Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4334560B2 - Communication record monitoring device - Google Patents
[go: Go Back, main page]

JP4334560B2 - Communication record monitoring device - Google Patents

Communication record monitoring device Download PDF

Info

Publication number
JP4334560B2
JP4334560B2 JP2006297006A JP2006297006A JP4334560B2 JP 4334560 B2 JP4334560 B2 JP 4334560B2 JP 2006297006 A JP2006297006 A JP 2006297006A JP 2006297006 A JP2006297006 A JP 2006297006A JP 4334560 B2 JP4334560 B2 JP 4334560B2
Authority
JP
Japan
Prior art keywords
communication
message
information
text
reading
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006297006A
Other languages
Japanese (ja)
Other versions
JP2008118198A (en
Inventor
正道 楯岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Priority to JP2006297006A priority Critical patent/JP4334560B2/en
Publication of JP2008118198A publication Critical patent/JP2008118198A/en
Application granted granted Critical
Publication of JP4334560B2 publication Critical patent/JP4334560B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワークを流れる通信文の内容を容易に確認し得る通信監視記録装置に関する。   The present invention relates to a communication monitoring and recording apparatus capable of easily confirming the contents of a communication sentence flowing through a network.

近年、個人情報や企業秘密等の情報保護に対する関心が高まっている。そのため、情報漏洩防止のための種々のソリューションが提案されている。   In recent years, interest in protecting information such as personal information and trade secrets has increased. Therefore, various solutions for preventing information leakage have been proposed.

具体的には、ネットワークを流れる通信文を傍受して記録し、その記録した通信文を検索表示できる通信監視記録装置が提案されている。この通信監視記録装置では、例えば、キーワード検索によりキーワードを含む通信文をリスト表示したり、指定した送信元/送信先などに合致する通信文をリスト表示したりすることができる。これにより、情報漏洩の発見や、漏洩した情報の詳細内容を確認することができる。また、検索された通信文の前後に通信された通信文の内容を確認して、情報漏洩の出所を調査することもできる。   Specifically, there has been proposed a communication monitoring and recording apparatus that can intercept and record a communication sentence flowing through a network and search and display the recorded communication sentence. In this communication monitoring and recording apparatus, for example, a list of communication sentences including a keyword can be displayed by keyword search, or a list of communication sentences matching a designated transmission source / destination can be displayed. Thereby, the discovery of information leakage and the detailed contents of the leaked information can be confirmed. It is also possible to check the source of information leakage by confirming the contents of the communication text communicated before and after the retrieved communication text.

また、「対象ネットワークを通る通信データを傍受すると共に、当該傍受した通信データの種別に応じて分類すると共に、新たな検索データを付加して解析結果データベースに蓄積するようにした」通信情報記録装置等も提案されている(例えば、特許文献1参照)。
国際公開第2002/029579号パンフレット
Also, a communication information recording device that “intercepts communication data passing through the target network and classifies it according to the type of the communication data that has been intercepted, and adds new search data and accumulates it in the analysis result database” Have also been proposed (see, for example, Patent Document 1).
International Publication No. 2002/029579 Pamphlet

しかしながら、従来の通信監視記録装置では、検索された通信文の前後に通信された通信文の内容を確認する場合、検索条件を変更してから再度検索する必要がある。   However, in the conventional communication monitoring and recording apparatus, when the content of the communication text communicated before and after the retrieved communication text is confirmed, it is necessary to search again after changing the search condition.

例えば、電子メールによる情報漏洩を調査する場合には、所定のキーワードが含まれた電子メールを検索した後、その電子メールの送信元および送信先を調べていくことにより、情報漏洩の出所を追跡する。   For example, when investigating information leaks due to e-mails, the origin of the information leak is tracked by searching for e-mails that contain the specified keyword and then examining the source and destination of the e-mails. To do.

この場合、通信トラフィックが膨大であるため、検索条件を随時変更しながら通信文の内容を確認するのは極めて煩雑な作業となる。   In this case, since the communication traffic is enormous, it is very complicated to check the content of the communication text while changing the search condition as needed.

本発明は上記実情に鑑みてなされたもので、ネットワークを流れる通信文の内容を容易に確認し得る通信監視記録装置を提供する事を目的とする。   The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a communication monitoring and recording apparatus capable of easily confirming the contents of a communication sentence flowing through a network.

本発明は上記課題を解決するために以下の手段を講じる。   The present invention takes the following means in order to solve the above problems.

第1の発明は、ネットワークから傍受した通信文を傍受日時と関連付けて記録する通信文記録手段と、検索データを入力するための入力手段と、前記通信文記録手段に記録された通信文から前記検索データを含む通信文を読み出し、該読み出した通信文を傍受日時順に並べた通信文リストを表示するための通信文表示手段と、前記通信文リストから、対象通信文を選択するための選択手段と、前記選択手段により選択された対象通信文を表示する手段と、前記選択手段により選択された対象通信文のヘッダ情報から、該対象通信文の固有情報と、該対象通信文が参照した参照通信文の固有情報とを読み取るヘッダ情報読取手段と、前記ヘッダ情報読取手段により読み取られた参照通信文の固有情報に基づいて、該参照通信文を前記通信文記録手段から読み出す参照通信文読出手段と、前記参照通信文読出手段により読み出された参照通信文の、傍受日時が最も新しいものを表示するための手段と、前記ヘッダ情報読取手段により読み取られた対象通信文の固有情報に基づいて、該対象通信文を参照した被参照通信文を前記通信文記録手段から読み出す被参照通信文読出手段と、前記被参照通信文読出手段により読み出された被参照通信文の、傍受日時が最も古いものを表示するための手段とを備えた通信監視記録装置である。   The first invention is a communication sentence recording means for recording a communication sentence intercepted from a network in association with an intercept date and time, an input means for inputting search data, and a communication sentence recorded in the communication sentence recording means. A communication text display means for reading a communication text including search data and displaying a communication text list in which the read communication texts are arranged in order of intercept date and time, and a selection means for selecting a target communication text from the communication text list And means for displaying the target communication text selected by the selection means; from the header information of the target communication text selected by the selection means, the unique information of the target communication text and the reference referred to by the target communication text Based on the unique information of the reference message read by the header information reading means and the header information reading means for reading the unique information of the message, the reference message is recorded in the message recording unit. Reference message reading means for reading from the stage, means for displaying the reference message read by the reference message reading means with the latest intercept date and time, and the object read by the header information reading means Based on the unique information of the communication text, the referenced communication text reading means for reading the referenced communication text referring to the target communication text from the communication text recording means, and the referenced text read by the referenced text reading means And a means for displaying a communication message having the earliest intercept date and time.

第2の発明は、第1の発明に対応する通信監視記録装置において、前記通信文記録手段は、電子メールを記録し、前記ヘッダ情報読取部は、前記電子メールの固有情報であるメッセージID(Message-ID)を読み取る通信監視記録装置である。   According to a second aspect of the present invention, in the communication monitoring and recording apparatus corresponding to the first aspect, the communication message recording unit records an electronic mail, and the header information reading unit is a message ID (specific information of the electronic mail). Message-ID).

第3の発明は、第1の発明または第2の発明に対応する通信監視記録装置において、前記通信文記録手段は、Webアクセス情報を記録し、前記ヘッダ情報読取部は、前記Webアクセス情報の固有情報であるURL情報を読み取る通信監視記録装置である。   According to a third aspect of the present invention, in the communication monitoring and recording apparatus corresponding to the first or second aspect of the invention, the message recording unit records Web access information, and the header information reading unit stores the Web access information. This is a communication monitoring and recording device that reads URL information that is unique information.

第4の発明は、第1の発明または第2の発明に対応する通信監視記録装置において、前記通信文記録手段は、Webアクセス情報を記録し、前記ヘッダ情報読取部は、前記Webアクセス情報の固有情報であるクライアントIPアドレスを読み取る通信監視記録装置である。   According to a fourth aspect of the present invention, in the communication monitoring and recording apparatus corresponding to the first or second aspect of the invention, the message recording unit records Web access information, and the header information reading unit stores the Web access information. This is a communication monitoring and recording device that reads a client IP address that is unique information.

第5の発明は、第1の発明乃至第4の発明のいずれか1項に対応する通信監視記録装置において、前記通信文のヘッダ情報から、該通信文が暗号化された通信文であるか否かを判定する暗号文判定手段をさらに備え、前記暗号文判定手段が該通信文を暗号化された通信文であると判定した場合、該通信文に代えて暗号化された通信文である旨を表示する通信監視記録装置である。   5th invention is the communication monitoring recording apparatus corresponding to any one of 1st invention thru | or 4th invention, whether the said communication text is the communication text encrypted from the header information of the said communication text. A ciphertext determining means for determining whether or not the ciphertext determining means determines that the communication text is an encrypted communication text, and is an encrypted communication text instead of the communication text This is a communication monitoring and recording device that displays the effect.

第6の発明は、第1の発明または第2の発明に対応する通信監視記録装置において、前記選択手段により電子メールの通信文が選択された場合、該電子メール本文中にURL情報が記述されているか否かを判定するURL情報判定手段と、前記URL情報判定手段によりURL情報が記述されていると判定した場合、該URL情報に対応するWebアクセス情報を前記通信文記録手段から読み出して表示する手段とをさらに備えた通信監視記録装置である。   According to a sixth aspect of the present invention, in the communication monitoring and recording apparatus corresponding to the first or second aspect, when an electronic mail message is selected by the selecting means, URL information is described in the electronic mail text. If it is determined that the URL information is described by the URL information determination unit and the URL information determination unit, the Web access information corresponding to the URL information is read from the message recording unit and displayed. And a communication monitoring and recording apparatus.

第7の発明は、第1の発明、第3の発明、または第4の発明のいずれか1項に対応する通信監視記録装置において、前記選択手段によりWebアクセス情報の通信文が選択された場合、該Webアクセス情報に電子メールのメールアドレス情報が記述されているか否かを判定するメールアドレス情報判定手段と、前記メールアドレス情報判定手段によりメールアドレス情報が記述されていると判定した場合、該メールアドレス情報を送信先とした電子メールを前記通信文記録手段から読み出して表示する手段とをさらに備えた通信記録監視装置である。   A seventh aspect of the invention is the communication monitoring and recording apparatus corresponding to any one of the first aspect, the third aspect, or the fourth aspect, wherein the communication text of the Web access information is selected by the selection means The e-mail address information determining means for determining whether or not e-mail address information is described in the Web access information, and when the e-mail address information determining means determines that the e-mail address information is described, A communication record monitoring apparatus further comprising means for reading an e-mail addressed to the mail address information from the message recording means and displaying it.

第8の発明は、第1の発明乃至第7の発明のいずれか1項に対応する通信監視記録装置において、前記参照通信文読出手段と前記被参照通信文読出手段とは、操作画面上に表示されるアイコンを指定することにより実行される通信監視記録装置である。   An eighth invention is the communication monitoring and recording apparatus corresponding to any one of the first to seventh inventions, wherein the reference message reading means and the referenced message reading means are on the operation screen. This is a communication monitoring and recording apparatus that is executed by designating an icon to be displayed.

第9の発明は、第1の発明乃至第8の発明のいずれか1項に対応する通信監視記録装置において、前記参照通信文読出手段により読み出される参照通信文の傍受日時が最も古い参照通信文である場合、その旨を表示する手段をさらに備えた通信記録監視装置である。   According to a ninth invention, in the communication monitoring and recording apparatus corresponding to any one of the first to eighth inventions, the reference message having the earliest intercept date and time of the reference message read by the reference message reading means In this case, the communication record monitoring apparatus further includes means for displaying the fact.

第10の発明は、第1の発明乃至第9の発明のいずれか1項に対応する通信監視記録装置において、前記被参照通信文読出手段により読み出される被参照通信文の傍受日時が最も新しい被参照通信文である場合、その旨を表示する手段をさらに備えた通信記録監視装置である。   According to a tenth aspect of the present invention, in the communication monitoring and recording apparatus corresponding to any one of the first to ninth aspects, the intercepted date and time of the referenced message read by the referenced message reading unit is the latest. In the case of a reference message, the communication record monitoring device further includes means for displaying the fact.

<作用>
従って、本発明は以上のような手段を講じたことにより、以下の作用を有する。
<Action>
Therefore, the present invention has the following effects by taking the above-described means.

第1の発明は、検索データを含む通信文を傍受日時順に並べた通信文リストから対象通信文を選択するための選択手段と、選択された対象通信文のヘッダ情報から、該対象通信文の固有情報と該対象通信文が参照した参照通信文の固有情報とを読み取るヘッダ情報読取手段と、参照通信文の固有情報に基づいて、該参照通信文を通信文記録手段から読み出し、傍受日時が新しい順に表示するための手段と、対象通信文の固有情報に基づいて、該対象通信文を参照した被参照通信文を通信文記録手段から読み出し、傍受日時が古い順に表示するための手段とを備えた構成により、通信内容を確認する際、検索データを入力後に送信元や送信先の条件等を改めて設定する必要がなく、ネットワークを流れる通信文の内容を容易に確認し得る通信監視記録装置を提供することができる。   According to a first aspect of the present invention, there is provided a selection means for selecting a target communication message from a communication message list in which communication messages including search data are arranged in order of interception date and time, and the header information of the selected target communication message. Header information reading means for reading the unique information and the unique information of the reference message referred to by the target message, and reading the reference message from the message recording means based on the unique information of the reference message. Means for displaying in the newest order, and means for reading out the referenced communication text referring to the target communication text from the communication text recording means based on the specific information of the target communication text, and displaying in order from the oldest intercepted date and time With this configuration, there is no need to set the source and destination conditions again after entering the search data when checking the communication content, and it is possible to easily check the content of communication text flowing through the network. It is possible to provide a recording apparatus.

第2の発明は、第1の発明に対応する作用に加え、通信文記録手段は、通信文として電子メールを記録し、ヘッダ情報読取手段は、電子メールの固有情報であるメッセージID(Message-ID)を読み取るので、ネットワークを流れる電子メールの内容を容易に確認することができる。   In the second invention, in addition to the operation corresponding to the first invention, the communication text recording means records an electronic mail as a communication text, and the header information reading means is a message ID (Message-) which is unique information of the electronic mail. ID) is read, so the contents of e-mails flowing through the network can be easily confirmed.

第3の発明は、第1の発明または第2の発明に対応する作用に加え、通信文記録手段は、通信文としてWebアクセス情報を記録し、ヘッダ情報読取手段は、Webアクセス情報の固有情報であるURL情報を読み取るので、ネットワークを流れるWebアクセス情報の内容を容易に確認することができる。   In the third invention, in addition to the operation corresponding to the first invention or the second invention, the communication text recording means records the Web access information as a communication text, and the header information reading means is the unique information of the Web access information. Because the URL information is read, the contents of the Web access information flowing through the network can be easily confirmed.

第4の発明は、第1の発明または第2の発明に対応する作用に加え、通信文記録手段は、通信文としてWebアクセス情報を記録し、ヘッダ情報読取部は、Webアクセス情報の固有情報であるクライアントIPアドレスを読み取るので、同一クライアントからのWebアクセス情報の内容を容易に確認する事ができる。   In the fourth invention, in addition to the operation corresponding to the first invention or the second invention, the communication sentence recording means records the Web access information as a communication sentence, and the header information reading unit is the unique information of the Web access information. Since the client IP address is read, the contents of the Web access information from the same client can be easily confirmed.

第5の発明は、第1の発明〜第4の発明に対応する作用に加え、通信文のヘッダ情報から、該通信文が暗号化された通信文であるか否かを判定する手段をさらに備えているので、暗号文がどのようなやり取りの中で通信されたのかを容易に確認することができる。   According to a fifth invention, in addition to the operations corresponding to the first to fourth inventions, means for determining whether or not the communication text is an encrypted communication text from the header information of the communication text is further provided. Since it is provided, it is possible to easily confirm in which exchange the ciphertext is communicated.

第6の発明は、第1の発明または第2の発明に対応する作用に加え、電子メール本文中にURL情報が記述されているか否かを判定するURL情報判定手段と、URL情報が記述されていると判定した場合、該URL情報に対応するWebアクセス情報を通信文記録手段から読み出して表示する手段とをさらに備えているので、電子メール本文中にURL情報が記述されていた場合、そのURL情報に対応するWebサイトを容易に調査することができる。   In the sixth invention, in addition to the operation corresponding to the first invention or the second invention, URL information determining means for determining whether or not URL information is described in the e-mail body, URL information is described If the URL information is described in the body of the email, the Web access information corresponding to the URL information is further read out from the message recording means and displayed. Web sites corresponding to URL information can be easily investigated.

第7の発明は、第1の発明、第3の発明、または第4の発明に対応する作用に加え、Webアクセス情報に電子メールのメールアドレス情報が記述されているか否かを判定するメールアドレス情報判定手段と、メールアドレス情報判定手段によりメールアドレス情報が記述されていると判定した場合、該メールアドレス情報を送信先とした電子メールを通信文記録手段から読み出して表示する手段とをさらに備えているので、Webアクセス情報内にメールアドレス情報が記述されていた場合、そのメールアドレス情報に対応する電子メール本文の内容を、容易に調査することができる。   The seventh invention is a mail address for judging whether or not the mail address information of the email is described in the Web access information in addition to the operation corresponding to the first invention, the third invention or the fourth invention. An information determination unit; and a unit that reads out and displays an e-mail addressed to the mail address information from the message recording unit when the mail address information determination unit determines that the mail address information is described. Therefore, if mail address information is described in the Web access information, the contents of the e-mail text corresponding to the mail address information can be easily investigated.

第8の発明は、第1の発明〜第7の発明の作用に加え、参照通信文の読み出しと被参照通信文の読み出しとは、操作画面上に表示されるアイコンを指定することにより実行されるので、通信文の内容確認の作業を容易に実行することができる。   In the eighth invention, in addition to the operations of the first to seventh inventions, the reading of the reference message and the reading of the referenced message are executed by designating an icon displayed on the operation screen. Therefore, it is possible to easily execute the work for checking the content of the communication text.

第9の発明は、第1の発明〜第8の発明の作用に加え、参照通信文の傍受日時が最も古い参照通信文である場合、その旨を表示する手段をさらに備えているので、表示されている通信文が一連の通信内で最初になされたものである事を、画面を切り替えることなく通信監視者に認識させることができる。   In the ninth aspect of the invention, in addition to the operations of the first to eighth aspects of the invention, when the reference communication sentence is the oldest reference communication sentence, a means for displaying the fact is further provided. It is possible to make the communication monitor recognize that the communication message being made is the first message made in a series of communication without switching the screen.

第10の発明は、第1の発明〜第9の発明の作用に加え、被参照通信文の傍受日時が最も新しい被参照通信文である場合、その旨を表示する手段をさらに備えているので、表示されている通信文が一連の通信内で最後になされたものである事を、画面を切り替えることなく通信監視者に認識させることができる。   In the tenth aspect of the present invention, in addition to the operations of the first to ninth aspects, when the intercepted date and time of the referenced message is the latest referenced message, the tenth invention further includes means for displaying that fact. The communication monitor can recognize that the displayed communication message is the last message in a series of communication without switching the screen.

本発明によれば、ネットワークを流れる通信文の内容を容易に確認し得る通信監視記録装置を提供できる。   ADVANTAGE OF THE INVENTION According to this invention, the communication monitoring recording device which can confirm the content of the communication sentence which flows through a network easily can be provided.

以下、図面を参照して本発明の実施形態を説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

<第1の実施形態>
(1−1.構成)
図1は本発明の第1の実施形態に係る通信監視記録装置10の構成を示す模式図である。
<First Embodiment>
(1-1. Configuration)
FIG. 1 is a schematic diagram showing a configuration of a communication monitoring and recording apparatus 10 according to the first embodiment of the present invention.

通信監視記録装置10は、ネットワークインタフェース部11とパケットデータキャプチャ部12・通信文再構築部13・通信文記録部14・データ入力部15・リスト作成部16・通信文表示部17・表示切替部20とを備えている。   The communication monitoring and recording apparatus 10 includes a network interface unit 11, a packet data capture unit 12, a communication sentence reconstruction unit 13, a communication sentence recording unit 14, a data input unit 15, a list creation unit 16, a communication sentence display unit 17, and a display switching unit. 20.

なお、通信監視記録装置10は、ハードウェア構成で実現可能であり、又はハードウェア構成とソフトウェア構成との組合せとしても実現可能となっている。後者の場合、ソフトウェア構成は、予めコンピュータ読み取り可能な記憶媒体又はネットワークから得られたプログラムがコンピュータにインストールされることにより、通信監視記録装置10としての各機能が実現される。   Note that the communication monitoring and recording apparatus 10 can be realized with a hardware configuration, or can be realized as a combination of a hardware configuration and a software configuration. In the latter case, each function as the communication monitoring and recording apparatus 10 is realized by installing a program obtained from a computer-readable storage medium or a network in advance in the software configuration.

ネットワークインタフェース部11は、監視対象のネットワークセグメント5と接続するものであり、ネットワークセグメント5上を流れるパケットを傍受する機能を有している。   The network interface unit 11 is connected to the network segment 5 to be monitored and has a function of intercepting packets flowing on the network segment 5.

パケットデータキャプチャ部12は、ネットワークインタフェース部11が傍受したパケットデータを取り込むものである。また、パケットデータキャプチャ部12は、取り込んだパケットデータを通信文再構築部13に送出する。   The packet data capture unit 12 captures packet data intercepted by the network interface unit 11. Further, the packet data capture unit 12 sends the captured packet data to the communication text reconstruction unit 13.

通信文再構築部13は、パケットデータキャプチャ部13により傍受された1つないし複数のパケットから通信文を再構築するものである。また、通信文再構築部13は、再構築した通信文を通信文記録部14に送出する。   The communication text reconstruction unit 13 reconstructs the communication text from one or more packets intercepted by the packet data capture unit 13. In addition, the communication text reconstruction unit 13 sends the reconstructed communication text to the communication text recording unit 14.

通信文記録部14は、ネットワークから傍受した通信文を「傍受日時」と関連付けて記録するメモリである。   The communication text recording unit 14 is a memory that records a communication text intercepted from the network in association with “interception date and time”.

具体的には、図2に示すように、通信文記録部14は、通信文が電子メールである場合、メールIDと傍受日時・送信元メールアドレス・送信先メールアドレス・メールの題名(Subject)・ヘッダ情報(Message-ID,In-Reply-To,References)・メール本文・添付ファイルとを関連付けて記録する。これらの情報を記録することにより、情報漏洩の追跡調査等が可能となる。   Specifically, as shown in FIG. 2, when the communication sentence is an electronic mail, the communication sentence recording unit 14 receives the mail ID, the intercept date / time, the transmission source mail address, the transmission destination mail address, and the mail subject (Subject).・ Header information (Message-ID, In-Reply-To, References) ・ Mail text ・ Attached files are recorded in association. By recording these pieces of information, it is possible to conduct a follow-up survey of information leakage.

補足すると、通信文が電子メールである場合、電子メールのヘッダ情報は図3(A)のように示され、“メッセージID(Message-ID)”が通信文の固有情報として用いられる。また、ある電子メールに対して返信すると、図3(B)および図3(C)に示すように、返信メールのヘッダ情報には、“References”フィールドF1や“In-Reply-To”フィールドF2が追加され、これらのフィールドF1・F2に送信元メールのMessage-IDが記述される。それゆえ、これらの電子メールのヘッダ情報を記録しておくことにより、メールの追跡調査等が可能となる。なお、上述した電子メールのヘッダ情報の仕様は、RFC2822に基づくものである。   Supplementally, when the communication text is an electronic mail, the header information of the electronic mail is shown as in FIG. 3A, and “Message ID” is used as the unique information of the communication text. When a reply is made to a certain electronic mail, as shown in FIGS. 3B and 3C, the header information of the reply mail includes a “References” field F1 and an “In-Reply-To” field F2. Is added, and the Message-ID of the sender mail is described in these fields F1 and F2. Therefore, by recording the header information of these e-mails, it is possible to investigate the mails. Note that the specification of the header information of the e-mail described above is based on RFC2822.

また、通信文記録部14は、通信文がWebアクセス情報である場合、アクセスIDと傍受日時・クライアントIPアドレス・サーバIPアドレス・サーバポート番号・リクエストしたURL情報・メソッド・Referer情報・リプライデータとを関連付けて記録する。   In addition, when the communication text is Web access information, the communication text recording unit 14 includes an access ID, intercepted date / time, client IP address, server IP address, server port number, requested URL information, method, Referer information, reply data, and the like. Record the association.

すなわち、通信文がWebアクセス情報である場合、Webアクセス情報は図4(A)のように示され、“URL情報”、あるいは、“クライアントIPアドレス”および“傍受日時”が通信文の固有情報として用いられる。あるWebサイトからリンクして、他のWebサイトに接続した場合には、HTTPヘッダ情報に、“Referer”フィールドが追加され、リンク元のWebサイトのURL情報が記述される。例えば、図4(A)のHTTPヘッダ情報により指定されるWebサイト(http://www.aaaaa.com/)からリンクして、図4(B)のHTTPヘッダ情報により指定されるWebサイト(http://www.aaaaa.coml/update/20061031/008.html)にアクセスした場合には、図4(B)のHTTPヘッダ情報のRefererフィールドF3に、図4(A)のHTTPヘッダ情報により指定されるWebサイトのURL情報(http://www.aaaaa.com/)が書き込まれる。また、一般的に複数のWebページを連続してアクセスする場合、それぞれのWebアクセスのクライアントIPアドレスは同一となる。それゆえ、これらのHTTPヘッダ情報をWebアクセス情報として記録しておくことにより、Webアクセス情報の追跡調査等が可能となる。なお、これらのWebアクセス情報の仕様は、RFC2616に基づくものである。   That is, when the communication text is Web access information, the Web access information is shown as shown in FIG. 4A, and “URL information” or “client IP address” and “interception date” are specific information of the communication text. Used as When a link is made from a certain website and connected to another website, a “Referer” field is added to the HTTP header information, and the URL information of the link source website is described. For example, the Web site (http://www.aaaaa.com/) specified by the HTTP header information in FIG. 4A is linked to the Web site specified by the HTTP header information in FIG. When accessing http: //www.aaaaa.coml/update/20061031/008.html), the Referer field F3 of the HTTP header information in FIG. 4B is added to the HTTP header information in FIG. URL information (http://www.aaaaa.com/) of the specified Web site is written. In general, when a plurality of Web pages are accessed continuously, the client IP address of each Web access is the same. Therefore, by recording these HTTP header information as Web access information, it is possible to follow up the Web access information. Note that the specifications of these Web access information are based on RFC2616.

データ入力部15は、通信監視記録装置10に各種データを入力するためのものであり、マウスやキーボード等によりデータが入力される。   The data input unit 15 is used to input various data to the communication monitoring / recording apparatus 10, and data is input by a mouse, a keyboard, or the like.

詳しくは、データ入力部15は、「検索データ」を入力可能とする機能を有する。例えば、図5に示すように、通信文表示部17に表示されるキーワード入力画面上で、調査対象とするキーワードを検索データとして入力することができる。入力された検索データは、リスト作成部16に送出される。   Specifically, the data input unit 15 has a function that allows “search data” to be input. For example, as shown in FIG. 5, a keyword to be investigated can be input as search data on the keyword input screen displayed on the communication text display unit 17. The input search data is sent to the list creation unit 16.

また、データ入力部15は、後述するリスト作成部16により作成された通信文リストから、監視対象の「対象通信文」を選択することができる機能を有する。すなわち、検索データが入力された場合、条件に合致する通信文からなる通信文リストがリスト作成部16により作成され、通信文表示部17に表示される。この際、例えば図6に示すように、データ入力部15を介して、通信文リストから一の通信文をクリックする等により、通信文を選択することができる。選択された対象通信文の情報は、表示切替部20へ送出される。なお、通信文リストから対象通信文を選択する方法としては、マウスのようなポインティングデバイスによってクリックする方法に限られず、通信文リスト上の通信文に対応付けられた番号を指定する方法などであってもよい。   Further, the data input unit 15 has a function of selecting a “target communication text” to be monitored from a communication text list created by the list creation unit 16 described later. That is, when search data is input, a communication sentence list including communication sentences matching the conditions is created by the list creation unit 16 and displayed on the communication sentence display unit 17. At this time, for example, as shown in FIG. 6, the communication text can be selected by clicking one communication text from the communication text list via the data input unit 15. Information on the selected target communication message is sent to the display switching unit 20. Note that the method of selecting a target communication message from the communication message list is not limited to a method of clicking with a pointing device such as a mouse, but may be a method of specifying a number associated with a communication message on the communication message list. May be.

さらに、データ入力部15は、通信文切替情報の選択を可能とする機能を有する。ここで、「通信文切替情報」とは、通信文表示部17に表示される通信文を他の通信文に切り替えるための情報であり、“直前通信文切替情報”と“直後通信文切替情報”との2種類の情報からなる。例えば図7において、“前”と書かれた左向き矢印のアイコン(以下「前アイコン」ともいう)Y1がクリックされると、直前通信文切替情報が表示切替部20に送出される。また図7において、“後”と書かれた右向き矢印のアイコン(以下「後アイコン」ともいう)Y2がクリックされると、直後通信文切替情報が表示切替部20に送出される。なお、通信文切替情報の選択は、任意の選択手段によって可能であり、上記アイコンY1・Y2に限られるものではない。   Furthermore, the data input unit 15 has a function that enables selection of communication text switching information. Here, “communication text switching information” is information for switching the communication text displayed on the communication text display unit 17 to another communication text, and “immediate communication text switching information” and “immediate communication text switching information”. "And two types of information. For example, in FIG. 7, when a left arrow icon (hereinafter also referred to as “previous icon”) Y <b> 1 written as “Previous” is clicked, the immediately previous message switching information is sent to the display switching unit 20. Further, in FIG. 7, when a right arrow icon (hereinafter also referred to as “back icon”) Y <b> 2 written as “back” is clicked, immediately after message switching information is sent to the display switching unit 20. Note that the selection of the message switching information can be performed by any selection means, and is not limited to the icons Y1 and Y2.

リスト作成部16は、データ入力部15からの検索データを受け取ると、通信文記録部14に記録された通信文から検索データを含む通信文を読み出し、該読み出した通信文を傍受日時順に並べた「通信文リスト」を作成するものである。通信文リストは、例えば図6に示されるような一覧表形式で表示される。この例では、PaulからJosephに宛てたメール(通信文M1)から、MarkからJohnに宛てたメール(通信文M4)までの4件が一覧として表示されている。なお、検索データを含む通信文の検索は、一般的な全文検索アルゴリズムなどを用いた方法により実行することができる。また、リスト作成部16は、作成した通信文リストを通信文表示部17に送出する。   Upon receiving the search data from the data input unit 15, the list creation unit 16 reads the communication text including the search data from the communication text recorded in the communication text recording unit 14 and arranges the read communication texts in the order of the intercept date and time. A "communication message list" is created. The communication text list is displayed in a list form as shown in FIG. 6, for example. In this example, four items from mail (communication message M1) addressed to Paul from Joseph to mail (communication message M4) addressed to Mark from John are displayed as a list. Note that the retrieval of the communication text including the retrieval data can be executed by a method using a general full text retrieval algorithm or the like. The list creation unit 16 sends the created communication text list to the communication text display unit 17.

通信文表示部17は、通信文記録部14に記録された通信文を表示するためのディスプレイ等である。例えば、通信文リスト作成部16から通信文リストを受け取ると、その通信文リストを表示する(図6参照)。また、データ入力部15により、通信文リストから一の通信文が対象通信文として選択された場合、その対象通信文の本文の内容を表示する(図7参照)。   The communication text display unit 17 is a display or the like for displaying the communication text recorded in the communication text recording unit 14. For example, when a communication text list is received from the communication text list creation unit 16, the communication text list is displayed (see FIG. 6). In addition, when one communication sentence is selected as a target communication sentence from the communication sentence list by the data input unit 15, the content of the text of the target communication sentence is displayed (see FIG. 7).

表示切替部20は、ヘッダ情報読取部21・直前通信文切替部22・直後通信文切替部23を具備し、通信文表示部17の表示画面を切り替える機能を有する。後述するように、表示切替部20は、前アイコンY1あるいは後アイコンY2がデータ入力部15を介して選択された場合に送出される直前通信文切替情報あるいは直後通信文切替情報に応じて、通信文表示部17の表示を切り替える。   The display switching unit 20 includes a header information reading unit 21, an immediately preceding communication text switching unit 22, and an immediately following communication text switching unit 23, and has a function of switching the display screen of the communication text display unit 17. As will be described later, the display switching unit 20 performs communication according to the immediately preceding message switching information or the immediately following message switching information transmitted when the previous icon Y1 or the subsequent icon Y2 is selected via the data input unit 15. The display of the sentence display unit 17 is switched.

ヘッダ情報読取部21は、データ入力部15により選択された対象通信文のヘッダ情報から、該対象通信文の固有情報と、該対象通信文が参照した「参照通信文」の固有情報とを読み取るものである。   The header information reading unit 21 reads, from the header information of the target communication text selected by the data input unit 15, the specific information of the target communication text and the specific information of the “reference communication text” referred to by the target communication text. Is.

ここで、通信文が電子メールである場合、その通信文の固有情報としては、“Message-ID”が用いられる。それゆえ、参照通信文の固有情報として、対象通信文の“References”フィールドF1あるいは“In-Reply-To”フィールドF2に記述されたMessage-IDが読み取られる。一方、通信文がWebアクセス情報である場合は、その通信文の固有情報として、“URL情報”、あるいは、“クライアントIPアドレス”および“傍受日時”が読み出される。   Here, when the communication text is an electronic mail, “Message-ID” is used as unique information of the communication text. Therefore, the Message-ID described in the “References” field F1 or “In-Reply-To” field F2 of the target communication message is read as unique information of the reference communication message. On the other hand, when the communication text is Web access information, “URL information” or “client IP address” and “interception date and time” are read as unique information of the communication text.

また、ヘッダ情報読取部21は、データ入力部15から通信文切替情報を受け取る。この際、通信文切替情報が“直前通信文切替情報”である場合、ヘッダ情報から読み取った参照通信文の固有情報であるMessage-IDやURL情報、あるいは、クライアントIPアドレスと傍受日時を、直前通信文切替部22に送出する。一方、通信文切替情報が“直後通信文切替情報”である場合、ヘッダ情報から読み取った通信文の固有情報であるMessage-IDやURL情報、あるいは、クライアントIPアドレスと傍受日時を、直後通信文切替部23に送出する。   Further, the header information reading unit 21 receives the message switching information from the data input unit 15. At this time, if the message switching information is “immediate message switching information”, the message-ID and URL information, which is the unique information of the reference message read from the header information, or the client IP address and intercepted date and time It is sent to the message switching unit 22. On the other hand, when the message switching information is “immediate message switching information”, the message-ID and URL information, which is the unique information of the message read from the header information, or the client IP address and the intercepted date and time are displayed. It is sent to the switching unit 23.

直前通信文切替部22は、ヘッダ情報読取部21から参照通信文の固有情報を受け取ると、その参照通信文の固有情報に基づいて、該参照通信文を通信文記録部14から読み出す機能と、読み出した参照通信文を、傍受日時が新しい順に通信文表示部17に表示する機能とを有するものである。例えば図7において、前アイコンY1がクリックされて直前通信文切替情報が選択されると、直前通信文切替部22は、通信文表示部17に表示されている電子メールM1のReferencesフィールドおよびIn-Reply-Toフィールドに記述されたMessage-IDを読み出す。続いて、読み出したMessage-IDに対応する電子メールを、通信文記録部14に記録された電子メールの中から検索する。そして、検索した電子メールのうち、通信文表示部17に表示されている電子メールM1の傍受日時に最も近い傍受日時の電子メールを通信文表示部17に表示する。   The immediately preceding message switching unit 22 receives the unique information of the reference message from the header information reading unit 21, and reads the reference message from the message recording unit 14 based on the unique information of the reference message. It has a function of displaying the read reference communication text on the communication text display unit 17 in the order of the latest intercept date and time. For example, in FIG. 7, when the previous icon Y1 is clicked and the immediately preceding message switching information is selected, the immediately preceding message switching unit 22 displays the References field of the email M1 displayed in the message display unit 17 and the In- Read the Message-ID described in the Reply-To field. Subsequently, the electronic mail corresponding to the read Message-ID is searched from the electronic mail recorded in the communication text recording unit 14. Then, of the retrieved e-mails, an e-mail with an intercept date and time closest to the e-mail and date of the e-mail M1 displayed on the communication message display unit 17 is displayed on the communication message display unit 17.

またWebアクセス情報の場合は、通信文表示部17に表示されているWebアクセスW1のRefererフィールドに記述されたURL情報を読み出す。続いて、読み出したURL情報に対応するWebアクセスを通信文記録部14に記録されたWebアクセスの中から検索する。そして、検索したWebアクセスのうち、通信文表示部17に表示されているWebアクセスW1の傍受日時に最も近い傍受日時のWebアクセスを通信文表示部17に表示する。   In the case of Web access information, the URL information described in the Referer field of Web access W1 displayed on the message display unit 17 is read. Subsequently, the Web access corresponding to the read URL information is searched from the Web access recorded in the communication message recording unit 14. Then, of the searched web accesses, the web access having the intercept date and time closest to the intercept date and time of the web access W1 displayed on the message display portion 17 is displayed on the message display portion 17.

なおWebアクセス情報の場合は、通信文表示部17に表示されているWebアクセスW1のクライアントIPアドレスと傍受日時を読み出す。続いて、読み出したクライアントIPアドレスに対応するWebアクセスを通信文記録部14に記録されたWebアクセスの中から検索する。そして、検索したWebアクセスのうち、通信文表示部17に表示されているWebアクセスW1の傍受日時以前でWebアクセスW1の傍受日時に最も近い傍受日時のWebアクセスを通信文表示部17に表示するとしてもよい。   In the case of Web access information, the client IP address and intercept date and time of Web access W1 displayed on the communication message display unit 17 are read. Subsequently, the Web access corresponding to the read client IP address is searched from the Web access recorded in the communication message recording unit 14. Then, of the retrieved web accesses, the web access of the intercepted date and time closest to the intercepted date and time of the web access W1 before the intercepted date and time of the web access W1 displayed on the communicated text display unit 17 is displayed on the communicated text display unit 17. It is good.

直後通信文切替部23は、ヘッダ情報読取部21から対象通信文の固有情報を受け取ると、その対象通信文の固有情報に基づいて、該対象通信文を参照した被参照通信文を通信文記録部14から読み出す機能と、読み出した被参照通信文を、傍受日時が古い順に通信文表示部17に表示する機能とを有するものである。これにより、通信文表示部17に表示されている通信文の傍受日時に最も近い傍受日時の通信文が表示される。なお、「被参照通信文」とは、通信文が電子メールの場合、ReferencesフィールドあるいはIn-Reply-Toフィールドに対象通信文のMessage-IDが記述された通信文のことである。また、通信文がWebアクセスの場合、Refererフィールドに対象通信文のURL情報が記述された通信文、あるいはクライアントIPアドレスが対象通信文のクライアントIPアドレスと同一であり傍受日時が対象通信文の傍受日時以降の通信文の事である。   Immediately after the communication message switching unit 23 receives the unique information of the target communication message from the header information reading unit 21, based on the unique information of the target communication message, the communication message recording that refers to the target communication message is recorded. It has a function to read from the unit 14 and a function to display the read referenced communication text on the communication text display unit 17 in the order of the intercepted date and time. Thereby, the communication text of the intercept date and time closest to the intercept date and time of the communication text displayed on the communication text display unit 17 is displayed. The “referenced communication text” is a communication text in which the Message-ID of the target communication text is described in the References field or In-Reply-To field when the communication text is an e-mail. If the message is Web access, the message containing the URL information of the target message in the Referer field or the client IP address is the same as the client IP address of the target message and the intercept date and time is intercepted. It is a message after the date and time.

(1−2.動作)
次に本発明第1の実施形態に係る通信監視記録装置10の動作について説明する。
(1-2. Operation)
Next, the operation of the communication monitoring / recording apparatus 10 according to the first embodiment of the present invention will be described.

(通信文の傍受)
まず、通信監視記録装置10が通信文を傍受する動作について図8を用いて説明する。
(Interception of correspondence)
First, an operation in which the communication monitoring and recording apparatus 10 intercepts a communication sentence will be described with reference to FIG.

始めに、通信監視記録装置10がネットワークセグメント5と接続すると、ネットワークセグメント5上を流れるパケットの傍受を開始する(ステップS1,S2)。例えば、あるユーザがネットワークセグメント5上で、電子メールの送信を行なった場合、その電子メールを構成する複数のパケットがネットワークインタフェース部11を介して傍受される。   First, when the communication monitoring and recording apparatus 10 is connected to the network segment 5, it starts to intercept packets flowing on the network segment 5 (steps S1 and S2). For example, when a certain user transmits an e-mail on the network segment 5, a plurality of packets constituting the e-mail are intercepted via the network interface unit 11.

続いて、ネットワークインタフェース部11で傍受されたパケットから通信文が再構築される(ステップS3)。例えば、ネットワークインタフェース部11で傍受されたパケットが、パケットデータキャプチャ部12によって通信監視記録装置10に取り込まれ、通信文再構築部13により、あるユーザが送信した電子メールが再構築される。   Subsequently, the communication text is reconstructed from the packet intercepted by the network interface unit 11 (step S3). For example, a packet intercepted by the network interface unit 11 is taken into the communication monitoring and recording device 10 by the packet data capture unit 12, and an email transmitted by a certain user is reconstructed by the communication text reconstruction unit 13.

通信文再構築部13で通信文が再構築されると、再構築された通信文が通信文記録部14に記録される(ステップS4)。通信文記録部14に通信文を記録する際には、リスト作成部16や表示切替部20が通信文を検索する助けとなるような索引データが関連付けられて記録される。また、送信元や送信先のネットワークアドレスなどの情報も関連付けられて記録される。   When the communication text is reconstructed by the communication text reconstruction unit 13, the reconstructed communication text is recorded in the communication text recording unit 14 (step S4). When the communication text is recorded in the communication text recording unit 14, index data that helps the list creation unit 16 and the display switching unit 20 to search for the communication text is recorded in association with each other. Information such as the network address of the transmission source and the transmission destination is also recorded in association with each other.

このようにして、通信監視記録装置10がネットワークセグメント5との接続を解除するまで、通信文記録部14に通信文が記録される(ステップS5)。   In this way, the communication text is recorded in the communication text recording unit 14 until the communication monitoring and recording apparatus 10 releases the connection with the network segment 5 (step S5).

(通信文の調査)
次に、通信監視記録装置10による通信文の調査手順について図9を用いて説明する。
(Investigation of correspondence)
Next, a procedure for investigating a communication sentence by the communication monitoring and recording apparatus 10 will be described with reference to FIG.

始めに、通信監視者の操作により、データ入力部15を介して、検索データであるキーワードが入力される(ステップT1)。例えば、図5に示すようなキーワード入力画面において、キーワードが入力される。これにより、データ入力部15からリスト作成部16に検索データとしてキーワードが送出される。   First, a keyword as search data is input through the data input unit 15 by an operation of a communication monitor (step T1). For example, a keyword is input on a keyword input screen as shown in FIG. As a result, the keyword is sent from the data input unit 15 to the list creation unit 16 as search data.

続いて、リスト作成部16において、データ入力部15により入力されたキーワードを含む通信文が通信文記録部14から読み出され、その読み出された通信文の一覧である通信文リストが作成されて、通信文表示部17に表示される(ステップT2)。ここでは、図6に示すような電子メールの一覧が通信文リストとして表示される。   Subsequently, in the list creation unit 16, a communication sentence including the keyword input by the data input unit 15 is read from the communication sentence recording unit 14, and a communication sentence list that is a list of the read communication sentences is created. Is displayed on the communication text display unit 17 (step T2). Here, a list of e-mails as shown in FIG. 6 is displayed as a communication text list.

そして、データ入力部15を介して、通信文リストから一の通信文が対象通信文として選択されると、選択された対象通信文の内容が通信文表示部17に表示される(ステップT3,T4)。例えば、図6において、通信文表示部17の画面上で電子メールM1が選択されると、図7に示すように、選択された電子メールM1本文の内容が通信文表示部17に表示される。また、この電子メールM1の内容とともに、前アイコンY1と後アイコンY2とが画面上に表示される。   Then, when one communication sentence is selected as a target communication sentence from the communication sentence list via the data input unit 15, the content of the selected target communication sentence is displayed on the communication sentence display unit 17 (step T3, T3). T4). For example, in FIG. 6, when the email M1 is selected on the screen of the communication text display unit 17, the content of the selected text of the email M1 is displayed on the communication text display unit 17, as shown in FIG. . A front icon Y1 and a back icon Y2 are displayed on the screen together with the contents of the e-mail M1.

このような通信文表示部17の画面上で、データ入力部15を介して、“前アイコンY1”が選択されると、直前通信文切替情報がヘッダ情報読取部21へ送出される。   When the “previous icon Y1” is selected via the data input unit 15 on the screen of the communication message display unit 17 as described above, the immediately previous communication message switching information is sent to the header information reading unit 21.

この直前通信文切替情報をヘッダ情報読取部21が受け取ると、通信文表示部17に表示されている対象通信文のヘッダ情報に基づいて、参照通信文の固有情報が通信文記録部14から読み出される(ステップT5,T6)。例えば、対象通信文が電子メールの場合には、電子メールM1のヘッダ情報におけるIn-Reply-ToフィールドあるいはReferencesフィールドから参照通信文の固有情報であるMessage-IDが読み出される。   When the header information reading unit 21 receives the immediately preceding message switching information, the unique information of the reference message is read from the message recording unit 14 based on the header information of the target message displayed on the message display unit 17. (Steps T5 and T6). For example, when the target communication message is an e-mail, Message-ID that is unique information of the reference communication message is read from the In-Reply-To field or the References field in the header information of the e-mail M1.

続いて、この参照通信文の固有情報に基づいて、通信文記録部14から参照通信文が読み出される(ステップT7)。   Subsequently, the reference message is read from the message recording unit 14 based on the unique information of the reference message (step T7).

そして、直前通信文切替部22により、読み出された参照通信文のうち、通信文記録部14に記録された傍受日時の最も新しい参照通信文が「直前通信文」として通信文表示部17に表示される(ステップT8)。   Then, among the read reference communication texts read out by the previous communication text switching unit 22, the reference communication text with the latest intercept date and time recorded in the communication text recording unit 14 is displayed in the communication text display unit 17 as the “preceding communication text”. It is displayed (step T8).

一方、ステップT5において、データ入力部15を介して、“後アイコンY2”が選択された場合、ヘッダ情報読取部21により、通信文表示部17に表示されている対象通信文のヘッダ情報から、この対象通信文の固有情報が読み出される(ステップT5,T9)。例えば、通信文が電子メールの場合、ヘッダ情報に含まれるMessage-IDが電子メールM1の固有情報として読み出される。   On the other hand, when “after icon Y2” is selected via the data input unit 15 in step T5, the header information reading unit 21 uses the header information of the target communication message displayed on the communication message display unit 17 to The unique information of the target message is read (steps T5 and T9). For example, when the communication text is an email, the Message-ID included in the header information is read as unique information of the email M1.

続いて、この対象通信文の固有情報に基づいて、通信文記録部14から被参照通信文が読み出される(ステップT10)。例えば電子メールの場合には、In-Reply-ToフィールドあるいはReferencesフィールドに電子メールM1のMessage-IDが記述された電子メールが通信文記録部14から読み出される。   Subsequently, the referenced message is read from the message recording unit 14 based on the unique information of the target message (step T10). For example, in the case of an electronic mail, an electronic mail in which the Message-ID of the electronic mail M1 is described in the In-Reply-To field or the References field is read from the communication text recording unit 14.

そして、直後通信文切替部23により、読み出された被参照通信文のうち、通信文記録部14に記録された傍受日時の最も古い被参照通信文が「直後通信文」として通信文表示部17に表示される(ステップT11)。   Then, among the read-referenced communication texts read out by the immediately-communication message switching unit 23, the oldest referenced communication message recorded in the communication message recording unit 14 is the communication message display unit as “immediately-communication message”. 17 (step T11).

(1−3.効果)
以上説明したように、本実施形態に係る通信監視記録装置10は、検索データを含む通信文を傍受日時順に並べた通信文リストから、いずれかの通信文を対象通信文として選択するためのデータ入力部15と、その対象通信文のヘッダ情報から、該対象通信文の固有情報と、該対象通信文が参照した参照通信文の固有情報とを読み取るヘッダ情報読取部21と、参照通信文の固有情報に基づいて、該参照通信文を通信文記録部14から読み出し、傍受日時が最も新しいものを表示するための直前通信文切替部22と、対象通信文の固有情報に基づいて、該対象通信文を参照した被参照通信文を通信文記録部14から読み出し、傍受日時が最も古いものを表示するための直後通信部23とを備えた構成により、通信内容を確認する際、検索データを入力後に送信元や送信先の条件等を改めて設定する必要がなく、ネットワークを流れる通信文の内容を容易に確認できる。
(1-3. Effect)
As described above, the communication monitoring and recording apparatus 10 according to the present embodiment selects data for selecting any communication sentence as a target communication sentence from a communication sentence list in which communication sentences including search data are arranged in order of interception date and time. From the input unit 15 and the header information of the target message, the header information reading unit 21 that reads the unique information of the target message and the unique information of the reference message referred to by the target message, the reference message Based on the unique information, the reference message is read from the message recording unit 14, and the immediately preceding message switching unit 22 for displaying the latest intercepted date and time, and the target message based on the unique information of the target message When the communication content is confirmed by the configuration including the immediately-communication unit 23 for reading the referred communication message referring to the communication message from the communication message recording unit 14 and displaying the oldest intercepted date and time, the search data It is not necessary to newly set the source or destination of the conditions or the like after the input, the contents of the communication text flowing network readily ascertainable.

また、通信監視記録装置10において、通信文記録部14は、通信文として電子メールを記録し、ヘッダ情報読取部21は、電子メールの固有情報であるメッセージID(Message-ID)を読み取るので、ネットワークを流れる電子メールの内容を容易に確認することができる。   In the communication monitoring and recording apparatus 10, the communication text recording unit 14 records an electronic mail as a communication text, and the header information reading unit 21 reads a message ID (Message-ID) that is unique information of the electronic mail. The contents of e-mail flowing through the network can be easily confirmed.

さらに、通信監視記録装置10において、通信文記録部14は、通信文としてWebアクセス情報を記録し、ヘッダ情報読取部21は、Webアクセス情報の固有情報であるURL情報を読み取るので、ネットワークを流れるWebアクセス情報の内容を容易に確認することができる。   Further, in the communication monitoring and recording apparatus 10, the communication text recording unit 14 records Web access information as a communication text, and the header information reading unit 21 reads URL information that is unique information of the Web access information, and thus flows through the network. The contents of Web access information can be easily confirmed.

また、通信監視記録装置10では、参照通信文の読み出しと被参照通信文の読み出しとは、操作画面上に表示されるアイコンY1・Y2をクリックすることにより実行されるので、通信文の内容確認の作業を容易に実行することができる。   In the communication monitoring and recording apparatus 10, the reading of the reference message and the reading of the referenced message are executed by clicking the icons Y1 and Y2 displayed on the operation screen. Can be easily performed.

なお、本実施形態において、前アイコンY1または後アイコンY2がデータ入力部15により選択されたときに、直前通信文または直後通信文が通信文記録部14から検索されているが、これらの直前通信文または直後通信文は、通信文毎に予め関連付けて記録しておいてもよい。この場合、通信文記録部14は、直前通信文のIDと直後通信文のIDとを通信文毎に記録する。具体的には、図10に示すように、電子メールの場合であれば、直前のメールIDと直後のメールIDとを個々のメールIDと関連付けて記録する。また、Webアクセス情報の場合であれば、直前のアクセスIDと直後のアクセスIDとを個々のアクセスIDと関連付けて記録する。また、図11に概念を示すように、参照/被参照の関係を通信文のIDの木構造として記録していく事も考えられる。これにより、通信監視者が、直前になされた通信文や、直後になされた通信文の閲覧を試みたときの応答速度を向上できる。   In the present embodiment, when the previous icon Y1 or the subsequent icon Y2 is selected by the data input unit 15, the immediately preceding communication sentence or the immediately following communication sentence is retrieved from the communication sentence recording unit 14, but these immediately preceding communications The sentence or the immediately following communication sentence may be recorded in association with each communication sentence in advance. In this case, the message recording unit 14 records the ID of the immediately preceding message and the ID of the immediately following message for each message. Specifically, as shown in FIG. 10, in the case of an electronic mail, the immediately preceding mail ID and the immediately following mail ID are recorded in association with individual mail IDs. In the case of Web access information, the immediately preceding access ID and the immediately following access ID are recorded in association with each access ID. Further, as shown in the concept in FIG. 11, it is conceivable to record the reference / referenced relationship as a tree structure of a communication text ID. As a result, it is possible to improve the response speed when the communication monitor attempts to view the communication text made immediately before or the communication text made immediately after.

なお、本実施形態において、通信文が電子メールである場合には、通信文の固有情報としてMessage-IDを用いているが、送信者情報を利用する事もできる。すなわち、直前通信文切替情報が選択された場合、送信元のメールアドレスに対応するメールを表示し、直後通信文切替情報が選択された場合、送信先のメールアドレスに対応するメールを表示してもよい。   In the present embodiment, when the communication text is an email, Message-ID is used as unique information of the communication text, but sender information can also be used. That is, when the immediately preceding message switching information is selected, an email corresponding to the sender's email address is displayed. When immediately after the message switching information is selected, an email corresponding to the destination email address is displayed. Also good.

また、本実施形態に係る通信文表示部17は、通信文の内容とともに前アイコンY1と後アイコンY2とを表示するが、参照通信文または被参照通信文が存在しない場合には、アイコンを表示しないようにしてもよい。例えば、直前通信文が存在しない場合、図12に示すように前アイコンY1を表示しないようにしたり、図13に示すように前アイコンY1を実線ではなく破線で表示したりする。これにより、通信監視者は、通信文表示部17に表示されている通信文が一連の通信内で最初になされたものである事や、最後になされたものである事を画面を切り替えることなく認識できる。結果として、情報漏洩を発見する作業や漏洩した情報の詳細を確認する作業等を速やかに行なうことができる。   Further, the communication message display unit 17 according to the present embodiment displays the previous icon Y1 and the rear icon Y2 together with the content of the communication message, but displays an icon when there is no reference message or referenced message. You may make it not. For example, when there is no immediately preceding communication sentence, the previous icon Y1 is not displayed as shown in FIG. 12, or the previous icon Y1 is displayed as a broken line instead of a solid line as shown in FIG. Thereby, the communication monitor can switch the screen to indicate that the communication message displayed on the communication message display unit 17 is the first message in the series or the last message. Can be recognized. As a result, it is possible to quickly perform operations such as finding information leakage and confirming details of leaked information.

<第2の実施形態>
図14は本発明の第2の実施形態に係る通信監視記録装置10Tの構成を示す模式図である。なお、既に説明した部分と同一部分には同一符号を付し、特に説明がない限りは重複した説明を省略する。また、以下の各実施形態も同様にして重複した説明を省略する。
<Second Embodiment>
FIG. 14 is a schematic diagram showing a configuration of a communication monitoring and recording apparatus 10T according to the second embodiment of the present invention. In addition, the same code | symbol is attached | subjected to the part same as the already demonstrated part, and the overlapping description is abbreviate | omitted unless there is particular description. In addition, the following description is also omitted in the following embodiments.

すなわち、本実施形態に係る通信監視記録装置10Tは、表示切替部20が暗号文判定部24をさらに備えている。   That is, in the communication monitoring and recording apparatus 10T according to the present embodiment, the display switching unit 20 further includes a ciphertext determination unit 24.

暗号文判定部24は、通信文のヘッダ情報から、該通信文が暗号化された通信文であるか否かを判定するものである。   The ciphertext determination unit 24 determines whether or not the communication text is an encrypted communication text from the header information of the communication text.

例えば、電子メールの場合、メールヘッダの“Content-Type”フィールドに記述された情報に基づいて、メール本文が暗号化された「暗号メール」であるか否かを判定する。詳しくは、PGP(Pretty Good Privacy)と呼ばれる処理系の場合、図15に示すように、メールヘッダH1の“Content-Type”フィールドR1に、「multipart/encrypted」の文字列が記述される。そこで、この文字列の有無を調べることにより、暗号メールであるか否かを判定する。また、SMIME(Secure/Multipurpose Internet Mail Extensions)と呼ばれる処理系の場合、図16に示すように、メールヘッダH2の“Content-Type”フィールドR2に「application/x-pkcs7-mime」の文字列が記述される。そこで、この文字列の有無を調べることにより、暗号メールであるか否かを判定する。なお、暗号文判定部24は、これら以外の実装においても、“Content-Type”フィールドの情報に基づいて暗号文であるか否かを判定することができる。   For example, in the case of an electronic mail, it is determined whether or not the mail body is an encrypted “encrypted mail” based on information described in the “Content-Type” field of the mail header. Specifically, in the case of a processing system called PGP (Pretty Good Privacy), as shown in FIG. 15, the character string “multipart / encrypted” is described in the “Content-Type” field R1 of the mail header H1. Therefore, by checking the presence / absence of this character string, it is determined whether or not it is an encrypted mail. In the case of a processing system called SMIME (Secure / Multipurpose Internet Mail Extensions), as shown in FIG. 16, the character string “application / x-pkcs7-mime” is stored in the “Content-Type” field R2 of the mail header H2. Described. Therefore, by checking the presence / absence of this character string, it is determined whether or not it is an encrypted mail. Note that the ciphertext determination unit 24 can determine whether or not the ciphertext is based on the information in the “Content-Type” field even in other implementations.

また、暗号文判定部24は、選択された通信文が暗号文である場合には、その旨を通信文表示部17に送出する。これを受けて、通信文表示部17では、図17に示すように、選択された通信文に代えて、「これは暗号メールです。」等の暗号化された通信文である旨を表示する。   Further, when the selected communication text is a cipher text, the cipher text determination unit 24 sends a message to that effect to the communication text display unit 17. In response to this, the message display unit 17 displays that the message is an encrypted message such as “This is an encrypted mail” instead of the selected message as shown in FIG. .

以上説明したように、本実施形態に係る通信監視記録装置10Tは、暗号文判定部24を備えているので、選択された対象通信文が暗号文である場合には、「暗号文である旨」を表示することができる。これにより、当該暗号文がどのようなやり取りの中で通信されたのかを容易に確認することができ、情報漏洩を発見したり、漏洩した情報の詳細を確認したりするための作業を速やかに行なうことができる。   As described above, the communication monitoring / recording device 10T according to the present embodiment includes the ciphertext determination unit 24. Therefore, when the selected target communication message is a ciphertext, “the fact that it is a ciphertext”. "Can be displayed. As a result, it is possible to easily confirm in what kind of exchange the ciphertext was communicated, and promptly perform work to find information leakage or confirm details of leaked information Can be done.

なお、本実施形態に係る暗号文判定部24は、電子メールを例にとって説明しているが、これに限られるものではない。例えば、暗号文判定部24は、Webアクセス情報のサーバポート番号情報あるいはWebアクセス情報のメソッド情報に基づいて、当該通信がSSL(Secure Sockets Layer)などの暗号通信であるか否かを判定する事も可能である。すなわち、サーバポート番号が443番であればSSLによる暗号通信と判定したり、メソッド情報がCONNECTメソッドであればSSLによる暗号通信と判定したりすることができる。そして、SSL通信が行われていると判定した場合、その旨を通信文表示部17に送出する。これを受けて、通信文表示部17では、図18に示すように、「これはSSLによる通信です。」等の表示をする。   The ciphertext determination unit 24 according to the present embodiment has been described by taking e-mail as an example, but is not limited thereto. For example, the ciphertext determination unit 24 determines whether the communication is encrypted communication such as SSL (Secure Sockets Layer) based on the server port number information of the Web access information or the method information of the Web access information. Is also possible. That is, if the server port number is 443, it can be determined that the encryption communication is based on SSL, and if the method information is the CONNECT method, it can be determined that the communication is SSL encryption communication. If it is determined that SSL communication is being performed, a message to that effect is sent to the message display unit 17. In response to this, the message display unit 17 displays “This is SSL communication.” As shown in FIG.

<第3の実施形態>
図19は本発明の第3の実施形態に係る通信監視記録装置10Uの構成を示す模式図である。
<Third Embodiment>
FIG. 19 is a schematic diagram showing a configuration of a communication monitoring and recording apparatus 10U according to the third embodiment of the present invention.

本実施形態に係る通信監視記録装置10Uは、表示切替部20がURL情報判定部25をさらに備えている。   In the communication monitoring and recording apparatus 10U according to the present embodiment, the display switching unit 20 further includes a URL information determination unit 25.

URL情報判定部25は、電子メール本文中にURL情報が記述されているか否かを判定するものである。具体的には、図20に示すように、対象通信文が電子メールである場合に、前アイコンY1または後アイコンY2がデータ入力部15により選択されると、URL情報判定部25は、「http://」等の文字列を検索して、電子メール本文中にURL情報が記述されているか否かを判定する(ステップU1,U2)。そして、電子メール本文中にURL情報が記述されていると判定した場合、該URL情報を通信文表示部17に送出する。これを受けて、通信文表示部17では、図21に示すように、“後(Web)” と書かれた矢印のアイコン(以下、「Webアイコン」ともいう)Y3を表示する(ステップU2−Yes,U3)。   The URL information determination unit 25 determines whether URL information is described in the e-mail body. Specifically, as shown in FIG. 20, when the target communication sentence is an e-mail and the previous icon Y1 or the subsequent icon Y2 is selected by the data input unit 15, the URL information determination unit 25 displays “http A character string such as “: //” is searched to determine whether URL information is described in the body of the e-mail (steps U1 and U2). If it is determined that URL information is described in the e-mail body, the URL information is sent to the communication text display unit 17. In response to this, the message display unit 17 displays an arrow icon (hereinafter also referred to as “Web icon”) Y3 written as “After (Web)” as shown in FIG. 21 (step U2-). Yes, U3).

そして、通信文表示部17の画面上でWebアイコンY3が選択された場合、URL情報判定部25は、電子メール本文中に記述されたURL情報に対応するWebアクセス情報を通信文記録部14から読み出して通信文表示部17に表示する。   When the web icon Y3 is selected on the screen of the communication text display unit 17, the URL information determination unit 25 sends Web access information corresponding to the URL information described in the e-mail body from the communication text recording unit 14. It is read and displayed on the message display unit 17.

以上説明したように、本実施形態に係る通信監視記録装置10Uは、URL情報判定部25を備えているので、通信監視者は、電子メール本文中にURL情報が記述されていた場合、WebアイコンY3をクリックする事などにより、そのURL情報に対応するWebサイトを容易に調査することができる。   As described above, the communication monitoring and recording apparatus 10U according to the present embodiment includes the URL information determination unit 25. Therefore, when the URL information is described in the e-mail body, the communication monitor can display the Web icon. By clicking Y3, you can easily check the website corresponding to the URL information.

これにより、選択された電子メールがどのようなやり取りの中で通信されたのかを容易に確認することができ、情報漏洩を発見したり、漏洩した情報の詳細を確認したりするための作業を速やかに行なうことができる。   As a result, it is possible to easily confirm in which exchange the selected e-mail was communicated, and work for discovering information leakage and confirming details of leaked information It can be done quickly.

<第4の実施形態>
図22は本発明の第4の実施形態に係る通信監視記録装置10Vの構成を示す模式図である。
<Fourth Embodiment>
FIG. 22 is a schematic diagram showing a configuration of a communication monitoring and recording apparatus 10V according to the fourth embodiment of the present invention.

本実施形態に係る通信監視記録装置10Vは、表示切替部20がメールアドレス情報判定部26をさらに備えている。   In the communication monitoring and recording apparatus 10V according to the present embodiment, the display switching unit 20 further includes a mail address information determination unit 26.

メールアドレス情報判定部26は、Webアクセス情報に電子メールのメールアドレス情報が記述されているか否か判定するものである。具体的には、図23に示すように、対象通信文がWebアクセス情報である場合に、前アイコンY1または後アイコンY2がデータ入力部15により選択されると、メールアドレス情報判定部は、「@---.jp」等の文字列を検索して、Webアクセス情報に電子メールのメールアドレス情報が記述されているか否かを判定する(ステップV1,V2)。そして、Webアクセス情報にメールアドレス情報が記述されていると判定した場合、該メールアドレス情報を通信文表示部17に送出する。これを受けて、通信文表示部17では、図24に示すように、“後(mail)” と書かれた矢印のアイコン(以下、「mailアイコン」ともいう)Y4を表示する(ステップV2−Yes,V3)。   The e-mail address information determination unit 26 determines whether e-mail address information is described in the Web access information. Specifically, as shown in FIG. 23, when the target message is Web access information, when the previous icon Y1 or the subsequent icon Y2 is selected by the data input unit 15, the mail address information determination unit A character string such as “@ ---. jp” is searched to determine whether or not e-mail address information is described in the Web access information (steps V1 and V2). When it is determined that the mail address information is described in the Web access information, the mail address information is sent to the communication text display unit 17. In response to this, as shown in FIG. 24, the message display unit 17 displays an arrow icon (hereinafter also referred to as “mail icon”) Y4 written as “mail” (step V2-). Yes, V3).

そして、通信文表示部17の画面上で、mailアイコンY4が選択された場合、メールアドレス情報判定部26は、Webアクセス情報に記述されたメールアドレス情報を送信先とした電子メールを通信文記録部14から検索する。そして、電子メールが検索された場合には、その電子メールを通信文表示部17に表示する。   When the mail icon Y4 is selected on the screen of the communication message display unit 17, the mail address information determination unit 26 records an e-mail with the mail address information described in the Web access information as the transmission destination. Search from part 14. When an electronic mail is searched, the electronic mail is displayed on the communication text display unit 17.

以上説明したように、本実施形態に係る通信監視記録装置10Vは、メールアドレス情報判定部26を備えているので、通信監視者は、Webアクセス情報内にメールアドレス情報が記述されていた場合、mailアイコンY4をクリックする事などにより、そのメールアドレス情報に対応する電子メール本文の内容を容易に調査することができる。   As described above, the communication monitoring and recording apparatus 10V according to the present embodiment includes the mail address information determination unit 26. Therefore, when the communication monitor describes the mail address information in the Web access information, By clicking the mail icon Y4, the contents of the e-mail text corresponding to the mail address information can be easily investigated.

これにより、選択されたWebアクセス情報がどのようなやり取りの中で通信されたのかを容易に確認することができ、情報漏洩を発見したり、漏洩した情報の詳細を確認したりするための作業を速やかに行なうことができる。   As a result, it is possible to easily confirm in which exchange the selected Web access information was communicated, and work for finding information leaks and confirming details of leaked information Can be performed promptly.

<その他>
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
<Others>
Note that the method described in the above embodiment is a program that can be executed by a computer, such as a magnetic disk (floppy (registered trademark) disk, hard disk, etc.), an optical disk (CD-ROM, DVD, etc.), a magneto-optical disk (MO). ), And can be distributed in a storage medium such as a semiconductor memory.

また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。   In addition, as long as the storage medium can store a program and can be read by a computer, the storage format may be any form.

また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。   In addition, an OS (operating system) operating on the computer based on an instruction of a program installed in the computer from the storage medium, MW (middleware) such as database management software, network software, and the like implement the above-described embodiment. A part of each process may be executed.

さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。   Furthermore, the storage medium in the present invention is not limited to a medium independent of a computer, but also includes a storage medium that downloads and stores or temporarily stores a program transmitted via a LAN, the Internet, or the like.

また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。   Further, the number of storage media is not limited to one, and the case where the processing in the above embodiment is executed from a plurality of media is also included in the storage media in the present invention, and the media configuration may be any configuration.

尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。   The computer according to the present invention executes each process in the above-described embodiment based on a program stored in a storage medium, and is a single device such as a personal computer or a system in which a plurality of devices are connected to a network. Any configuration may be used.

また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。   In addition, the computer in the present invention is not limited to a personal computer, but includes an arithmetic processing device, a microcomputer, and the like included in an information processing device, and is a generic term for devices and devices that can realize the functions of the present invention by a program. .

本発明の第1の実施形態に係る通信監視記録装置の構成を示す模式図である。It is a schematic diagram which shows the structure of the communication monitoring recording apparatus which concerns on the 1st Embodiment of this invention. 同実施形態に係る通信記録部の概念を示す模式図である。It is a schematic diagram which shows the concept of the communication recording part which concerns on the same embodiment. 電子メールのヘッダ情報の概念を示す図である。It is a figure which shows the concept of the header information of an email. HTTPヘッダ情報の概念を示す図である。It is a figure which shows the concept of HTTP header information. 同実施形態に係る検索データ入力画面の概念を示す模式図である。It is a schematic diagram which shows the concept of the search data input screen which concerns on the same embodiment. 同実施形態に係る通信文リストとの概念を示す模式図である。It is a schematic diagram which shows the concept with the communication sentence list | wrist which concerns on the same embodiment. 同実施形態に係る対象通信文の表示画面の概念を示す図である。It is a figure which shows the concept of the display screen of the target communication text which concerns on the same embodiment. 同実施形態に係る通信監視記録装置による通信文を傍受する動作を説明するためのフローチャートである。It is a flowchart for demonstrating the operation | movement which intercepts the communication text by the communication monitoring recording device which concerns on the embodiment. 同実施形態に係る通信監視記録装置による通信文の調査手順を説明するためのフローチャートである。It is a flowchart for demonstrating the investigation procedure of the communication text by the communication monitoring recording apparatus which concerns on the embodiment. 同実施形態に係る通信記録部の変形例を示す模式図である。It is a schematic diagram which shows the modification of the communication recording part which concerns on the same embodiment. 同実施形態に係る通信記録部の変形例の概念を示す模式図である。It is a schematic diagram which shows the concept of the modification of the communication recording part which concerns on the same embodiment. 同実施形態に係る通信文表示部の表示画面例を示す図である。It is a figure which shows the example of a display screen of the communication text display part which concerns on the same embodiment. 同実施形態に係る通信文表示部の表示画面例を示す図である。It is a figure which shows the example of a display screen of the communication text display part which concerns on the same embodiment. 本発明の第2の実施形態に係る通信監視記録装置の構成を示す模式図である。It is a schematic diagram which shows the structure of the communication monitoring recording apparatus which concerns on the 2nd Embodiment of this invention. PGPにおけるメールヘッダ情報の概念を示す図である。It is a figure which shows the concept of the mail header information in PGP. SMIMEにおけるメールヘッダ情報の概念を示す図である。It is a figure which shows the concept of the mail header information in SMIME. 同実施形態に係る通信文表示部の表示画面の例を示す図である。It is a figure which shows the example of the display screen of the communication text display part which concerns on the same embodiment. 同実施形態に係る通信文表示部の表示画面の例を示す図である。It is a figure which shows the example of the display screen of the communication text display part which concerns on the same embodiment. 本発明の第3の実施形態に係る通信監視記録装置の構成を示す模式図である。It is a schematic diagram which shows the structure of the communication monitoring recording device which concerns on the 3rd Embodiment of this invention. 同実施形態に係るURL情報判定部の動作を説明するためのフローチャートである。It is a flowchart for demonstrating operation | movement of the URL information determination part which concerns on the same embodiment. 同実施形態に係る通信文表示部の表示画面の例を示す図である。It is a figure which shows the example of the display screen of the communication text display part which concerns on the same embodiment. 本発明の第4の実施形態に係る通信監視記録装置の構成を示す模式図である。It is a schematic diagram which shows the structure of the communication monitoring recording device which concerns on the 4th Embodiment of this invention. 同実施形態に係るメールアドレス情報判定部の動作を説明するためのフローチャートである。It is a flowchart for demonstrating operation | movement of the mail address information determination part which concerns on the embodiment. 同実施形態に係る通信文表示部の表示画面の例を示す図である。It is a figure which shows the example of the display screen of the communication text display part which concerns on the same embodiment.

符号の説明Explanation of symbols

10・・・通信監視記録装置、11・・・ネットワークインタフェース部、12・・・パケットデータキャプチャ部、13・・・通信文再構築部、14・・・通信文記録部、15・・・データ入力部、16・・・リスト作成部、17・・・通信文表示部、20・・・表示切替部、21・・・ヘッダ情報読取部、22・・・直前通信文切替部、23・・・直後通信文切替部、24・・・暗号文判定部、25・・・URL情報判定部、Y1・・・前アイコン、Y2・・・後アイコン、Y3・・・Webアイコン、Y4・・・mailアイコン。   DESCRIPTION OF SYMBOLS 10 ... Communication monitoring recording device, 11 ... Network interface part, 12 ... Packet data capture part, 13 ... Communication text reconstruction part, 14 ... Communication text recording part, 15 ... Data Input unit, 16 ... list creation unit, 17 ... communication message display unit, 20 ... display switching unit, 21 ... header information reading unit, 22 ... previous message switching unit, 23 ... -Immediately after message switching unit, 24 ... ciphertext determination unit, 25 ... URL information determination unit, Y1 ... front icon, Y2 ... back icon, Y3 ... Web icon, Y4 ... mail icon.

Claims (5)

ネットワークから傍受した通信文を傍受日時と関連付けて記録する通信文記録手段と、
検索データを入力するための入力手段と、
前記通信文記録手段に記録された通信文から前記検索データを含む通信文を読み出し、該読み出した通信文を傍受日時順に並べた通信文リストを表示するための通信文表示手段と、
前記通信文リストから、対象通信文を選択するための選択手段と、
前記選択手段により選択された対象通信文を表示する手段と、
前記選択手段により選択された対象通信文のヘッダ情報から、該対象通信文の固有情報と、該対象通信文が参照した参照通信文の固有情報とを読み取るヘッダ情報読取手段と、
前記ヘッダ情報読取手段により読み取られた参照通信文の固有情報に基づいて、該参照通信文を前記通信文記録手段から読み出す参照通信文読出手段と、
前記参照通信文読出手段により読み出された参照通信文の、傍受日時が最も新しいものを表示するための手段と、
前記ヘッダ情報読取手段により読み取られた対象通信文の固有情報に基づいて、該対象通信文を参照した被参照通信文を前記通信文記録手段から読み出す被参照通信文読出手段と、
前記被参照通信文読出手段により読み出された被参照通信文の、傍受日時が最も古いものを表示するための手段と
を備えた通信監視記録装置であって、
前記選択手段により電子メールの通信文が選択された場合、該電子メール本文中にURL情報が記述されているか否かを判定するURL情報判定手段と、
前記URL情報判定手段によりURL情報が記述されていると判定した場合、該URL情報に対応するWebアクセス情報を前記通信文記録手段から読み出して表示する手段と
を備えたことを特徴とする通信監視記録装置。
A message recording means for recording a message intercepted from the network in association with the intercept date and time,
Input means for entering search data;
A communication message display unit for reading a communication message including the search data from the communication message recorded in the communication message recording unit, and displaying a communication message list in which the read communication messages are arranged in the order of intercept date;
Selection means for selecting a target communication sentence from the communication sentence list;
Means for displaying a target message selected by the selection means;
Header information reading means for reading, from the header information of the target communication text selected by the selection means, the specific information of the target communication text and the specific information of the reference communication text referred to by the target communication text;
A reference message reading unit that reads the reference message from the message recording unit based on the unique information of the reference message read by the header information reading unit;
Means for displaying the reference message read by the reference message reading means with the latest intercept date and time;
Based on the specific information of the target communication text read by the header information reading means, the referenced communication text reading means for reading the referenced communication text referring to the target communication text from the communication text recording means;
Wherein the referenced communication text reading referenced communication text read by means, interception date a communication monitoring recording and means for displaying the oldest,
URL information determination means for determining whether or not URL information is described in the e-mail text when an e-mail message is selected by the selection means;
Means for reading out and displaying the web access information corresponding to the URL information from the message recording means when it is determined that the URL information is described by the URL information determining means;
A communication monitoring and recording apparatus comprising:
ネットワークから傍受した通信文を傍受日時と関連付けて記録する通信文記録手段と、
検索データを入力するための入力手段と、
前記通信文記録手段に記録された通信文から前記検索データを含む通信文を読み出し、該読み出した通信文を傍受日時順に並べた通信文リストを表示するための通信文表示手段と、
前記通信文リストから、対象通信文を選択するための選択手段と、
前記選択手段により選択された対象通信文を表示する手段と、
前記選択手段により選択された対象通信文のヘッダ情報から、該対象通信文の固有情報と、該対象通信文が参照した参照通信文の固有情報とを読み取るヘッダ情報読取手段と、
前記ヘッダ情報読取手段により読み取られた参照通信文の固有情報に基づいて、該参照通信文を前記通信文記録手段から読み出す参照通信文読出手段と、
前記参照通信文読出手段により読み出された参照通信文の、傍受日時が最も新しいものを表示するための手段と、
前記ヘッダ情報読取手段により読み取られた対象通信文の固有情報に基づいて、該対象通信文を参照した被参照通信文を前記通信文記録手段から読み出す被参照通信文読出手段と、
前記被参照通信文読出手段により読み出された被参照通信文の、傍受日時が最も古いものを表示するための手段と
を備えた通信監視記録装置であって、
前記選択手段によりWebアクセス情報の通信文が選択された場合、該Webアクセス情報に電子メールのメールアドレス情報が記述されているか否かを判定するメールアドレス情報判定手段と、
前記メールアドレス情報判定手段によりメールアドレス情報が記述されていると判定した場合、該メールアドレス情報を送信先とした電子メールを前記通信文記録手段から読み出して表示する手段と
を備えたことを特徴とする通信記録監視装置。
A message recording means for recording a message intercepted from the network in association with the intercept date and time,
Input means for entering search data;
A communication message display unit for reading a communication message including the search data from the communication message recorded in the communication message recording unit, and displaying a communication message list in which the read communication messages are arranged in the order of intercept date;
Selection means for selecting a target communication sentence from the communication sentence list;
Means for displaying a target message selected by the selection means;
Header information reading means for reading, from the header information of the target communication text selected by the selection means, the specific information of the target communication text and the specific information of the reference communication text referred to by the target communication text;
A reference message reading unit that reads the reference message from the message recording unit based on the unique information of the reference message read by the header information reading unit;
Means for displaying the reference message read by the reference message reading means with the latest intercept date and time;
Based on the specific information of the target communication text read by the header information reading means, the referenced communication text reading means for reading the referenced communication text referring to the target communication text from the communication text recording means;
Wherein the referenced communication text reading referenced communication text read by means, interception date a communication monitoring recording and means for displaying the oldest,
When the communication text of the Web access information is selected by the selection means, a mail address information determination means for determining whether or not email address information of an email is described in the Web access information;
Means for reading and displaying an e-mail addressed to the e-mail address information from the message recording means when the e-mail address information determining means determines that e-mail address information is described;
A communication record monitoring apparatus comprising:
請求項1または請求項2に記載の通信監視記録装置において、In the communication monitoring and recording apparatus according to claim 1 or 2,
前記参照通信文読出手段と前記被参照通信文読出手段とは、操作画面上に表示されるアイコンを指定することにより実行されることを特徴とする通信監視記録装置。The communication monitoring and recording apparatus, wherein the reference message reading unit and the referenced message reading unit are executed by designating an icon displayed on an operation screen.
請求項1乃至請求項3のいずれか1項に記載の通信監視記録装置において、In the communication monitoring and recording apparatus according to any one of claims 1 to 3,
前記参照通信文読出手段により読み出される参照通信文の傍受日時が最も古い参照通信文である場合、その旨を表示する手段をさらに備えたことを特徴とする通信記録監視装置。A communication record monitoring apparatus, further comprising means for displaying, when the reference communication text read by the reference communication text reading means is the oldest reference communication text.
請求項1乃至請求項4のいずれか1項に対応する通信監視記録装置において、In the communication monitoring and recording apparatus corresponding to any one of claims 1 to 4,
前記被参照通信文読出手段により読み出される被参照通信文の傍受日時が最も新しい被参照通信文である場合、その旨を表示する手段をさらに備えたことを特徴とする通信記録監視装置。A communication record monitoring apparatus, further comprising means for displaying, when the referenced communication text read by the referenced communication text reading means is the latest referenced communication text.
JP2006297006A 2006-10-31 2006-10-31 Communication record monitoring device Expired - Fee Related JP4334560B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006297006A JP4334560B2 (en) 2006-10-31 2006-10-31 Communication record monitoring device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006297006A JP4334560B2 (en) 2006-10-31 2006-10-31 Communication record monitoring device

Publications (2)

Publication Number Publication Date
JP2008118198A JP2008118198A (en) 2008-05-22
JP4334560B2 true JP4334560B2 (en) 2009-09-30

Family

ID=39503824

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006297006A Expired - Fee Related JP4334560B2 (en) 2006-10-31 2006-10-31 Communication record monitoring device

Country Status (1)

Country Link
JP (1) JP4334560B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5014199B2 (en) * 2008-02-29 2012-08-29 三菱電機株式会社 Communication recording apparatus, communication data processing method, and communication data processing program
JP6357093B2 (en) * 2014-12-11 2018-07-11 Tis株式会社 Log analysis method, log analysis program, and log analysis apparatus

Also Published As

Publication number Publication date
JP2008118198A (en) 2008-05-22

Similar Documents

Publication Publication Date Title
JP5917573B2 (en) Real-time data awareness and file tracking system and method
US10757090B2 (en) Secure application access system
US20200125764A1 (en) Security Systems and Methods for Encoding and Decoding Digital Content
JP5676709B2 (en) Network management system, method thereof, and program
US9552492B2 (en) Secure application access system
JP4871113B2 (en) Method and system for providing version control of email attachments
CN101523832B (en) Messaging system
US7343559B1 (en) Computer-readable recorded medium on which image file is recorded, device for producing the recorded medium, medium on which image file creating program is recorded, device for transmitting image file, device for processing image file, and medium on which image file processing program is recorded
US20250284850A1 (en) Security Systems and Methods for Social Networking
US20150039886A1 (en) Secure application access system
JP5417533B2 (en) Computer system management method and client computer
Gregorio et al. Forensic analysis of telegram messenger for windows phone
CN101656710A (en) Proactive audit system and method
Mee et al. The Windows Registry as a forensic artefact: Illustrating evidence collection for Internet usage
JP4334560B2 (en) Communication record monitoring device
US20050091401A1 (en) Selective mirrored site accesses from a communication
Năstase et al. Cowrie ssh honeypot: Architecture, improvements and data visualization
US8127314B2 (en) Method for using information in another domain, program for using information in another domain, and information transfer program
US11516226B2 (en) Contextual analyses of network traffic
Hassan Web browser and e-mail forensics
Phiri et al. Network Monitoring System
Jourdan Centralized web proxy services: Security and privacy considerations
Cheng et al. Forensics tools for social network security solutions
Jayanetti Supporting Account-based Queries for Archived Instagram Posts
JP2010233042A (en) System for generation of detection rule, and system for search of transmission line with the same

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080929

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081007

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081202

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090602

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090623

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120703

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130703

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees