是向訪問限制對象服務的頻繁的HTTP訪問所利用的TCP連接的確立請求時，向服務服務器裝置轉發TCP連接的確立請求，使得能夠確立被請求的TCP連接，如果利用所確立的TCP連接的HTTP請求是向訪問限制對象服務的HTTP請求，則為了判斷是否成為頻繁的訪問，使HTTP請求數增加。