JP4334560B2 - Communication record monitoring device - Google Patents
Communication record monitoring device Download PDFInfo
- Publication number
- JP4334560B2 JP4334560B2 JP2006297006A JP2006297006A JP4334560B2 JP 4334560 B2 JP4334560 B2 JP 4334560B2 JP 2006297006 A JP2006297006 A JP 2006297006A JP 2006297006 A JP2006297006 A JP 2006297006A JP 4334560 B2 JP4334560 B2 JP 4334560B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- message
- information
- text
- reading
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ネットワークを流れる通信文の内容を容易に確認し得る通信監視記録装置に関する。 The present invention relates to a communication monitoring and recording apparatus capable of easily confirming the contents of a communication sentence flowing through a network.
近年、個人情報や企業秘密等の情報保護に対する関心が高まっている。そのため、情報漏洩防止のための種々のソリューションが提案されている。 In recent years, interest in protecting information such as personal information and trade secrets has increased. Therefore, various solutions for preventing information leakage have been proposed.
具体的には、ネットワークを流れる通信文を傍受して記録し、その記録した通信文を検索表示できる通信監視記録装置が提案されている。この通信監視記録装置では、例えば、キーワード検索によりキーワードを含む通信文をリスト表示したり、指定した送信元/送信先などに合致する通信文をリスト表示したりすることができる。これにより、情報漏洩の発見や、漏洩した情報の詳細内容を確認することができる。また、検索された通信文の前後に通信された通信文の内容を確認して、情報漏洩の出所を調査することもできる。 Specifically, there has been proposed a communication monitoring and recording apparatus that can intercept and record a communication sentence flowing through a network and search and display the recorded communication sentence. In this communication monitoring and recording apparatus, for example, a list of communication sentences including a keyword can be displayed by keyword search, or a list of communication sentences matching a designated transmission source / destination can be displayed. Thereby, the discovery of information leakage and the detailed contents of the leaked information can be confirmed. It is also possible to check the source of information leakage by confirming the contents of the communication text communicated before and after the retrieved communication text.
また、「対象ネットワークを通る通信データを傍受すると共に、当該傍受した通信データの種別に応じて分類すると共に、新たな検索データを付加して解析結果データベースに蓄積するようにした」通信情報記録装置等も提案されている(例えば、特許文献1参照)。
しかしながら、従来の通信監視記録装置では、検索された通信文の前後に通信された通信文の内容を確認する場合、検索条件を変更してから再度検索する必要がある。 However, in the conventional communication monitoring and recording apparatus, when the content of the communication text communicated before and after the retrieved communication text is confirmed, it is necessary to search again after changing the search condition.
例えば、電子メールによる情報漏洩を調査する場合には、所定のキーワードが含まれた電子メールを検索した後、その電子メールの送信元および送信先を調べていくことにより、情報漏洩の出所を追跡する。 For example, when investigating information leaks due to e-mails, the origin of the information leak is tracked by searching for e-mails that contain the specified keyword and then examining the source and destination of the e-mails. To do.
この場合、通信トラフィックが膨大であるため、検索条件を随時変更しながら通信文の内容を確認するのは極めて煩雑な作業となる。 In this case, since the communication traffic is enormous, it is very complicated to check the content of the communication text while changing the search condition as needed.
本発明は上記実情に鑑みてなされたもので、ネットワークを流れる通信文の内容を容易に確認し得る通信監視記録装置を提供する事を目的とする。 The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a communication monitoring and recording apparatus capable of easily confirming the contents of a communication sentence flowing through a network.
本発明は上記課題を解決するために以下の手段を講じる。 The present invention takes the following means in order to solve the above problems.
第1の発明は、ネットワークから傍受した通信文を傍受日時と関連付けて記録する通信文記録手段と、検索データを入力するための入力手段と、前記通信文記録手段に記録された通信文から前記検索データを含む通信文を読み出し、該読み出した通信文を傍受日時順に並べた通信文リストを表示するための通信文表示手段と、前記通信文リストから、対象通信文を選択するための選択手段と、前記選択手段により選択された対象通信文を表示する手段と、前記選択手段により選択された対象通信文のヘッダ情報から、該対象通信文の固有情報と、該対象通信文が参照した参照通信文の固有情報とを読み取るヘッダ情報読取手段と、前記ヘッダ情報読取手段により読み取られた参照通信文の固有情報に基づいて、該参照通信文を前記通信文記録手段から読み出す参照通信文読出手段と、前記参照通信文読出手段により読み出された参照通信文の、傍受日時が最も新しいものを表示するための手段と、前記ヘッダ情報読取手段により読み取られた対象通信文の固有情報に基づいて、該対象通信文を参照した被参照通信文を前記通信文記録手段から読み出す被参照通信文読出手段と、前記被参照通信文読出手段により読み出された被参照通信文の、傍受日時が最も古いものを表示するための手段とを備えた通信監視記録装置である。 The first invention is a communication sentence recording means for recording a communication sentence intercepted from a network in association with an intercept date and time, an input means for inputting search data, and a communication sentence recorded in the communication sentence recording means. A communication text display means for reading a communication text including search data and displaying a communication text list in which the read communication texts are arranged in order of intercept date and time, and a selection means for selecting a target communication text from the communication text list And means for displaying the target communication text selected by the selection means; from the header information of the target communication text selected by the selection means, the unique information of the target communication text and the reference referred to by the target communication text Based on the unique information of the reference message read by the header information reading means and the header information reading means for reading the unique information of the message, the reference message is recorded in the message recording unit. Reference message reading means for reading from the stage, means for displaying the reference message read by the reference message reading means with the latest intercept date and time, and the object read by the header information reading means Based on the unique information of the communication text, the referenced communication text reading means for reading the referenced communication text referring to the target communication text from the communication text recording means, and the referenced text read by the referenced text reading means And a means for displaying a communication message having the earliest intercept date and time.
第2の発明は、第1の発明に対応する通信監視記録装置において、前記通信文記録手段は、電子メールを記録し、前記ヘッダ情報読取部は、前記電子メールの固有情報であるメッセージID(Message-ID)を読み取る通信監視記録装置である。 According to a second aspect of the present invention, in the communication monitoring and recording apparatus corresponding to the first aspect, the communication message recording unit records an electronic mail, and the header information reading unit is a message ID (specific information of the electronic mail). Message-ID).
第3の発明は、第1の発明または第2の発明に対応する通信監視記録装置において、前記通信文記録手段は、Webアクセス情報を記録し、前記ヘッダ情報読取部は、前記Webアクセス情報の固有情報であるURL情報を読み取る通信監視記録装置である。 According to a third aspect of the present invention, in the communication monitoring and recording apparatus corresponding to the first or second aspect of the invention, the message recording unit records Web access information, and the header information reading unit stores the Web access information. This is a communication monitoring and recording device that reads URL information that is unique information.
第4の発明は、第1の発明または第2の発明に対応する通信監視記録装置において、前記通信文記録手段は、Webアクセス情報を記録し、前記ヘッダ情報読取部は、前記Webアクセス情報の固有情報であるクライアントIPアドレスを読み取る通信監視記録装置である。 According to a fourth aspect of the present invention, in the communication monitoring and recording apparatus corresponding to the first or second aspect of the invention, the message recording unit records Web access information, and the header information reading unit stores the Web access information. This is a communication monitoring and recording device that reads a client IP address that is unique information.
第5の発明は、第1の発明乃至第4の発明のいずれか1項に対応する通信監視記録装置において、前記通信文のヘッダ情報から、該通信文が暗号化された通信文であるか否かを判定する暗号文判定手段をさらに備え、前記暗号文判定手段が該通信文を暗号化された通信文であると判定した場合、該通信文に代えて暗号化された通信文である旨を表示する通信監視記録装置である。 5th invention is the communication monitoring recording apparatus corresponding to any one of 1st invention thru | or 4th invention, whether the said communication text is the communication text encrypted from the header information of the said communication text. A ciphertext determining means for determining whether or not the ciphertext determining means determines that the communication text is an encrypted communication text, and is an encrypted communication text instead of the communication text This is a communication monitoring and recording device that displays the effect.
第6の発明は、第1の発明または第2の発明に対応する通信監視記録装置において、前記選択手段により電子メールの通信文が選択された場合、該電子メール本文中にURL情報が記述されているか否かを判定するURL情報判定手段と、前記URL情報判定手段によりURL情報が記述されていると判定した場合、該URL情報に対応するWebアクセス情報を前記通信文記録手段から読み出して表示する手段とをさらに備えた通信監視記録装置である。 According to a sixth aspect of the present invention, in the communication monitoring and recording apparatus corresponding to the first or second aspect, when an electronic mail message is selected by the selecting means, URL information is described in the electronic mail text. If it is determined that the URL information is described by the URL information determination unit and the URL information determination unit, the Web access information corresponding to the URL information is read from the message recording unit and displayed. And a communication monitoring and recording apparatus.
第7の発明は、第1の発明、第3の発明、または第4の発明のいずれか1項に対応する通信監視記録装置において、前記選択手段によりWebアクセス情報の通信文が選択された場合、該Webアクセス情報に電子メールのメールアドレス情報が記述されているか否かを判定するメールアドレス情報判定手段と、前記メールアドレス情報判定手段によりメールアドレス情報が記述されていると判定した場合、該メールアドレス情報を送信先とした電子メールを前記通信文記録手段から読み出して表示する手段とをさらに備えた通信記録監視装置である。 A seventh aspect of the invention is the communication monitoring and recording apparatus corresponding to any one of the first aspect, the third aspect, or the fourth aspect, wherein the communication text of the Web access information is selected by the selection means The e-mail address information determining means for determining whether or not e-mail address information is described in the Web access information, and when the e-mail address information determining means determines that the e-mail address information is described, A communication record monitoring apparatus further comprising means for reading an e-mail addressed to the mail address information from the message recording means and displaying it.
第8の発明は、第1の発明乃至第7の発明のいずれか1項に対応する通信監視記録装置において、前記参照通信文読出手段と前記被参照通信文読出手段とは、操作画面上に表示されるアイコンを指定することにより実行される通信監視記録装置である。 An eighth invention is the communication monitoring and recording apparatus corresponding to any one of the first to seventh inventions, wherein the reference message reading means and the referenced message reading means are on the operation screen. This is a communication monitoring and recording apparatus that is executed by designating an icon to be displayed.
第9の発明は、第1の発明乃至第8の発明のいずれか1項に対応する通信監視記録装置において、前記参照通信文読出手段により読み出される参照通信文の傍受日時が最も古い参照通信文である場合、その旨を表示する手段をさらに備えた通信記録監視装置である。 According to a ninth invention, in the communication monitoring and recording apparatus corresponding to any one of the first to eighth inventions, the reference message having the earliest intercept date and time of the reference message read by the reference message reading means In this case, the communication record monitoring apparatus further includes means for displaying the fact.
第10の発明は、第1の発明乃至第9の発明のいずれか1項に対応する通信監視記録装置において、前記被参照通信文読出手段により読み出される被参照通信文の傍受日時が最も新しい被参照通信文である場合、その旨を表示する手段をさらに備えた通信記録監視装置である。 According to a tenth aspect of the present invention, in the communication monitoring and recording apparatus corresponding to any one of the first to ninth aspects, the intercepted date and time of the referenced message read by the referenced message reading unit is the latest. In the case of a reference message, the communication record monitoring device further includes means for displaying the fact.
<作用>
従って、本発明は以上のような手段を講じたことにより、以下の作用を有する。
<Action>
Therefore, the present invention has the following effects by taking the above-described means.
第1の発明は、検索データを含む通信文を傍受日時順に並べた通信文リストから対象通信文を選択するための選択手段と、選択された対象通信文のヘッダ情報から、該対象通信文の固有情報と該対象通信文が参照した参照通信文の固有情報とを読み取るヘッダ情報読取手段と、参照通信文の固有情報に基づいて、該参照通信文を通信文記録手段から読み出し、傍受日時が新しい順に表示するための手段と、対象通信文の固有情報に基づいて、該対象通信文を参照した被参照通信文を通信文記録手段から読み出し、傍受日時が古い順に表示するための手段とを備えた構成により、通信内容を確認する際、検索データを入力後に送信元や送信先の条件等を改めて設定する必要がなく、ネットワークを流れる通信文の内容を容易に確認し得る通信監視記録装置を提供することができる。 According to a first aspect of the present invention, there is provided a selection means for selecting a target communication message from a communication message list in which communication messages including search data are arranged in order of interception date and time, and the header information of the selected target communication message. Header information reading means for reading the unique information and the unique information of the reference message referred to by the target message, and reading the reference message from the message recording means based on the unique information of the reference message. Means for displaying in the newest order, and means for reading out the referenced communication text referring to the target communication text from the communication text recording means based on the specific information of the target communication text, and displaying in order from the oldest intercepted date and time With this configuration, there is no need to set the source and destination conditions again after entering the search data when checking the communication content, and it is possible to easily check the content of communication text flowing through the network. It is possible to provide a recording apparatus.
第2の発明は、第1の発明に対応する作用に加え、通信文記録手段は、通信文として電子メールを記録し、ヘッダ情報読取手段は、電子メールの固有情報であるメッセージID(Message-ID)を読み取るので、ネットワークを流れる電子メールの内容を容易に確認することができる。 In the second invention, in addition to the operation corresponding to the first invention, the communication text recording means records an electronic mail as a communication text, and the header information reading means is a message ID (Message-) which is unique information of the electronic mail. ID) is read, so the contents of e-mails flowing through the network can be easily confirmed.
第3の発明は、第1の発明または第2の発明に対応する作用に加え、通信文記録手段は、通信文としてWebアクセス情報を記録し、ヘッダ情報読取手段は、Webアクセス情報の固有情報であるURL情報を読み取るので、ネットワークを流れるWebアクセス情報の内容を容易に確認することができる。 In the third invention, in addition to the operation corresponding to the first invention or the second invention, the communication text recording means records the Web access information as a communication text, and the header information reading means is the unique information of the Web access information. Because the URL information is read, the contents of the Web access information flowing through the network can be easily confirmed.
第4の発明は、第1の発明または第2の発明に対応する作用に加え、通信文記録手段は、通信文としてWebアクセス情報を記録し、ヘッダ情報読取部は、Webアクセス情報の固有情報であるクライアントIPアドレスを読み取るので、同一クライアントからのWebアクセス情報の内容を容易に確認する事ができる。 In the fourth invention, in addition to the operation corresponding to the first invention or the second invention, the communication sentence recording means records the Web access information as a communication sentence, and the header information reading unit is the unique information of the Web access information. Since the client IP address is read, the contents of the Web access information from the same client can be easily confirmed.
第5の発明は、第1の発明〜第4の発明に対応する作用に加え、通信文のヘッダ情報から、該通信文が暗号化された通信文であるか否かを判定する手段をさらに備えているので、暗号文がどのようなやり取りの中で通信されたのかを容易に確認することができる。 According to a fifth invention, in addition to the operations corresponding to the first to fourth inventions, means for determining whether or not the communication text is an encrypted communication text from the header information of the communication text is further provided. Since it is provided, it is possible to easily confirm in which exchange the ciphertext is communicated.
第6の発明は、第1の発明または第2の発明に対応する作用に加え、電子メール本文中にURL情報が記述されているか否かを判定するURL情報判定手段と、URL情報が記述されていると判定した場合、該URL情報に対応するWebアクセス情報を通信文記録手段から読み出して表示する手段とをさらに備えているので、電子メール本文中にURL情報が記述されていた場合、そのURL情報に対応するWebサイトを容易に調査することができる。 In the sixth invention, in addition to the operation corresponding to the first invention or the second invention, URL information determining means for determining whether or not URL information is described in the e-mail body, URL information is described If the URL information is described in the body of the email, the Web access information corresponding to the URL information is further read out from the message recording means and displayed. Web sites corresponding to URL information can be easily investigated.
第7の発明は、第1の発明、第3の発明、または第4の発明に対応する作用に加え、Webアクセス情報に電子メールのメールアドレス情報が記述されているか否かを判定するメールアドレス情報判定手段と、メールアドレス情報判定手段によりメールアドレス情報が記述されていると判定した場合、該メールアドレス情報を送信先とした電子メールを通信文記録手段から読み出して表示する手段とをさらに備えているので、Webアクセス情報内にメールアドレス情報が記述されていた場合、そのメールアドレス情報に対応する電子メール本文の内容を、容易に調査することができる。 The seventh invention is a mail address for judging whether or not the mail address information of the email is described in the Web access information in addition to the operation corresponding to the first invention, the third invention or the fourth invention. An information determination unit; and a unit that reads out and displays an e-mail addressed to the mail address information from the message recording unit when the mail address information determination unit determines that the mail address information is described. Therefore, if mail address information is described in the Web access information, the contents of the e-mail text corresponding to the mail address information can be easily investigated.
第8の発明は、第1の発明〜第7の発明の作用に加え、参照通信文の読み出しと被参照通信文の読み出しとは、操作画面上に表示されるアイコンを指定することにより実行されるので、通信文の内容確認の作業を容易に実行することができる。 In the eighth invention, in addition to the operations of the first to seventh inventions, the reading of the reference message and the reading of the referenced message are executed by designating an icon displayed on the operation screen. Therefore, it is possible to easily execute the work for checking the content of the communication text.
第9の発明は、第1の発明〜第8の発明の作用に加え、参照通信文の傍受日時が最も古い参照通信文である場合、その旨を表示する手段をさらに備えているので、表示されている通信文が一連の通信内で最初になされたものである事を、画面を切り替えることなく通信監視者に認識させることができる。 In the ninth aspect of the invention, in addition to the operations of the first to eighth aspects of the invention, when the reference communication sentence is the oldest reference communication sentence, a means for displaying the fact is further provided. It is possible to make the communication monitor recognize that the communication message being made is the first message made in a series of communication without switching the screen.
第10の発明は、第1の発明〜第9の発明の作用に加え、被参照通信文の傍受日時が最も新しい被参照通信文である場合、その旨を表示する手段をさらに備えているので、表示されている通信文が一連の通信内で最後になされたものである事を、画面を切り替えることなく通信監視者に認識させることができる。 In the tenth aspect of the present invention, in addition to the operations of the first to ninth aspects, when the intercepted date and time of the referenced message is the latest referenced message, the tenth invention further includes means for displaying that fact. The communication monitor can recognize that the displayed communication message is the last message in a series of communication without switching the screen.
本発明によれば、ネットワークを流れる通信文の内容を容易に確認し得る通信監視記録装置を提供できる。 ADVANTAGE OF THE INVENTION According to this invention, the communication monitoring recording device which can confirm the content of the communication sentence which flows through a network easily can be provided.
以下、図面を参照して本発明の実施形態を説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
<第1の実施形態>
(1−1.構成)
図1は本発明の第1の実施形態に係る通信監視記録装置10の構成を示す模式図である。
<First Embodiment>
(1-1. Configuration)
FIG. 1 is a schematic diagram showing a configuration of a communication monitoring and
通信監視記録装置10は、ネットワークインタフェース部11とパケットデータキャプチャ部12・通信文再構築部13・通信文記録部14・データ入力部15・リスト作成部16・通信文表示部17・表示切替部20とを備えている。
The communication monitoring and
なお、通信監視記録装置10は、ハードウェア構成で実現可能であり、又はハードウェア構成とソフトウェア構成との組合せとしても実現可能となっている。後者の場合、ソフトウェア構成は、予めコンピュータ読み取り可能な記憶媒体又はネットワークから得られたプログラムがコンピュータにインストールされることにより、通信監視記録装置10としての各機能が実現される。
Note that the communication monitoring and
ネットワークインタフェース部11は、監視対象のネットワークセグメント5と接続するものであり、ネットワークセグメント5上を流れるパケットを傍受する機能を有している。
The
パケットデータキャプチャ部12は、ネットワークインタフェース部11が傍受したパケットデータを取り込むものである。また、パケットデータキャプチャ部12は、取り込んだパケットデータを通信文再構築部13に送出する。
The packet
通信文再構築部13は、パケットデータキャプチャ部13により傍受された1つないし複数のパケットから通信文を再構築するものである。また、通信文再構築部13は、再構築した通信文を通信文記録部14に送出する。
The communication
通信文記録部14は、ネットワークから傍受した通信文を「傍受日時」と関連付けて記録するメモリである。
The communication
具体的には、図2に示すように、通信文記録部14は、通信文が電子メールである場合、メールIDと傍受日時・送信元メールアドレス・送信先メールアドレス・メールの題名(Subject)・ヘッダ情報(Message-ID,In-Reply-To,References)・メール本文・添付ファイルとを関連付けて記録する。これらの情報を記録することにより、情報漏洩の追跡調査等が可能となる。
Specifically, as shown in FIG. 2, when the communication sentence is an electronic mail, the communication
補足すると、通信文が電子メールである場合、電子メールのヘッダ情報は図3(A)のように示され、“メッセージID(Message-ID)”が通信文の固有情報として用いられる。また、ある電子メールに対して返信すると、図3(B)および図3(C)に示すように、返信メールのヘッダ情報には、“References”フィールドF1や“In-Reply-To”フィールドF2が追加され、これらのフィールドF1・F2に送信元メールのMessage-IDが記述される。それゆえ、これらの電子メールのヘッダ情報を記録しておくことにより、メールの追跡調査等が可能となる。なお、上述した電子メールのヘッダ情報の仕様は、RFC2822に基づくものである。 Supplementally, when the communication text is an electronic mail, the header information of the electronic mail is shown as in FIG. 3A, and “Message ID” is used as the unique information of the communication text. When a reply is made to a certain electronic mail, as shown in FIGS. 3B and 3C, the header information of the reply mail includes a “References” field F1 and an “In-Reply-To” field F2. Is added, and the Message-ID of the sender mail is described in these fields F1 and F2. Therefore, by recording the header information of these e-mails, it is possible to investigate the mails. Note that the specification of the header information of the e-mail described above is based on RFC2822.
また、通信文記録部14は、通信文がWebアクセス情報である場合、アクセスIDと傍受日時・クライアントIPアドレス・サーバIPアドレス・サーバポート番号・リクエストしたURL情報・メソッド・Referer情報・リプライデータとを関連付けて記録する。
In addition, when the communication text is Web access information, the communication
すなわち、通信文がWebアクセス情報である場合、Webアクセス情報は図4(A)のように示され、“URL情報”、あるいは、“クライアントIPアドレス”および“傍受日時”が通信文の固有情報として用いられる。あるWebサイトからリンクして、他のWebサイトに接続した場合には、HTTPヘッダ情報に、“Referer”フィールドが追加され、リンク元のWebサイトのURL情報が記述される。例えば、図4(A)のHTTPヘッダ情報により指定されるWebサイト(http://www.aaaaa.com/)からリンクして、図4(B)のHTTPヘッダ情報により指定されるWebサイト(http://www.aaaaa.coml/update/20061031/008.html)にアクセスした場合には、図4(B)のHTTPヘッダ情報のRefererフィールドF3に、図4(A)のHTTPヘッダ情報により指定されるWebサイトのURL情報(http://www.aaaaa.com/)が書き込まれる。また、一般的に複数のWebページを連続してアクセスする場合、それぞれのWebアクセスのクライアントIPアドレスは同一となる。それゆえ、これらのHTTPヘッダ情報をWebアクセス情報として記録しておくことにより、Webアクセス情報の追跡調査等が可能となる。なお、これらのWebアクセス情報の仕様は、RFC2616に基づくものである。 That is, when the communication text is Web access information, the Web access information is shown as shown in FIG. 4A, and “URL information” or “client IP address” and “interception date” are specific information of the communication text. Used as When a link is made from a certain website and connected to another website, a “Referer” field is added to the HTTP header information, and the URL information of the link source website is described. For example, the Web site (http://www.aaaaa.com/) specified by the HTTP header information in FIG. 4A is linked to the Web site specified by the HTTP header information in FIG. When accessing http: //www.aaaaa.coml/update/20061031/008.html), the Referer field F3 of the HTTP header information in FIG. 4B is added to the HTTP header information in FIG. URL information (http://www.aaaaa.com/) of the specified Web site is written. In general, when a plurality of Web pages are accessed continuously, the client IP address of each Web access is the same. Therefore, by recording these HTTP header information as Web access information, it is possible to follow up the Web access information. Note that the specifications of these Web access information are based on RFC2616.
データ入力部15は、通信監視記録装置10に各種データを入力するためのものであり、マウスやキーボード等によりデータが入力される。
The
詳しくは、データ入力部15は、「検索データ」を入力可能とする機能を有する。例えば、図5に示すように、通信文表示部17に表示されるキーワード入力画面上で、調査対象とするキーワードを検索データとして入力することができる。入力された検索データは、リスト作成部16に送出される。
Specifically, the
また、データ入力部15は、後述するリスト作成部16により作成された通信文リストから、監視対象の「対象通信文」を選択することができる機能を有する。すなわち、検索データが入力された場合、条件に合致する通信文からなる通信文リストがリスト作成部16により作成され、通信文表示部17に表示される。この際、例えば図6に示すように、データ入力部15を介して、通信文リストから一の通信文をクリックする等により、通信文を選択することができる。選択された対象通信文の情報は、表示切替部20へ送出される。なお、通信文リストから対象通信文を選択する方法としては、マウスのようなポインティングデバイスによってクリックする方法に限られず、通信文リスト上の通信文に対応付けられた番号を指定する方法などであってもよい。
Further, the
さらに、データ入力部15は、通信文切替情報の選択を可能とする機能を有する。ここで、「通信文切替情報」とは、通信文表示部17に表示される通信文を他の通信文に切り替えるための情報であり、“直前通信文切替情報”と“直後通信文切替情報”との2種類の情報からなる。例えば図7において、“前”と書かれた左向き矢印のアイコン(以下「前アイコン」ともいう)Y1がクリックされると、直前通信文切替情報が表示切替部20に送出される。また図7において、“後”と書かれた右向き矢印のアイコン(以下「後アイコン」ともいう)Y2がクリックされると、直後通信文切替情報が表示切替部20に送出される。なお、通信文切替情報の選択は、任意の選択手段によって可能であり、上記アイコンY1・Y2に限られるものではない。
Furthermore, the
リスト作成部16は、データ入力部15からの検索データを受け取ると、通信文記録部14に記録された通信文から検索データを含む通信文を読み出し、該読み出した通信文を傍受日時順に並べた「通信文リスト」を作成するものである。通信文リストは、例えば図6に示されるような一覧表形式で表示される。この例では、PaulからJosephに宛てたメール(通信文M1)から、MarkからJohnに宛てたメール(通信文M4)までの4件が一覧として表示されている。なお、検索データを含む通信文の検索は、一般的な全文検索アルゴリズムなどを用いた方法により実行することができる。また、リスト作成部16は、作成した通信文リストを通信文表示部17に送出する。
Upon receiving the search data from the
通信文表示部17は、通信文記録部14に記録された通信文を表示するためのディスプレイ等である。例えば、通信文リスト作成部16から通信文リストを受け取ると、その通信文リストを表示する(図6参照)。また、データ入力部15により、通信文リストから一の通信文が対象通信文として選択された場合、その対象通信文の本文の内容を表示する(図7参照)。
The communication
表示切替部20は、ヘッダ情報読取部21・直前通信文切替部22・直後通信文切替部23を具備し、通信文表示部17の表示画面を切り替える機能を有する。後述するように、表示切替部20は、前アイコンY1あるいは後アイコンY2がデータ入力部15を介して選択された場合に送出される直前通信文切替情報あるいは直後通信文切替情報に応じて、通信文表示部17の表示を切り替える。
The
ヘッダ情報読取部21は、データ入力部15により選択された対象通信文のヘッダ情報から、該対象通信文の固有情報と、該対象通信文が参照した「参照通信文」の固有情報とを読み取るものである。
The header
ここで、通信文が電子メールである場合、その通信文の固有情報としては、“Message-ID”が用いられる。それゆえ、参照通信文の固有情報として、対象通信文の“References”フィールドF1あるいは“In-Reply-To”フィールドF2に記述されたMessage-IDが読み取られる。一方、通信文がWebアクセス情報である場合は、その通信文の固有情報として、“URL情報”、あるいは、“クライアントIPアドレス”および“傍受日時”が読み出される。 Here, when the communication text is an electronic mail, “Message-ID” is used as unique information of the communication text. Therefore, the Message-ID described in the “References” field F1 or “In-Reply-To” field F2 of the target communication message is read as unique information of the reference communication message. On the other hand, when the communication text is Web access information, “URL information” or “client IP address” and “interception date and time” are read as unique information of the communication text.
また、ヘッダ情報読取部21は、データ入力部15から通信文切替情報を受け取る。この際、通信文切替情報が“直前通信文切替情報”である場合、ヘッダ情報から読み取った参照通信文の固有情報であるMessage-IDやURL情報、あるいは、クライアントIPアドレスと傍受日時を、直前通信文切替部22に送出する。一方、通信文切替情報が“直後通信文切替情報”である場合、ヘッダ情報から読み取った通信文の固有情報であるMessage-IDやURL情報、あるいは、クライアントIPアドレスと傍受日時を、直後通信文切替部23に送出する。
Further, the header
直前通信文切替部22は、ヘッダ情報読取部21から参照通信文の固有情報を受け取ると、その参照通信文の固有情報に基づいて、該参照通信文を通信文記録部14から読み出す機能と、読み出した参照通信文を、傍受日時が新しい順に通信文表示部17に表示する機能とを有するものである。例えば図7において、前アイコンY1がクリックされて直前通信文切替情報が選択されると、直前通信文切替部22は、通信文表示部17に表示されている電子メールM1のReferencesフィールドおよびIn-Reply-Toフィールドに記述されたMessage-IDを読み出す。続いて、読み出したMessage-IDに対応する電子メールを、通信文記録部14に記録された電子メールの中から検索する。そして、検索した電子メールのうち、通信文表示部17に表示されている電子メールM1の傍受日時に最も近い傍受日時の電子メールを通信文表示部17に表示する。
The immediately preceding
またWebアクセス情報の場合は、通信文表示部17に表示されているWebアクセスW1のRefererフィールドに記述されたURL情報を読み出す。続いて、読み出したURL情報に対応するWebアクセスを通信文記録部14に記録されたWebアクセスの中から検索する。そして、検索したWebアクセスのうち、通信文表示部17に表示されているWebアクセスW1の傍受日時に最も近い傍受日時のWebアクセスを通信文表示部17に表示する。
In the case of Web access information, the URL information described in the Referer field of Web access W1 displayed on the
なおWebアクセス情報の場合は、通信文表示部17に表示されているWebアクセスW1のクライアントIPアドレスと傍受日時を読み出す。続いて、読み出したクライアントIPアドレスに対応するWebアクセスを通信文記録部14に記録されたWebアクセスの中から検索する。そして、検索したWebアクセスのうち、通信文表示部17に表示されているWebアクセスW1の傍受日時以前でWebアクセスW1の傍受日時に最も近い傍受日時のWebアクセスを通信文表示部17に表示するとしてもよい。
In the case of Web access information, the client IP address and intercept date and time of Web access W1 displayed on the communication
直後通信文切替部23は、ヘッダ情報読取部21から対象通信文の固有情報を受け取ると、その対象通信文の固有情報に基づいて、該対象通信文を参照した被参照通信文を通信文記録部14から読み出す機能と、読み出した被参照通信文を、傍受日時が古い順に通信文表示部17に表示する機能とを有するものである。これにより、通信文表示部17に表示されている通信文の傍受日時に最も近い傍受日時の通信文が表示される。なお、「被参照通信文」とは、通信文が電子メールの場合、ReferencesフィールドあるいはIn-Reply-Toフィールドに対象通信文のMessage-IDが記述された通信文のことである。また、通信文がWebアクセスの場合、Refererフィールドに対象通信文のURL情報が記述された通信文、あるいはクライアントIPアドレスが対象通信文のクライアントIPアドレスと同一であり傍受日時が対象通信文の傍受日時以降の通信文の事である。
Immediately after the communication
(1−2.動作)
次に本発明第1の実施形態に係る通信監視記録装置10の動作について説明する。
(1-2. Operation)
Next, the operation of the communication monitoring /
(通信文の傍受)
まず、通信監視記録装置10が通信文を傍受する動作について図8を用いて説明する。
(Interception of correspondence)
First, an operation in which the communication monitoring and
始めに、通信監視記録装置10がネットワークセグメント5と接続すると、ネットワークセグメント5上を流れるパケットの傍受を開始する(ステップS1,S2)。例えば、あるユーザがネットワークセグメント5上で、電子メールの送信を行なった場合、その電子メールを構成する複数のパケットがネットワークインタフェース部11を介して傍受される。
First, when the communication monitoring and
続いて、ネットワークインタフェース部11で傍受されたパケットから通信文が再構築される(ステップS3)。例えば、ネットワークインタフェース部11で傍受されたパケットが、パケットデータキャプチャ部12によって通信監視記録装置10に取り込まれ、通信文再構築部13により、あるユーザが送信した電子メールが再構築される。
Subsequently, the communication text is reconstructed from the packet intercepted by the network interface unit 11 (step S3). For example, a packet intercepted by the
通信文再構築部13で通信文が再構築されると、再構築された通信文が通信文記録部14に記録される(ステップS4)。通信文記録部14に通信文を記録する際には、リスト作成部16や表示切替部20が通信文を検索する助けとなるような索引データが関連付けられて記録される。また、送信元や送信先のネットワークアドレスなどの情報も関連付けられて記録される。
When the communication text is reconstructed by the communication
このようにして、通信監視記録装置10がネットワークセグメント5との接続を解除するまで、通信文記録部14に通信文が記録される(ステップS5)。
In this way, the communication text is recorded in the communication
(通信文の調査)
次に、通信監視記録装置10による通信文の調査手順について図9を用いて説明する。
(Investigation of correspondence)
Next, a procedure for investigating a communication sentence by the communication monitoring and
始めに、通信監視者の操作により、データ入力部15を介して、検索データであるキーワードが入力される(ステップT1)。例えば、図5に示すようなキーワード入力画面において、キーワードが入力される。これにより、データ入力部15からリスト作成部16に検索データとしてキーワードが送出される。
First, a keyword as search data is input through the
続いて、リスト作成部16において、データ入力部15により入力されたキーワードを含む通信文が通信文記録部14から読み出され、その読み出された通信文の一覧である通信文リストが作成されて、通信文表示部17に表示される(ステップT2)。ここでは、図6に示すような電子メールの一覧が通信文リストとして表示される。
Subsequently, in the
そして、データ入力部15を介して、通信文リストから一の通信文が対象通信文として選択されると、選択された対象通信文の内容が通信文表示部17に表示される(ステップT3,T4)。例えば、図6において、通信文表示部17の画面上で電子メールM1が選択されると、図7に示すように、選択された電子メールM1本文の内容が通信文表示部17に表示される。また、この電子メールM1の内容とともに、前アイコンY1と後アイコンY2とが画面上に表示される。
Then, when one communication sentence is selected as a target communication sentence from the communication sentence list via the
このような通信文表示部17の画面上で、データ入力部15を介して、“前アイコンY1”が選択されると、直前通信文切替情報がヘッダ情報読取部21へ送出される。
When the “previous icon Y1” is selected via the
この直前通信文切替情報をヘッダ情報読取部21が受け取ると、通信文表示部17に表示されている対象通信文のヘッダ情報に基づいて、参照通信文の固有情報が通信文記録部14から読み出される(ステップT5,T6)。例えば、対象通信文が電子メールの場合には、電子メールM1のヘッダ情報におけるIn-Reply-ToフィールドあるいはReferencesフィールドから参照通信文の固有情報であるMessage-IDが読み出される。
When the header
続いて、この参照通信文の固有情報に基づいて、通信文記録部14から参照通信文が読み出される(ステップT7)。
Subsequently, the reference message is read from the
そして、直前通信文切替部22により、読み出された参照通信文のうち、通信文記録部14に記録された傍受日時の最も新しい参照通信文が「直前通信文」として通信文表示部17に表示される(ステップT8)。
Then, among the read reference communication texts read out by the previous communication
一方、ステップT5において、データ入力部15を介して、“後アイコンY2”が選択された場合、ヘッダ情報読取部21により、通信文表示部17に表示されている対象通信文のヘッダ情報から、この対象通信文の固有情報が読み出される(ステップT5,T9)。例えば、通信文が電子メールの場合、ヘッダ情報に含まれるMessage-IDが電子メールM1の固有情報として読み出される。
On the other hand, when “after icon Y2” is selected via the
続いて、この対象通信文の固有情報に基づいて、通信文記録部14から被参照通信文が読み出される(ステップT10)。例えば電子メールの場合には、In-Reply-ToフィールドあるいはReferencesフィールドに電子メールM1のMessage-IDが記述された電子メールが通信文記録部14から読み出される。
Subsequently, the referenced message is read from the
そして、直後通信文切替部23により、読み出された被参照通信文のうち、通信文記録部14に記録された傍受日時の最も古い被参照通信文が「直後通信文」として通信文表示部17に表示される(ステップT11)。
Then, among the read-referenced communication texts read out by the immediately-communication
(1−3.効果)
以上説明したように、本実施形態に係る通信監視記録装置10は、検索データを含む通信文を傍受日時順に並べた通信文リストから、いずれかの通信文を対象通信文として選択するためのデータ入力部15と、その対象通信文のヘッダ情報から、該対象通信文の固有情報と、該対象通信文が参照した参照通信文の固有情報とを読み取るヘッダ情報読取部21と、参照通信文の固有情報に基づいて、該参照通信文を通信文記録部14から読み出し、傍受日時が最も新しいものを表示するための直前通信文切替部22と、対象通信文の固有情報に基づいて、該対象通信文を参照した被参照通信文を通信文記録部14から読み出し、傍受日時が最も古いものを表示するための直後通信部23とを備えた構成により、通信内容を確認する際、検索データを入力後に送信元や送信先の条件等を改めて設定する必要がなく、ネットワークを流れる通信文の内容を容易に確認できる。
(1-3. Effect)
As described above, the communication monitoring and
また、通信監視記録装置10において、通信文記録部14は、通信文として電子メールを記録し、ヘッダ情報読取部21は、電子メールの固有情報であるメッセージID(Message-ID)を読み取るので、ネットワークを流れる電子メールの内容を容易に確認することができる。
In the communication monitoring and
さらに、通信監視記録装置10において、通信文記録部14は、通信文としてWebアクセス情報を記録し、ヘッダ情報読取部21は、Webアクセス情報の固有情報であるURL情報を読み取るので、ネットワークを流れるWebアクセス情報の内容を容易に確認することができる。
Further, in the communication monitoring and
また、通信監視記録装置10では、参照通信文の読み出しと被参照通信文の読み出しとは、操作画面上に表示されるアイコンY1・Y2をクリックすることにより実行されるので、通信文の内容確認の作業を容易に実行することができる。
In the communication monitoring and
なお、本実施形態において、前アイコンY1または後アイコンY2がデータ入力部15により選択されたときに、直前通信文または直後通信文が通信文記録部14から検索されているが、これらの直前通信文または直後通信文は、通信文毎に予め関連付けて記録しておいてもよい。この場合、通信文記録部14は、直前通信文のIDと直後通信文のIDとを通信文毎に記録する。具体的には、図10に示すように、電子メールの場合であれば、直前のメールIDと直後のメールIDとを個々のメールIDと関連付けて記録する。また、Webアクセス情報の場合であれば、直前のアクセスIDと直後のアクセスIDとを個々のアクセスIDと関連付けて記録する。また、図11に概念を示すように、参照/被参照の関係を通信文のIDの木構造として記録していく事も考えられる。これにより、通信監視者が、直前になされた通信文や、直後になされた通信文の閲覧を試みたときの応答速度を向上できる。
In the present embodiment, when the previous icon Y1 or the subsequent icon Y2 is selected by the
なお、本実施形態において、通信文が電子メールである場合には、通信文の固有情報としてMessage-IDを用いているが、送信者情報を利用する事もできる。すなわち、直前通信文切替情報が選択された場合、送信元のメールアドレスに対応するメールを表示し、直後通信文切替情報が選択された場合、送信先のメールアドレスに対応するメールを表示してもよい。 In the present embodiment, when the communication text is an email, Message-ID is used as unique information of the communication text, but sender information can also be used. That is, when the immediately preceding message switching information is selected, an email corresponding to the sender's email address is displayed. When immediately after the message switching information is selected, an email corresponding to the destination email address is displayed. Also good.
また、本実施形態に係る通信文表示部17は、通信文の内容とともに前アイコンY1と後アイコンY2とを表示するが、参照通信文または被参照通信文が存在しない場合には、アイコンを表示しないようにしてもよい。例えば、直前通信文が存在しない場合、図12に示すように前アイコンY1を表示しないようにしたり、図13に示すように前アイコンY1を実線ではなく破線で表示したりする。これにより、通信監視者は、通信文表示部17に表示されている通信文が一連の通信内で最初になされたものである事や、最後になされたものである事を画面を切り替えることなく認識できる。結果として、情報漏洩を発見する作業や漏洩した情報の詳細を確認する作業等を速やかに行なうことができる。
Further, the communication
<第2の実施形態>
図14は本発明の第2の実施形態に係る通信監視記録装置10Tの構成を示す模式図である。なお、既に説明した部分と同一部分には同一符号を付し、特に説明がない限りは重複した説明を省略する。また、以下の各実施形態も同様にして重複した説明を省略する。
<Second Embodiment>
FIG. 14 is a schematic diagram showing a configuration of a communication monitoring and
すなわち、本実施形態に係る通信監視記録装置10Tは、表示切替部20が暗号文判定部24をさらに備えている。
That is, in the communication monitoring and
暗号文判定部24は、通信文のヘッダ情報から、該通信文が暗号化された通信文であるか否かを判定するものである。
The
例えば、電子メールの場合、メールヘッダの“Content-Type”フィールドに記述された情報に基づいて、メール本文が暗号化された「暗号メール」であるか否かを判定する。詳しくは、PGP(Pretty Good Privacy)と呼ばれる処理系の場合、図15に示すように、メールヘッダH1の“Content-Type”フィールドR1に、「multipart/encrypted」の文字列が記述される。そこで、この文字列の有無を調べることにより、暗号メールであるか否かを判定する。また、SMIME(Secure/Multipurpose Internet Mail Extensions)と呼ばれる処理系の場合、図16に示すように、メールヘッダH2の“Content-Type”フィールドR2に「application/x-pkcs7-mime」の文字列が記述される。そこで、この文字列の有無を調べることにより、暗号メールであるか否かを判定する。なお、暗号文判定部24は、これら以外の実装においても、“Content-Type”フィールドの情報に基づいて暗号文であるか否かを判定することができる。
For example, in the case of an electronic mail, it is determined whether or not the mail body is an encrypted “encrypted mail” based on information described in the “Content-Type” field of the mail header. Specifically, in the case of a processing system called PGP (Pretty Good Privacy), as shown in FIG. 15, the character string “multipart / encrypted” is described in the “Content-Type” field R1 of the mail header H1. Therefore, by checking the presence / absence of this character string, it is determined whether or not it is an encrypted mail. In the case of a processing system called SMIME (Secure / Multipurpose Internet Mail Extensions), as shown in FIG. 16, the character string “application / x-pkcs7-mime” is stored in the “Content-Type” field R2 of the mail header H2. Described. Therefore, by checking the presence / absence of this character string, it is determined whether or not it is an encrypted mail. Note that the
また、暗号文判定部24は、選択された通信文が暗号文である場合には、その旨を通信文表示部17に送出する。これを受けて、通信文表示部17では、図17に示すように、選択された通信文に代えて、「これは暗号メールです。」等の暗号化された通信文である旨を表示する。
Further, when the selected communication text is a cipher text, the cipher
以上説明したように、本実施形態に係る通信監視記録装置10Tは、暗号文判定部24を備えているので、選択された対象通信文が暗号文である場合には、「暗号文である旨」を表示することができる。これにより、当該暗号文がどのようなやり取りの中で通信されたのかを容易に確認することができ、情報漏洩を発見したり、漏洩した情報の詳細を確認したりするための作業を速やかに行なうことができる。
As described above, the communication monitoring /
なお、本実施形態に係る暗号文判定部24は、電子メールを例にとって説明しているが、これに限られるものではない。例えば、暗号文判定部24は、Webアクセス情報のサーバポート番号情報あるいはWebアクセス情報のメソッド情報に基づいて、当該通信がSSL(Secure Sockets Layer)などの暗号通信であるか否かを判定する事も可能である。すなわち、サーバポート番号が443番であればSSLによる暗号通信と判定したり、メソッド情報がCONNECTメソッドであればSSLによる暗号通信と判定したりすることができる。そして、SSL通信が行われていると判定した場合、その旨を通信文表示部17に送出する。これを受けて、通信文表示部17では、図18に示すように、「これはSSLによる通信です。」等の表示をする。
The
<第3の実施形態>
図19は本発明の第3の実施形態に係る通信監視記録装置10Uの構成を示す模式図である。
<Third Embodiment>
FIG. 19 is a schematic diagram showing a configuration of a communication monitoring and recording apparatus 10U according to the third embodiment of the present invention.
本実施形態に係る通信監視記録装置10Uは、表示切替部20がURL情報判定部25をさらに備えている。
In the communication monitoring and recording apparatus 10U according to the present embodiment, the
URL情報判定部25は、電子メール本文中にURL情報が記述されているか否かを判定するものである。具体的には、図20に示すように、対象通信文が電子メールである場合に、前アイコンY1または後アイコンY2がデータ入力部15により選択されると、URL情報判定部25は、「http://」等の文字列を検索して、電子メール本文中にURL情報が記述されているか否かを判定する(ステップU1,U2)。そして、電子メール本文中にURL情報が記述されていると判定した場合、該URL情報を通信文表示部17に送出する。これを受けて、通信文表示部17では、図21に示すように、“後(Web)” と書かれた矢印のアイコン(以下、「Webアイコン」ともいう)Y3を表示する(ステップU2−Yes,U3)。
The URL
そして、通信文表示部17の画面上でWebアイコンY3が選択された場合、URL情報判定部25は、電子メール本文中に記述されたURL情報に対応するWebアクセス情報を通信文記録部14から読み出して通信文表示部17に表示する。
When the web icon Y3 is selected on the screen of the communication
以上説明したように、本実施形態に係る通信監視記録装置10Uは、URL情報判定部25を備えているので、通信監視者は、電子メール本文中にURL情報が記述されていた場合、WebアイコンY3をクリックする事などにより、そのURL情報に対応するWebサイトを容易に調査することができる。
As described above, the communication monitoring and recording apparatus 10U according to the present embodiment includes the URL
これにより、選択された電子メールがどのようなやり取りの中で通信されたのかを容易に確認することができ、情報漏洩を発見したり、漏洩した情報の詳細を確認したりするための作業を速やかに行なうことができる。 As a result, it is possible to easily confirm in which exchange the selected e-mail was communicated, and work for discovering information leakage and confirming details of leaked information It can be done quickly.
<第4の実施形態>
図22は本発明の第4の実施形態に係る通信監視記録装置10Vの構成を示す模式図である。
<Fourth Embodiment>
FIG. 22 is a schematic diagram showing a configuration of a communication monitoring and
本実施形態に係る通信監視記録装置10Vは、表示切替部20がメールアドレス情報判定部26をさらに備えている。
In the communication monitoring and
メールアドレス情報判定部26は、Webアクセス情報に電子メールのメールアドレス情報が記述されているか否か判定するものである。具体的には、図23に示すように、対象通信文がWebアクセス情報である場合に、前アイコンY1または後アイコンY2がデータ入力部15により選択されると、メールアドレス情報判定部は、「@---.jp」等の文字列を検索して、Webアクセス情報に電子メールのメールアドレス情報が記述されているか否かを判定する(ステップV1,V2)。そして、Webアクセス情報にメールアドレス情報が記述されていると判定した場合、該メールアドレス情報を通信文表示部17に送出する。これを受けて、通信文表示部17では、図24に示すように、“後(mail)” と書かれた矢印のアイコン(以下、「mailアイコン」ともいう)Y4を表示する(ステップV2−Yes,V3)。
The e-mail address
そして、通信文表示部17の画面上で、mailアイコンY4が選択された場合、メールアドレス情報判定部26は、Webアクセス情報に記述されたメールアドレス情報を送信先とした電子メールを通信文記録部14から検索する。そして、電子メールが検索された場合には、その電子メールを通信文表示部17に表示する。
When the mail icon Y4 is selected on the screen of the communication
以上説明したように、本実施形態に係る通信監視記録装置10Vは、メールアドレス情報判定部26を備えているので、通信監視者は、Webアクセス情報内にメールアドレス情報が記述されていた場合、mailアイコンY4をクリックする事などにより、そのメールアドレス情報に対応する電子メール本文の内容を容易に調査することができる。
As described above, the communication monitoring and
これにより、選択されたWebアクセス情報がどのようなやり取りの中で通信されたのかを容易に確認することができ、情報漏洩を発見したり、漏洩した情報の詳細を確認したりするための作業を速やかに行なうことができる。 As a result, it is possible to easily confirm in which exchange the selected Web access information was communicated, and work for finding information leaks and confirming details of leaked information Can be performed promptly.
<その他>
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
<Others>
Note that the method described in the above embodiment is a program that can be executed by a computer, such as a magnetic disk (floppy (registered trademark) disk, hard disk, etc.), an optical disk (CD-ROM, DVD, etc.), a magneto-optical disk (MO). ), And can be distributed in a storage medium such as a semiconductor memory.
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。 In addition, as long as the storage medium can store a program and can be read by a computer, the storage format may be any form.
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。 In addition, an OS (operating system) operating on the computer based on an instruction of a program installed in the computer from the storage medium, MW (middleware) such as database management software, network software, and the like implement the above-described embodiment. A part of each process may be executed.
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。 Furthermore, the storage medium in the present invention is not limited to a medium independent of a computer, but also includes a storage medium that downloads and stores or temporarily stores a program transmitted via a LAN, the Internet, or the like.
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。 Further, the number of storage media is not limited to one, and the case where the processing in the above embodiment is executed from a plurality of media is also included in the storage media in the present invention, and the media configuration may be any configuration.
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。 The computer according to the present invention executes each process in the above-described embodiment based on a program stored in a storage medium, and is a single device such as a personal computer or a system in which a plurality of devices are connected to a network. Any configuration may be used.
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。 In addition, the computer in the present invention is not limited to a personal computer, but includes an arithmetic processing device, a microcomputer, and the like included in an information processing device, and is a generic term for devices and devices that can realize the functions of the present invention by a program. .
10・・・通信監視記録装置、11・・・ネットワークインタフェース部、12・・・パケットデータキャプチャ部、13・・・通信文再構築部、14・・・通信文記録部、15・・・データ入力部、16・・・リスト作成部、17・・・通信文表示部、20・・・表示切替部、21・・・ヘッダ情報読取部、22・・・直前通信文切替部、23・・・直後通信文切替部、24・・・暗号文判定部、25・・・URL情報判定部、Y1・・・前アイコン、Y2・・・後アイコン、Y3・・・Webアイコン、Y4・・・mailアイコン。
DESCRIPTION OF
Claims (5)
検索データを入力するための入力手段と、
前記通信文記録手段に記録された通信文から前記検索データを含む通信文を読み出し、該読み出した通信文を傍受日時順に並べた通信文リストを表示するための通信文表示手段と、
前記通信文リストから、対象通信文を選択するための選択手段と、
前記選択手段により選択された対象通信文を表示する手段と、
前記選択手段により選択された対象通信文のヘッダ情報から、該対象通信文の固有情報と、該対象通信文が参照した参照通信文の固有情報とを読み取るヘッダ情報読取手段と、
前記ヘッダ情報読取手段により読み取られた参照通信文の固有情報に基づいて、該参照通信文を前記通信文記録手段から読み出す参照通信文読出手段と、
前記参照通信文読出手段により読み出された参照通信文の、傍受日時が最も新しいものを表示するための手段と、
前記ヘッダ情報読取手段により読み取られた対象通信文の固有情報に基づいて、該対象通信文を参照した被参照通信文を前記通信文記録手段から読み出す被参照通信文読出手段と、
前記被参照通信文読出手段により読み出された被参照通信文の、傍受日時が最も古いものを表示するための手段と
を備えた通信監視記録装置であって、
前記選択手段により電子メールの通信文が選択された場合、該電子メール本文中にURL情報が記述されているか否かを判定するURL情報判定手段と、
前記URL情報判定手段によりURL情報が記述されていると判定した場合、該URL情報に対応するWebアクセス情報を前記通信文記録手段から読み出して表示する手段と
を備えたことを特徴とする通信監視記録装置。 A message recording means for recording a message intercepted from the network in association with the intercept date and time,
Input means for entering search data;
A communication message display unit for reading a communication message including the search data from the communication message recorded in the communication message recording unit, and displaying a communication message list in which the read communication messages are arranged in the order of intercept date;
Selection means for selecting a target communication sentence from the communication sentence list;
Means for displaying a target message selected by the selection means;
Header information reading means for reading, from the header information of the target communication text selected by the selection means, the specific information of the target communication text and the specific information of the reference communication text referred to by the target communication text;
A reference message reading unit that reads the reference message from the message recording unit based on the unique information of the reference message read by the header information reading unit;
Means for displaying the reference message read by the reference message reading means with the latest intercept date and time;
Based on the specific information of the target communication text read by the header information reading means, the referenced communication text reading means for reading the referenced communication text referring to the target communication text from the communication text recording means;
Wherein the referenced communication text reading referenced communication text read by means, interception date a communication monitoring recording and means for displaying the oldest,
URL information determination means for determining whether or not URL information is described in the e-mail text when an e-mail message is selected by the selection means;
Means for reading out and displaying the web access information corresponding to the URL information from the message recording means when it is determined that the URL information is described by the URL information determining means;
A communication monitoring and recording apparatus comprising:
検索データを入力するための入力手段と、
前記通信文記録手段に記録された通信文から前記検索データを含む通信文を読み出し、該読み出した通信文を傍受日時順に並べた通信文リストを表示するための通信文表示手段と、
前記通信文リストから、対象通信文を選択するための選択手段と、
前記選択手段により選択された対象通信文を表示する手段と、
前記選択手段により選択された対象通信文のヘッダ情報から、該対象通信文の固有情報と、該対象通信文が参照した参照通信文の固有情報とを読み取るヘッダ情報読取手段と、
前記ヘッダ情報読取手段により読み取られた参照通信文の固有情報に基づいて、該参照通信文を前記通信文記録手段から読み出す参照通信文読出手段と、
前記参照通信文読出手段により読み出された参照通信文の、傍受日時が最も新しいものを表示するための手段と、
前記ヘッダ情報読取手段により読み取られた対象通信文の固有情報に基づいて、該対象通信文を参照した被参照通信文を前記通信文記録手段から読み出す被参照通信文読出手段と、
前記被参照通信文読出手段により読み出された被参照通信文の、傍受日時が最も古いものを表示するための手段と
を備えた通信監視記録装置であって、
前記選択手段によりWebアクセス情報の通信文が選択された場合、該Webアクセス情報に電子メールのメールアドレス情報が記述されているか否かを判定するメールアドレス情報判定手段と、
前記メールアドレス情報判定手段によりメールアドレス情報が記述されていると判定した場合、該メールアドレス情報を送信先とした電子メールを前記通信文記録手段から読み出して表示する手段と
を備えたことを特徴とする通信記録監視装置。 A message recording means for recording a message intercepted from the network in association with the intercept date and time,
Input means for entering search data;
A communication message display unit for reading a communication message including the search data from the communication message recorded in the communication message recording unit, and displaying a communication message list in which the read communication messages are arranged in the order of intercept date;
Selection means for selecting a target communication sentence from the communication sentence list;
Means for displaying a target message selected by the selection means;
Header information reading means for reading, from the header information of the target communication text selected by the selection means, the specific information of the target communication text and the specific information of the reference communication text referred to by the target communication text;
A reference message reading unit that reads the reference message from the message recording unit based on the unique information of the reference message read by the header information reading unit;
Means for displaying the reference message read by the reference message reading means with the latest intercept date and time;
Based on the specific information of the target communication text read by the header information reading means, the referenced communication text reading means for reading the referenced communication text referring to the target communication text from the communication text recording means;
Wherein the referenced communication text reading referenced communication text read by means, interception date a communication monitoring recording and means for displaying the oldest,
When the communication text of the Web access information is selected by the selection means, a mail address information determination means for determining whether or not email address information of an email is described in the Web access information;
Means for reading and displaying an e-mail addressed to the e-mail address information from the message recording means when the e-mail address information determining means determines that e-mail address information is described;
A communication record monitoring apparatus comprising:
前記参照通信文読出手段と前記被参照通信文読出手段とは、操作画面上に表示されるアイコンを指定することにより実行されることを特徴とする通信監視記録装置。The communication monitoring and recording apparatus, wherein the reference message reading unit and the referenced message reading unit are executed by designating an icon displayed on an operation screen.
前記参照通信文読出手段により読み出される参照通信文の傍受日時が最も古い参照通信文である場合、その旨を表示する手段をさらに備えたことを特徴とする通信記録監視装置。A communication record monitoring apparatus, further comprising means for displaying, when the reference communication text read by the reference communication text reading means is the oldest reference communication text.
前記被参照通信文読出手段により読み出される被参照通信文の傍受日時が最も新しい被参照通信文である場合、その旨を表示する手段をさらに備えたことを特徴とする通信記録監視装置。A communication record monitoring apparatus, further comprising means for displaying, when the referenced communication text read by the referenced communication text reading means is the latest referenced communication text.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006297006A JP4334560B2 (en) | 2006-10-31 | 2006-10-31 | Communication record monitoring device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006297006A JP4334560B2 (en) | 2006-10-31 | 2006-10-31 | Communication record monitoring device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008118198A JP2008118198A (en) | 2008-05-22 |
| JP4334560B2 true JP4334560B2 (en) | 2009-09-30 |
Family
ID=39503824
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006297006A Expired - Fee Related JP4334560B2 (en) | 2006-10-31 | 2006-10-31 | Communication record monitoring device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4334560B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5014199B2 (en) * | 2008-02-29 | 2012-08-29 | 三菱電機株式会社 | Communication recording apparatus, communication data processing method, and communication data processing program |
| JP6357093B2 (en) * | 2014-12-11 | 2018-07-11 | Tis株式会社 | Log analysis method, log analysis program, and log analysis apparatus |
-
2006
- 2006-10-31 JP JP2006297006A patent/JP4334560B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008118198A (en) | 2008-05-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5917573B2 (en) | Real-time data awareness and file tracking system and method | |
| US10757090B2 (en) | Secure application access system | |
| US20200125764A1 (en) | Security Systems and Methods for Encoding and Decoding Digital Content | |
| JP5676709B2 (en) | Network management system, method thereof, and program | |
| US9552492B2 (en) | Secure application access system | |
| JP4871113B2 (en) | Method and system for providing version control of email attachments | |
| CN101523832B (en) | Messaging system | |
| US7343559B1 (en) | Computer-readable recorded medium on which image file is recorded, device for producing the recorded medium, medium on which image file creating program is recorded, device for transmitting image file, device for processing image file, and medium on which image file processing program is recorded | |
| US20250284850A1 (en) | Security Systems and Methods for Social Networking | |
| US20150039886A1 (en) | Secure application access system | |
| JP5417533B2 (en) | Computer system management method and client computer | |
| Gregorio et al. | Forensic analysis of telegram messenger for windows phone | |
| CN101656710A (en) | Proactive audit system and method | |
| Mee et al. | The Windows Registry as a forensic artefact: Illustrating evidence collection for Internet usage | |
| JP4334560B2 (en) | Communication record monitoring device | |
| US20050091401A1 (en) | Selective mirrored site accesses from a communication | |
| Năstase et al. | Cowrie ssh honeypot: Architecture, improvements and data visualization | |
| US8127314B2 (en) | Method for using information in another domain, program for using information in another domain, and information transfer program | |
| US11516226B2 (en) | Contextual analyses of network traffic | |
| Hassan | Web browser and e-mail forensics | |
| Phiri et al. | Network Monitoring System | |
| Jourdan | Centralized web proxy services: Security and privacy considerations | |
| Cheng et al. | Forensics tools for social network security solutions | |
| Jayanetti | Supporting Account-based Queries for Archived Instagram Posts | |
| JP2010233042A (en) | System for generation of detection rule, and system for search of transmission line with the same |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080929 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081007 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081202 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090602 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090623 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120703 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130703 Year of fee payment: 4 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |