Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6023738B2 - Transmission packet analysis system, transmission packet analysis device, and transmission packet analysis program - Google Patents
[go: Go Back, main page]

JP6023738B2 - Transmission packet analysis system, transmission packet analysis device, and transmission packet analysis program - Google Patents

Transmission packet analysis system, transmission packet analysis device, and transmission packet analysis program Download PDF

Info

Publication number
JP6023738B2
JP6023738B2 JP2014056371A JP2014056371A JP6023738B2 JP 6023738 B2 JP6023738 B2 JP 6023738B2 JP 2014056371 A JP2014056371 A JP 2014056371A JP 2014056371 A JP2014056371 A JP 2014056371A JP 6023738 B2 JP6023738 B2 JP 6023738B2
Authority
JP
Japan
Prior art keywords
transmission
packet
communication packet
file
session
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014056371A
Other languages
Japanese (ja)
Other versions
JP2015179955A (en
Inventor
ちあき 城野
ちあき 城野
真純 日池
真純 日池
直 山内
直 山内
誠司 西野
誠司 西野
和樹 近藤
和樹 近藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Space Software Co Ltd
Original Assignee
Mitsubishi Space Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Space Software Co Ltd filed Critical Mitsubishi Space Software Co Ltd
Priority to JP2014056371A priority Critical patent/JP6023738B2/en
Publication of JP2015179955A publication Critical patent/JP2015179955A/en
Application granted granted Critical
Publication of JP6023738B2 publication Critical patent/JP6023738B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、送信パケットを解析するための技術に関するものである。   The present invention relates to a technique for analyzing a transmission packet.

従来のパケット解析システムは、送信パケットと受信パケットとの両方をキャプチャし、送信データと受信データとを復元する。   A conventional packet analysis system captures both transmission packets and reception packets and restores transmission data and reception data.

しかし、情報漏洩を調査したい場合、送信データと受信データとのうちの送信データだけを検査すれば、情報漏洩を調査することができる。
また、Webサーバから受信される受信データは画像および音声などを含む場合も多いため、Webサーバから受信される受信データの量はWebサーバへ送信される送信データの量と比較して多い。
そして、情報漏洩の調査に不要な受信パケットを解析するために、多くの記憶容量と多くの処理時間とを費やしてしまう。
そのため、従来のパケット解析システムは、大容量の記憶装置および高性能なコンピュータが必要であり、導入することが困難な場合もあった。
However, when it is desired to investigate information leakage, information leakage can be investigated by examining only transmission data of transmission data and reception data.
In addition, since the reception data received from the Web server often includes images and sounds, the amount of reception data received from the Web server is larger than the amount of transmission data transmitted to the Web server.
Then, in order to analyze a received packet that is unnecessary for investigating information leakage, a lot of storage capacity and a lot of processing time are consumed.
Therefore, the conventional packet analysis system requires a large-capacity storage device and a high-performance computer and may be difficult to introduce.

特開2007−173931号公報JP 2007-173931 A

本発明は、送信パケットと受信パケットとのうちの送信パケットだけを解析できるようにすることを目的とする。   An object of the present invention is to make it possible to analyze only a transmission packet of a transmission packet and a reception packet.

本発明の送信パケット解析システムは、
ローカルエリアネットワークに接続する内部装置とインターネットに接続する外部装置との間で通信される通信パケットを受信し、受信した前記通信パケットを送信先へ中継し、受信した前記通信パケットのうちで前記内部装置から前記外部装置へ送信される送信パケットだけを出力する中継装置と、
前記中継装置から出力された前記送信パケットを取得し、取得した前記送信パケットを解析する送信パケット解析装置とを備える。
The transmission packet analysis system of the present invention is
Receives a communication packet communicated between an internal device connected to a local area network and an external device connected to the Internet, relays the received communication packet to a destination, and among the received communication packets, the internal packet A relay device that outputs only transmission packets transmitted from the device to the external device;
A transmission packet analysis device that acquires the transmission packet output from the relay device and analyzes the acquired transmission packet.

前記中継装置は、前記送信パケットだけを前記送信パケット解析装置へ出力する設定がされたスイッチ装置またはネットワークタップ装置である。   The relay device is a switch device or a network tap device that is set to output only the transmission packet to the transmission packet analysis device.

前記送信パケット解析システムは、
ローカルエリアネットワークに接続する内部装置とインターネットに接続する外部装置との間で通信される通信パケットを受信し、受信した前記通信パケットを送信先へ中継し、受信した前記通信パケットを出力する中継装置と、
前記中継装置から出力された前記通信パケットを取得し、取得した前記通信パケットのうちで前記内部装置から前記外部装置へ送信される送信パケットだけを解析する送信パケット解析装置とを備える。
The transmission packet analysis system includes:
A relay device that receives a communication packet communicated between an internal device connected to a local area network and an external device connected to the Internet, relays the received communication packet to a destination, and outputs the received communication packet When,
A transmission packet analyzing device that acquires the communication packet output from the relay device and analyzes only the transmission packet transmitted from the internal device to the external device among the acquired communication packets.

前記送信パケット解析装置は、
前記中継装置から出力される前記通信パケットを取得する通信パケット取得部と、
前記通信パケット取得部によって取得された前記通信パケットに含まれるヘッダの情報に基づいて、前記通信パケットが前記送信パケットであるか判定する通信パケットフィルタ部と、
前記通信パケットフィルタ部によって前記通信パケットが前記送信パケットであると判定された場合、前記通信パケットを解析する送信パケット解析部とを備える。
The transmission packet analysis device includes:
A communication packet acquisition unit for acquiring the communication packet output from the relay device;
A communication packet filter unit for determining whether the communication packet is the transmission packet based on information of a header included in the communication packet acquired by the communication packet acquisition unit;
A transmission packet analyzing unit that analyzes the communication packet when the communication packet filter unit determines that the communication packet is the transmission packet;

前記通信パケットフィルタ部は、
前記通信パケットが前記送信パケットである場合、前記通信パケットを記憶部に記憶し、
前記通信パケットが前記送信パケットでない場合、前記通信パケットを前記記憶部に記憶せずに前記通信パケットを破棄する。
The communication packet filter unit
If the communication packet is the transmission packet, store the communication packet in a storage unit,
If the communication packet is not the transmission packet, the communication packet is discarded without storing the communication packet in the storage unit.

前記送信パケット解析部は、
1つ以上の送信パケットのそれぞれに含まれる送信データを用いて、各送信データを含んだセッションファイルを生成するセッション復元部と、
前記セッション復元部によって生成された前記セッションファイルに、前記内部装置から前記外部装置へ送信された送信ファイルが含まれるか判定するセッション解析部と、
前記セッション解析部によって前記セッションファイルに前記送信ファイルが含まれると判定された場合、前記セッションファイルに含まれる前記送信ファイルを検査する送信ファイル検査部とを備える。
The transmission packet analysis unit
A session restoration unit that generates a session file including each transmission data by using transmission data included in each of the one or more transmission packets;
A session analysis unit for determining whether the transmission file transmitted from the internal device to the external device is included in the session file generated by the session restoration unit;
A transmission file inspection unit that inspects the transmission file included in the session file when the session analysis unit determines that the transmission file is included in the session file;

本発明の送信パケット解析装置は、
ローカルエリアネットワークに接続する内部装置とインターネットに接続する外部装置との間で通信される通信パケットを中継する中継装置から、前記通信パケットを取得する通信パケット取得部と、
前記通信パケット取得部によって取得された前記通信パケットに含まれるヘッダの情報に基づいて、前記通信パケットが前記内部装置から前記外部装置へ送信された送信パケットであるか判定する通信パケットフィルタ部と、
前記通信パケットフィルタ部によって前記通信パケットが前記送信パケットであると判定された場合、前記通信パケットを解析する送信パケット解析部とを備える。
The transmission packet analysis device of the present invention is
A communication packet acquisition unit that acquires the communication packet from a relay device that relays a communication packet communicated between an internal device connected to the local area network and an external device connected to the Internet;
A communication packet filter unit that determines whether the communication packet is a transmission packet transmitted from the internal device to the external device based on information of a header included in the communication packet acquired by the communication packet acquisition unit;
A transmission packet analyzing unit that analyzes the communication packet when the communication packet filter unit determines that the communication packet is the transmission packet;

前記通信パケットフィルタ部は、
前記通信パケットが前記送信パケットである場合、前記通信パケットを記憶部に記憶し、
前記通信パケットが前記送信パケットでない場合、前記通信パケットを前記記憶部に記憶せずに前記通信パケットを破棄する。
The communication packet filter unit
If the communication packet is the transmission packet, store the communication packet in a storage unit,
If the communication packet is not the transmission packet, the communication packet is discarded without storing the communication packet in the storage unit.

前記送信パケット解析部は、
1つ以上の送信パケットのそれぞれに含まれる送信データを用いて、各送信データを含んだセッションファイルを生成するセッション復元部と、
前記セッション復元部によって生成された前記セッションファイルに、前記内部装置から前記外部装置へ送信された送信ファイルが含まれるか判定するセッション解析部と、
前記セッション解析部によって前記セッションファイルに前記送信ファイルが含まれると判定された場合、前記セッションファイルに含まれる前記送信ファイルを検査する送信ファイル検査部とを備える。
The transmission packet analysis unit
A session restoration unit that generates a session file including each transmission data by using transmission data included in each of the one or more transmission packets;
A session analysis unit for determining whether the transmission file transmitted from the internal device to the external device is included in the session file generated by the session restoration unit;
A transmission file inspection unit that inspects the transmission file included in the session file when the session analysis unit determines that the transmission file is included in the session file;

本発明の送信パケット解析プログラムは、
ローカルエリアネットワークに接続する内部装置とインターネットに接続する外部装置との間で通信される通信パケットを中継する中継装置から、前記通信パケットを取得する通信パケット取得処理と、
前記通信パケット取得処理によって取得された前記通信パケットに含まれるヘッダの情報に基づいて、前記通信パケットが前記内部装置から前記外部装置へ送信された送信パケットであるか判定する通信パケットフィルタ処理と、
前記通信パケットフィルタ処理によって前記通信パケットが前記送信パケットであると判定された場合、前記通信パケットを解析する送信パケット解析処理と
をコンピュータに実行させる。
The transmission packet analysis program of the present invention is
A communication packet acquisition process for acquiring the communication packet from a relay device that relays a communication packet communicated between an internal device connected to the local area network and an external device connected to the Internet;
A communication packet filtering process for determining whether the communication packet is a transmission packet transmitted from the internal apparatus to the external apparatus, based on information of a header included in the communication packet acquired by the communication packet acquisition process;
If the communication packet filtering process determines that the communication packet is the transmission packet, the computer is caused to execute a transmission packet analysis process for analyzing the communication packet.

前記通信パケットフィルタ処理は、
前記通信パケットが前記送信パケットである場合、前記通信パケットを記憶部に記憶し、
前記通信パケットが前記送信パケットでない場合、前記通信パケットを前記記憶部に記憶せずに前記通信パケットを破棄する。
The communication packet filter process is:
If the communication packet is the transmission packet, store the communication packet in a storage unit,
If the communication packet is not the transmission packet, the communication packet is discarded without storing the communication packet in the storage unit.

前記送信パケット解析処理は、
1つ以上の送信パケットのそれぞれに含まれる送信データを用いて、各送信データを含んだセッションファイルを生成するセッション復元処理と、
前記セッション復元処理によって生成された前記セッションファイルに、前記内部装置から前記外部装置へ送信された送信ファイルが含まれるか判定するセッション解析処理と、
前記セッション解析処理によって前記セッションファイルに前記送信ファイルが含まれると判定された場合、前記セッションファイルに含まれる前記送信ファイルを検査する送信ファイル検査処理とを備える。
The transmission packet analysis process includes:
A session restoration process for generating a session file including each transmission data using transmission data included in each of the one or more transmission packets;
A session analysis process for determining whether the session file generated by the session restoration process includes a transmission file transmitted from the internal device to the external device;
A transmission file inspection process for inspecting the transmission file included in the session file when the session analysis process determines that the transmission file is included in the session file.

本発明によれば、送信パケットと受信パケットとのうちの送信パケットだけを解析することができる。   According to the present invention, it is possible to analyze only the transmission packet of the transmission packet and the reception packet.

実施の形態1における送信パケット解析システム100の構成図である。1 is a configuration diagram of a transmission packet analysis system 100 according to Embodiment 1. FIG. 実施の形態1における通信パケット190の構成図である。3 is a configuration diagram of a communication packet 190 according to Embodiment 1. FIG. 実施の形態1における送信パケット取得方法のフローチャートである。4 is a flowchart of a transmission packet acquisition method in the first embodiment. 実施の形態1における送信パケット解析装置200のハードウェア構成図である。3 is a hardware configuration diagram of a transmission packet analysis apparatus 200 according to Embodiment 1. FIG. 実施の形態2における送信パケット解析システム100の構成図である。6 is a configuration diagram of a transmission packet analysis system 100 according to Embodiment 2. FIG. 実施の形態2における送信パケット取得方法のフローチャートである。10 is a flowchart of a transmission packet acquisition method in the second embodiment. 実施の形態3における送信パケット解析システム100の構成図である。FIG. 10 is a configuration diagram of a transmission packet analysis system 100 in a third embodiment. 実施の形態3におけるフィルタファイル291の一例を示す図である。FIG. 20 is a diagram illustrating an example of a filter file 291 according to Embodiment 3. 実施の形態3における送信パケット取得方法のフローチャートである。10 is a flowchart of a transmission packet acquisition method according to Embodiment 3. 実施の形態4における送信パケット解析装置200が備える送信パケット解析部300の機能構成図である。FIG. 10 is a functional configuration diagram of a transmission packet analysis unit 300 included in a transmission packet analysis device 200 according to Embodiment 4. 実施の形態4における送信パケット解析装置200が実行する送信パケット解析処理のフローチャートである。14 is a flowchart of a transmission packet analysis process executed by the transmission packet analysis apparatus 200 according to the fourth embodiment. 実施の形態4におけるセッションファイル292の一例を示す図である。FIG. 20 is a diagram illustrating an example of a session file 292 according to Embodiment 4.

実施の形態1.
スイッチ装置(中継装置の一例)が送信パケットだけを送信パケット解析装置へ出力する形態について説明する。
Embodiment 1 FIG.
A mode in which the switch device (an example of the relay device) outputs only the transmission packet to the transmission packet analysis device will be described.

図1は、実施の形態1における送信パケット解析システム100の構成図である。
実施の形態1における送信パケット解析システム100の構成について、図1に基づいて説明する。但し、送信パケット解析システム100の構成は図1と異なる構成であっても構わない。
FIG. 1 is a configuration diagram of a transmission packet analysis system 100 according to the first embodiment.
The configuration of transmission packet analysis system 100 according to Embodiment 1 will be described with reference to FIG. However, the configuration of the transmission packet analysis system 100 may be different from that in FIG.

送信パケット解析システム100は、受信パケット102と送信パケット101とのうちの送信パケット101だけを解析するシステムである。
送信パケット101は、クライアント装置110がサーバ装置120へ送信する通信パケット190(図2参照)である。HTTPの要求メッセージは、送信パケット101によって通信されるアプリケーションデータの一例である。HTTPはHyperText
Transfer Protocolの略称である。
受信パケット102は、クライアント装置110がサーバ装置120から受信する通信パケット190(図2参照)である。HTTPの応答メッセージは、受信パケット102によって通信されるアプリケーションデータの一例である。
The transmission packet analysis system 100 is a system that analyzes only the transmission packet 101 out of the reception packet 102 and the transmission packet 101.
The transmission packet 101 is a communication packet 190 (see FIG. 2) that the client device 110 transmits to the server device 120. The HTTP request message is an example of application data communicated by the transmission packet 101. HTTP is HyperText
Abbreviation for Transfer Protocol.
The received packet 102 is a communication packet 190 (see FIG. 2) that the client device 110 receives from the server device 120. The HTTP response message is an example of application data communicated by the received packet 102.

送信パケット解析システム100は、クライアント装置110(内部装置の一例)と、サーバ装置120(外部装置の一例)と、スイッチ装置130(中継装置の一例)と、送信パケット解析装置200とを備える。
クライアント装置110は、ローカルエリアネットワーク119に接続し、サーバ装置120へ送信パケット101を送信し、サーバ装置120から受信パケット102を受信する。LANはローカルエリアネットワーク119の略称である。
サーバ装置120は、インターネット129に接続し、クライアント装置110から送信パケット101を受信し、クライアント装置110へ受信パケット102を送信する。
The transmission packet analysis system 100 includes a client device 110 (an example of an internal device), a server device 120 (an example of an external device), a switch device 130 (an example of a relay device), and a transmission packet analysis device 200.
The client device 110 is connected to the local area network 119, transmits the transmission packet 101 to the server device 120, and receives the reception packet 102 from the server device 120. LAN is an abbreviation for local area network 119.
The server device 120 is connected to the Internet 129, receives the transmission packet 101 from the client device 110, and transmits the reception packet 102 to the client device 110.

スイッチ装置130は、ローカルエリアネットワーク119とインターネット129とに接続し、クライアント装置110とサーバ装置120との間で通信される通信パケット190を中継する装置である。スイッチ装置130はネットワークスイッチとも呼ばれる。   The switch device 130 is a device that connects to the local area network 119 and the Internet 129 and relays the communication packet 190 communicated between the client device 110 and the server device 120. The switch device 130 is also called a network switch.

スイッチ装置130は、LANポート131と、インターネットポート132と、ミラーポート133とを備える。
LANポート131は、ローカルエリアネットワーク119に繋がる通信ケーブルが接続されるポートである。
インターネットポート132は、インターネット129に繋がる通信ケーブルが接続されるポートである。
ミラーポート133は、送信パケット解析装置200に繋がる通信ケーブルが接続されるポートである。
The switch device 130 includes a LAN port 131, an Internet port 132, and a mirror port 133.
The LAN port 131 is a port to which a communication cable connected to the local area network 119 is connected.
The Internet port 132 is a port to which a communication cable connected to the Internet 129 is connected.
The mirror port 133 is a port to which a communication cable connected to the transmission packet analysis device 200 is connected.

スイッチ装置130は、LANポート131に入力された送信パケット101をインターネットポート132からインターネット129へ出力する。さらに、スイッチ装置130は、送信パケット101をミラーポート133から送信パケット解析装置200へ出力する。
スイッチ装置130は、インターネットポート132に入力された受信パケット102をLANポート131からローカルエリアネットワーク119へ出力する。但し、スイッチ装置130は、受信パケット102をミラーポート133から送信パケット解析装置200へ出力しない。
The switch device 130 outputs the transmission packet 101 input to the LAN port 131 from the Internet port 132 to the Internet 129. Further, the switch device 130 outputs the transmission packet 101 from the mirror port 133 to the transmission packet analysis device 200.
The switch device 130 outputs the received packet 102 input to the Internet port 132 from the LAN port 131 to the local area network 119. However, the switch device 130 does not output the received packet 102 from the mirror port 133 to the transmitted packet analysis device 200.

スイッチ装置130は、設定ファイルが記憶されるメモリ(図示省略)を備える。
設定ファイルは、送信パケット101だけを送信パケット解析装置200に出力する設定が記述されたファイルである。
The switch device 130 includes a memory (not shown) in which a setting file is stored.
The setting file is a file in which settings for outputting only the transmission packet 101 to the transmission packet analyzing apparatus 200 are described.

送信パケット解析装置200は、スイッチ装置130から出力される送信パケット101を解析する装置である。
送信パケット解析装置200は、送信パケット取得部210と、送信パケット解析部300と、解析記憶部290とを備える。
送信パケット取得部210は、スイッチ装置130から出力される送信パケット101を取得する。
送信パケット解析部300は、送信パケット101を解析する。例えば、送信パケット解析部300は、個人情報または機密情報などの秘匿情報が送信パケット101に含まれるか否かを解析する。
解析記憶部290は、送信パケット解析装置200で使用、生成または入出力されるデータを記憶する。例えば、解析記憶部290は送信パケット101を記憶する。解析記憶部290は、主記憶装置および補助記憶装置によって実装される。
The transmission packet analysis device 200 is a device that analyzes the transmission packet 101 output from the switch device 130.
The transmission packet analysis device 200 includes a transmission packet acquisition unit 210, a transmission packet analysis unit 300, and an analysis storage unit 290.
The transmission packet acquisition unit 210 acquires the transmission packet 101 output from the switch device 130.
The transmission packet analysis unit 300 analyzes the transmission packet 101. For example, the transmission packet analysis unit 300 analyzes whether confidential information such as personal information or confidential information is included in the transmission packet 101.
The analysis storage unit 290 stores data used, generated or input / output by the transmission packet analysis device 200. For example, the analysis storage unit 290 stores the transmission packet 101. The analysis storage unit 290 is implemented by a main storage device and an auxiliary storage device.

図2は、実施の形態1における通信パケット190の構成図である。
実施の形態1における通信パケット190の構成について、図2に基づいて説明する。
通信パケット190は、IPヘッダ191と、TCPヘッダ192と、通信データ193とを備える。通信パケット190はIPパケットとも呼ばれる。IPはInternet Protocolの略称であり、TCPはTransmission Control Protocolの略称である。
FIG. 2 is a configuration diagram of the communication packet 190 in the first embodiment.
The configuration of communication packet 190 in the first embodiment will be described with reference to FIG.
The communication packet 190 includes an IP header 191, a TCP header 192, and communication data 193. The communication packet 190 is also called an IP packet. IP is an abbreviation for Internet Protocol, and TCP is an abbreviation for Transmission Control Protocol.

IPヘッダ191は、送信元IPアドレスおよび宛先IPアドレスなどの情報を含む。
送信パケット101において、送信元IPアドレスはクライアント装置110のIPアドレスであり、宛先IPアドレスはサーバ装置120のIPアドレスである。但し、サーバ装置120のIPアドレスは、SMTPサーバ、HTTPサーバまたはファイアウォールのIPアドレスと読み替えてもよい(以下同様)。
受信パケット102において、送信元IPアドレスはサーバ装置120のIPアドレスであり、宛先IPアドレスはクライアント装置110のIPアドレスである。
The IP header 191 includes information such as a source IP address and a destination IP address.
In the transmission packet 101, the transmission source IP address is the IP address of the client device 110, and the destination IP address is the IP address of the server device 120. However, the IP address of the server device 120 may be read as the IP address of the SMTP server, HTTP server, or firewall (the same applies hereinafter).
In the received packet 102, the source IP address is the IP address of the server device 120, and the destination IP address is the IP address of the client device 110.

TCPヘッダ192は、送信元ポート番号および宛先ポート番号などの情報を含む。
送信パケット101において、送信元ポート番号はクライアント装置110のポート番号であり、宛先ポート番号はサーバ装置120のポート番号である。
受信パケット102において、送信元ポート番号はサーバ装置120のポート番号であり、宛先ポート番号はクライアント装置110のポート番号である。
The TCP header 192 includes information such as a transmission source port number and a destination port number.
In the transmission packet 101, the transmission source port number is the port number of the client device 110, and the destination port number is the port number of the server device 120.
In the received packet 102, the source port number is the port number of the server device 120, and the destination port number is the port number of the client device 110.

通信データ193は、通信パケット190によって通信されるデータである。   Communication data 193 is data communicated by communication packet 190.

図3は、実施の形態1における送信パケット取得方法のフローチャートである。
送信パケット解析装置200が通信パケット190のうちの送信パケット101だけを取得する方法について、図3に基づいて説明する。但し、送信パケット取得方法は図3と異なる方法であっても構わない。
FIG. 3 is a flowchart of the transmission packet acquisition method in the first embodiment.
A method in which the transmission packet analyzing apparatus 200 acquires only the transmission packet 101 in the communication packet 190 will be described with reference to FIG. However, the transmission packet acquisition method may be different from that shown in FIG.

図3に示す送信パケット取得方法は、スイッチ装置130が通信パケット190を受信する毎に実行される。   The transmission packet acquisition method shown in FIG. 3 is executed every time the switch device 130 receives the communication packet 190.

S110において、スイッチ装置130は通信パケット190を受信する。
例えば、スイッチ装置130は、クライアント装置110がサーバ装置120へ送信した送信パケット101を受信する。
例えば、スイッチ装置130は、サーバ装置120がクライアント装置110へ送信した受信パケット102を受信する。
S110の後、処理はS120に進む。
In S110, the switch device 130 receives the communication packet 190.
For example, the switch device 130 receives the transmission packet 101 transmitted from the client device 110 to the server device 120.
For example, the switch device 130 receives the received packet 102 transmitted from the server device 120 to the client device 110.
After S110, the process proceeds to S120.

S120において、スイッチ装置130は、S110で受信した通信パケット190を中継する。
例えば、スイッチ装置130は、送信パケット101をサーバ装置120へ中継する。
例えば、スイッチ装置130は、受信パケット102をクライアント装置110へ中継する。
S120の後、処理はS130に進む。
In S120, the switch device 130 relays the communication packet 190 received in S110.
For example, the switch device 130 relays the transmission packet 101 to the server device 120.
For example, the switch device 130 relays the received packet 102 to the client device 110.
After S120, the process proceeds to S130.

S130において、スイッチ装置130は、S110で受信した通信パケット190が送信パケット101であるか判定する。
例えば、スイッチ装置130は、通信パケット190に含まれる送信元IPアドレス、宛先IPアドレスに基づいて、通信パケット190が送信パケット101であるか判定する。
通信パケット190が送信パケット101である場合(YES)、処理はS140に進む。
通信パケット190が送信パケット101でない場合、つまり、通信パケット190が受信パケット102である場合(NO)、送信パケット解析装置200は通信パケット190を取得せず、処理は終了する。
In S <b> 130, the switch device 130 determines whether the communication packet 190 received in S <b> 110 is the transmission packet 101.
For example, the switch device 130 determines whether the communication packet 190 is the transmission packet 101 based on the transmission source IP address and the destination IP address included in the communication packet 190.
If the communication packet 190 is the transmission packet 101 (YES), the process proceeds to S140.
When the communication packet 190 is not the transmission packet 101, that is, when the communication packet 190 is the reception packet 102 (NO), the transmission packet analysis device 200 does not acquire the communication packet 190, and the process ends.

S140において、スイッチ装置130は、S110で受信した通信パケット190を送信パケット解析装置200へ出力する。
S140の後、処理はS150に進む。
In S140, the switch device 130 outputs the communication packet 190 received in S110 to the transmission packet analysis device 200.
After S140, the process proceeds to S150.

S150において、送信パケット解析装置200の送信パケット取得部210は、S140で出力された通信パケット190を取得し、取得した通信パケット190を解析記憶部290に記憶する。
例えば、送信パケット取得部210は、通信パケット190を暗号化し、暗号化した通信パケット190を圧縮し、圧縮した通信パケット190を補助記憶装置に記憶する。
S150の後、処理は終了する。
In S150, the transmission packet acquisition unit 210 of the transmission packet analysis device 200 acquires the communication packet 190 output in S140, and stores the acquired communication packet 190 in the analysis storage unit 290.
For example, the transmission packet acquisition unit 210 encrypts the communication packet 190, compresses the encrypted communication packet 190, and stores the compressed communication packet 190 in the auxiliary storage device.
After S150, the process ends.

送信パケット解析装置200の送信パケット解析部300は、特定のタイミングで、解析記憶部290に記憶されている1つ以上の送信パケット101を解析する。   The transmission packet analysis unit 300 of the transmission packet analysis device 200 analyzes one or more transmission packets 101 stored in the analysis storage unit 290 at a specific timing.

図4は、実施の形態1における送信パケット解析装置200のハードウェア構成図である。
実施の形態1における送信パケット解析装置200のハードウェア構成について、図4に基づいて説明する。但し、送信パケット解析装置200のハードウェア構成は図4に示す構成と異なる構成であってもよい。
FIG. 4 is a hardware configuration diagram of transmission packet analysis apparatus 200 in the first embodiment.
A hardware configuration of transmission packet analysis apparatus 200 in the first embodiment will be described with reference to FIG. However, the hardware configuration of the transmission packet analyzing apparatus 200 may be different from the configuration shown in FIG.

送信パケット解析装置200は、演算装置901、補助記憶装置902、主記憶装置903、通信装置904および入出力装置905を備えるコンピュータである。
演算装置901、補助記憶装置902、主記憶装置903、通信装置904および入出力装置905はバス909に接続している。
The transmission packet analysis device 200 is a computer including an arithmetic device 901, an auxiliary storage device 902, a main storage device 903, a communication device 904, and an input / output device 905.
The arithmetic device 901, auxiliary storage device 902, main storage device 903, communication device 904, and input / output device 905 are connected to the bus 909.

演算装置901は、プログラムを実行するCPU(Central Processing Unit)である。
補助記憶装置902は、例えば、ROM(Read Only Memory)、フラッシュメモリまたはハードディスク装置である。
主記憶装置903は、例えば、RAM(Random Access Memory)である。
通信装置904は、有線または無線でインターネット、LAN(ローカルエリアネットワーク)、電話回線網またはその他のネットワークを介して通信を行う。
入出力装置905は、例えば、マウス、キーボード、ディスプレイ装置である。
The arithmetic device 901 is a CPU (Central Processing Unit) that executes a program.
The auxiliary storage device 902 is, for example, a ROM (Read Only Memory), a flash memory, or a hard disk device.
The main storage device 903 is, for example, a RAM (Random Access Memory).
The communication device 904 performs communication via the Internet, a LAN (local area network), a telephone line network, or other networks in a wired or wireless manner.
The input / output device 905 is, for example, a mouse, a keyboard, or a display device.

プログラムは、補助記憶装置902に記憶されている。
例えば、オペレーティングシステム(OS)が補助記憶装置902に記憶される。また、「〜部」として説明している機能を実現するプログラムが補助記憶装置902に記憶される。
プログラムは、補助記憶装置902に記憶されており、主記憶装置903にロードされ、演算装置901に読み込まれ、演算装置901によって実行される。
The program is stored in the auxiliary storage device 902.
For example, an operating system (OS) is stored in the auxiliary storage device 902. In addition, a program that realizes the function described as “˜unit” is stored in the auxiliary storage device 902.
The program is stored in the auxiliary storage device 902, loaded into the main storage device 903, read into the arithmetic device 901, and executed by the arithmetic device 901.

「〜の判断」、「〜の判定」、「〜の抽出」、「〜の検知」、「〜の設定」、「〜の登録」、「〜の選択」、「〜の生成」、「〜の入力」、「〜の出力」等の処理の結果を示す情報、データ、ファイル、信号値または変数値が主記憶装置903または補助記憶装置902に記憶される。   “Determining”, “determining”, “extracting”, “detecting”, “setting”, “registering”, “selecting”, “generating”, “to” Information, data, files, signal values or variable values indicating the results of processing such as “input”, “output of”, etc. are stored in the main storage device 903 or the auxiliary storage device 902.

実施の形態1により、以下のような送信パケット解析システム100について説明した。
送信パケット解析システム100は、情報漏洩の調査に必要な送信データのみを再現するため、送信パケットのみをキャプチャおよび解析する。
これにより、キャプチャおよび解析するデータの量を削減し、送信パケット解析システム100の規模を縮小し、送信パケット解析システム100の導入を容易にすることができる。
According to the first embodiment, the following transmission packet analysis system 100 has been described.
The transmission packet analysis system 100 captures and analyzes only the transmission packet in order to reproduce only the transmission data necessary for the information leakage investigation.
Thereby, the amount of data to be captured and analyzed can be reduced, the size of the transmission packet analysis system 100 can be reduced, and the introduction of the transmission packet analysis system 100 can be facilitated.

実施の形態2.
スイッチ装置の代わりにネットワークタップ装置(中継装置、分岐装置の一例)が送信パケットだけを送信パケット解析装置へ出力する形態について説明する。
以下、実施の形態1と異なる事項について主に説明する。説明を省略する事項については実施の形態1と同様である。
Embodiment 2. FIG.
A mode in which a network tap device (an example of a relay device or a branching device) outputs only transmission packets to the transmission packet analysis device instead of the switch device will be described.
Hereinafter, items different from the first embodiment will be mainly described. Matters whose description is omitted are the same as those in the first embodiment.

図5は、実施の形態2における送信パケット解析システム100の構成図である。
実施の形態2における送信パケット解析システム100の構成について、図5に基づいて説明する。但し、送信パケット解析システム100の構成は図5と異なる構成であっても構わない。
FIG. 5 is a configuration diagram of the transmission packet analysis system 100 according to the second embodiment.
The configuration of transmission packet analysis system 100 in the second embodiment will be described with reference to FIG. However, the configuration of the transmission packet analysis system 100 may be different from that shown in FIG.

送信パケット解析システム100は、クライアント装置110(内部装置の一例)と、サーバ装置120(外部装置の一例)と、スイッチ装置130と、ネットワークタップ装置140(中継装置の一例)と、送信パケット解析装置200とを備える。   The transmission packet analysis system 100 includes a client device 110 (an example of an internal device), a server device 120 (an example of an external device), a switch device 130, a network tap device 140 (an example of a relay device), and a transmission packet analysis device. 200.

スイッチ装置130は、送信パケット101を送信パケット解析装置200へ出力する必要はない。   The switch device 130 does not need to output the transmission packet 101 to the transmission packet analysis device 200.

ネットワークタップ装置140は、ネットワーク信号を分岐して取り出す装置である。
ネットワークタップ装置140は、ローカルエリアネットワーク119に接続し、クライアント装置110とサーバ装置120との間で通信される通信パケット190を中継する。
The network tap device 140 is a device for branching out a network signal.
The network tap device 140 is connected to the local area network 119 and relays a communication packet 190 communicated between the client device 110 and the server device 120.

ネットワークタップ装置140は、第1のポート141と、第2のポート142と、第3のポート143とを備える。
第1のポート141は、ローカルエリアネットワーク119に繋がる通信ケーブルが接続されるポートである。
第2のポート142は、スイッチ装置130に繋がる通信ケーブルが接続されるポートである。
第3のポート143は、送信パケット解析装置200に繋がる通信ケーブルが接続されるポートである。
The network tap device 140 includes a first port 141, a second port 142, and a third port 143.
The first port 141 is a port to which a communication cable connected to the local area network 119 is connected.
The second port 142 is a port to which a communication cable connected to the switch device 130 is connected.
The third port 143 is a port to which a communication cable connected to the transmission packet analysis device 200 is connected.

ネットワークタップ装置140は、第1のポート141に入力された送信パケット101を第2のポート142からスイッチ装置130へ出力する。さらに、ネットワークタップ装置140は、送信パケット101を第3のポート143から送信パケット解析装置200へ出力する。
ネットワークタップ装置140は、第2のポート142に入力された受信パケット102を第1のポート141からローカルエリアネットワーク119へ出力する。但し、ネットワークタップ装置140は、受信パケット102を第3のポート143から送信パケット解析装置200へ出力しない。
The network tap device 140 outputs the transmission packet 101 input to the first port 141 from the second port 142 to the switch device 130. Furthermore, the network tap device 140 outputs the transmission packet 101 from the third port 143 to the transmission packet analysis device 200.
The network tap device 140 outputs the received packet 102 input to the second port 142 from the first port 141 to the local area network 119. However, the network tap device 140 does not output the reception packet 102 from the third port 143 to the transmission packet analysis device 200.

ネットワークタップ装置140は、第1のポート141に入力された送信パケット101を第2のポート142に中継する第1の電気回路と、第2のポート142に入力された受信パケット102を第1のポート141に中継する第2の電気回路と、第1のポート141に入力された送信パケット101を第2の電気回路から分岐して第3のポート143に中継する第3の電気回路とを備える。   The network tap device 140 includes a first electric circuit that relays the transmission packet 101 input to the first port 141 to the second port 142, and the reception packet 102 input to the second port 142 to the first port 142. A second electrical circuit that relays to the port 141; and a third electrical circuit that branches the transmission packet 101 input to the first port 141 from the second electrical circuit and relays it to the third port 143. .

送信パケット解析装置200は、ネットワークタップ装置140から出力される送信パケット101を解析する装置である。
送信パケット解析装置200は、送信パケット取得部210と、送信パケット解析部300と、解析記憶部290とを備える。
送信パケット取得部210は、ネットワークタップ装置140から出力される送信パケット101を取得する。
送信パケット解析部300は、送信パケット101を解析する。例えば、送信パケット解析部300は、個人情報または機密情報などの秘匿情報が送信パケット101に含まれるか否かを解析する。
解析記憶部290は、送信パケット解析装置200で使用、生成または入出力されるデータを記憶する。例えば、解析記憶部290は送信パケット101を記憶する。
The transmission packet analysis device 200 is a device that analyzes the transmission packet 101 output from the network tap device 140.
The transmission packet analysis device 200 includes a transmission packet acquisition unit 210, a transmission packet analysis unit 300, and an analysis storage unit 290.
The transmission packet acquisition unit 210 acquires the transmission packet 101 output from the network tap device 140.
The transmission packet analysis unit 300 analyzes the transmission packet 101. For example, the transmission packet analysis unit 300 analyzes whether confidential information such as personal information or confidential information is included in the transmission packet 101.
The analysis storage unit 290 stores data used, generated or input / output by the transmission packet analysis device 200. For example, the analysis storage unit 290 stores the transmission packet 101.

実施の形態2において、ネットワークタップ装置140は、ローカルエリアネットワーク119とスイッチ装置130との間ではなく、インターネット129とスイッチ装置130との間に設けても構わない。
いずれの場合において、スイッチ装置130は通信パケット190をネットワークタップ装置140へ出力する。そして、ネットワークタップ装置140は、スイッチ装置130から出力された通信パケット190のうちの送信パケット101だけを、送信パケット解析装置200へ出力する。
In the second embodiment, the network tap device 140 may be provided not between the local area network 119 and the switch device 130 but between the Internet 129 and the switch device 130.
In any case, the switch device 130 outputs the communication packet 190 to the network tap device 140. Then, the network tap device 140 outputs only the transmission packet 101 among the communication packets 190 output from the switch device 130 to the transmission packet analysis device 200.

図6は、実施の形態2における送信パケット取得方法のフローチャートである。
送信パケット解析装置200が通信パケット190のうちの送信パケット101だけを取得する方法について、図6に基づいて説明する。但し、送信パケット取得方法は図6と異なる方法であっても構わない。
FIG. 6 is a flowchart of the transmission packet acquisition method according to the second embodiment.
A method in which the transmission packet analyzing apparatus 200 acquires only the transmission packet 101 in the communication packet 190 will be described with reference to FIG. However, the transmission packet acquisition method may be different from that shown in FIG.

図6に示す送信パケット取得方法は、スイッチ装置130が通信パケット190を受信する毎に実行される。   The transmission packet acquisition method illustrated in FIG. 6 is executed every time the switch device 130 receives the communication packet 190.

S210において、ネットワークタップ装置140は通信パケット190を受信する。
例えば、ネットワークタップ装置140は、クライアント装置110がサーバ装置120へ送信した送信パケット101を受信する。
例えば、ネットワークタップ装置140は、サーバ装置120がクライアント装置110へ送信した受信パケット102を受信する。
S210の後、処理はS220に進む。
In S210, the network tap device 140 receives the communication packet 190.
For example, the network tap device 140 receives the transmission packet 101 transmitted from the client device 110 to the server device 120.
For example, the network tap device 140 receives the received packet 102 transmitted from the server device 120 to the client device 110.
After S210, the process proceeds to S220.

S220において、ネットワークタップ装置140は、S210で受信した通信パケット190を中継する。
例えば、ネットワークタップ装置140は、送信パケット101をサーバ装置120へ中継する。
例えば、ネットワークタップ装置140は、受信パケット102をクライアント装置110へ中継する。
S220の後、処理はS230に進む。
In S220, the network tap device 140 relays the communication packet 190 received in S210.
For example, the network tap device 140 relays the transmission packet 101 to the server device 120.
For example, the network tap device 140 relays the received packet 102 to the client device 110.
After S220, the process proceeds to S230.

S230において、ネットワークタップ装置140は、S210で受信した通信パケット190が送信パケット101であるか判定する。
例えば、ネットワークタップ装置140は、第1のポート141に入力された送信パケット101を第2のポート142に中継する電気回路から分岐した電気回路を通る通信パケット190が送信パケット101であると判定する。
通信パケット190が送信パケット101である場合(YES)、処理は240に進む。
通信パケット190が送信パケット101でない場合、つまり、通信パケット190が受信パケット102である場合(NO)、送信パケット解析装置200は通信パケット190を取得せず、処理は終了する。
In S230, the network tap device 140 determines whether the communication packet 190 received in S210 is the transmission packet 101.
For example, the network tap device 140 determines that the communication packet 190 passing through the electric circuit branched from the electric circuit that relays the transmission packet 101 input to the first port 141 to the second port 142 is the transmission packet 101. .
If the communication packet 190 is the transmission packet 101 (YES), the process proceeds to 240.
When the communication packet 190 is not the transmission packet 101, that is, when the communication packet 190 is the reception packet 102 (NO), the transmission packet analysis device 200 does not acquire the communication packet 190, and the process ends.

S240において、ネットワークタップ装置140は、S210で受信した通信パケット190を送信パケット解析装置200へ出力する。
S240の後、処理はS250に進む。
In S240, the network tap device 140 outputs the communication packet 190 received in S210 to the transmission packet analysis device 200.
After S240, the process proceeds to S250.

S250において、送信パケット解析装置200の送信パケット取得部210は、S240で出力された通信パケット190を取得し、取得した通信パケット190を解析記憶部290に記憶する。
例えば、送信パケット取得部210は、通信パケット190を暗号化し、暗号化した通信パケット190を圧縮し、圧縮した通信パケット190を補助記憶装置に記憶する。
S250の後、処理は終了する。
In S250, the transmission packet acquisition unit 210 of the transmission packet analysis device 200 acquires the communication packet 190 output in S240, and stores the acquired communication packet 190 in the analysis storage unit 290.
For example, the transmission packet acquisition unit 210 encrypts the communication packet 190, compresses the encrypted communication packet 190, and stores the compressed communication packet 190 in the auxiliary storage device.
After S250, the process ends.

送信パケット解析装置200の送信パケット解析部300は、特定のタイミングで、解析記憶部290に記憶されている1つ以上の送信パケット101を解析する。   The transmission packet analysis unit 300 of the transmission packet analysis device 200 analyzes one or more transmission packets 101 stored in the analysis storage unit 290 at a specific timing.

実施の形態2により、実施の形態1と同様の効果を奏することができる。   According to the second embodiment, the same effects as in the first embodiment can be obtained.

実施の形態3.
送信パケット解析装置が送信パケットだけを選択する形態について説明する。
以下、実施の形態1と異なる事項について主に説明する。説明を省略する事項については実施の形態1と同様である。
Embodiment 3 FIG.
A mode in which the transmission packet analysis device selects only transmission packets will be described.
Hereinafter, items different from the first embodiment will be mainly described. Matters whose description is omitted are the same as those in the first embodiment.

図7は、実施の形態3における送信パケット解析システム100の構成図である。
実施の形態3における送信パケット解析システム100の構成について、図7に基づいて説明する。
FIG. 7 is a configuration diagram of the transmission packet analysis system 100 according to the third embodiment.
The configuration of transmission packet analysis system 100 according to Embodiment 3 will be described with reference to FIG.

送信パケット解析システム100は、クライアント装置110(内部装置の一例)と、サーバ装置120(外部装置の一例)と、スイッチ装置130(中継装置の一例)と、送信パケット解析装置200とを備える。   The transmission packet analysis system 100 includes a client device 110 (an example of an internal device), a server device 120 (an example of an external device), a switch device 130 (an example of a relay device), and a transmission packet analysis device 200.

スイッチ装置130は、受信した通信パケット190を送信パケット解析装置200へ出力する。
つまり、スイッチ装置130は、送信パケット101と受信パケット102との両方を送信パケット解析装置200へ出力する。
The switch device 130 outputs the received communication packet 190 to the transmission packet analysis device 200.
That is, the switch device 130 outputs both the transmission packet 101 and the reception packet 102 to the transmission packet analysis device 200.

送信パケット解析装置200は、通信パケット取得部220と、通信パケットフィルタ部230と、送信パケット解析部300と、解析記憶部290とを備える。
通信パケット取得部220は、スイッチ装置130から出力される通信パケット190を取得する。
通信パケットフィルタ部230は、通信パケット取得部220によって取得された通信パケット190に含まれるヘッダの情報に基づいて、通信パケット190が送信パケット101であるか判定する。通信パケットフィルタ部230は、送信パケット101を解析記憶部290に記憶し、受信パケット102を解析記憶部290に記憶せずに破棄する。
送信パケット解析部300は、送信パケット101であると判定された通信パケット190を解析する。
The transmission packet analysis device 200 includes a communication packet acquisition unit 220, a communication packet filter unit 230, a transmission packet analysis unit 300, and an analysis storage unit 290.
The communication packet acquisition unit 220 acquires the communication packet 190 output from the switch device 130.
The communication packet filter unit 230 determines whether the communication packet 190 is the transmission packet 101 based on the header information included in the communication packet 190 acquired by the communication packet acquisition unit 220. The communication packet filter unit 230 stores the transmission packet 101 in the analysis storage unit 290 and discards the reception packet 102 without storing it in the analysis storage unit 290.
The transmission packet analysis unit 300 analyzes the communication packet 190 that is determined to be the transmission packet 101.

解析記憶部290は、送信パケット解析装置200で使用、生成または入出力されるデータを記憶する。
例えば、解析記憶部290は、送信パケット101(図示省略)およびフィルタファイル291などを記憶する。
フィルタファイル291は、通信パケット190が送信パケット101であるための条件を示す。
通信パケットフィルタ部230は、フィルタファイル291が示す条件を満たす情報が通信パケット190のヘッダに含まれる場合、通信パケット190が送信パケット101であると判定する。
The analysis storage unit 290 stores data used, generated or input / output by the transmission packet analysis device 200.
For example, the analysis storage unit 290 stores a transmission packet 101 (not shown), a filter file 291 and the like.
The filter file 291 indicates conditions for the communication packet 190 to be the transmission packet 101.
The communication packet filter unit 230 determines that the communication packet 190 is the transmission packet 101 when information satisfying the condition indicated by the filter file 291 is included in the header of the communication packet 190.

図8は、実施の形態3におけるフィルタファイル291の一例を示す図である。
実施の形態3のおけるフィルタファイル291について、図8に基づいて説明する。但し、フィルタファイル291は、図8と異なるファイルであっても構わない。
FIG. 8 is a diagram illustrating an example of the filter file 291 according to the third embodiment.
The filter file 291 according to the third embodiment will be described with reference to FIG. However, the filter file 291 may be a file different from that shown in FIG.

フィルタファイル291は、通信パケット190が送信パケット101であるための条件(1から5)を含んでいる。
通信パケットフィルタ部230は、フィルタファイル291に含まれるいずれかの条件を満たす情報が通信パケット190のヘッダに含まれる場合、通信パケット190が送信パケット101であると判定する。
The filter file 291 includes conditions (1 to 5) for the communication packet 190 to be the transmission packet 101.
The communication packet filter unit 230 determines that the communication packet 190 is the transmission packet 101 when information satisfying any condition included in the filter file 291 is included in the header of the communication packet 190.

例えば、送信パケット101は以下のような通信パケット190である。
送信元IPアドレスが192.168.1.10である(条件1)。
送信元IPアドレスが192.168.1.20である(条件2)。
宛先IPアドレスが192.168.10.1であり、且つ、宛先ポート番号が80である(条件3)。
宛先IPアドレスが192.168.10.1であり、且つ、宛先ポート番号が8080である(条件4)。
送信元IPアドレスが192.168.1.20ではなく、且つ、宛先ポート番号が80である。
For example, the transmission packet 101 is a communication packet 190 as follows.
The source IP address is 192.168.1.10. (Condition 1).
The source IP address is 192.168.1.20 (condition 2).
The destination IP address is 192.168.10.1 and the destination port number is 80 (condition 3).
The destination IP address is 192.168.10.1 and the destination port number is 8080 (condition 4).
The source IP address is not 192.168.1.20 and the destination port number is 80.

図9は、実施の形態3における送信パケット取得方法のフローチャートである。
送信パケット解析装置200が通信パケット190のうちの送信パケット101だけを保存する方法について、図9に基づいて説明する。但し、送信パケット取得方法は図9と異なる方法であっても構わない。
FIG. 9 is a flowchart of the transmission packet acquisition method according to the third embodiment.
A method in which the transmission packet analyzing apparatus 200 stores only the transmission packet 101 in the communication packet 190 will be described with reference to FIG. However, the transmission packet acquisition method may be different from that shown in FIG.

図9に示す送信パケット取得方法は、送信パケット解析装置200の通信装置904が通信パケット190を受信する毎に実行される。受信された通信パケット190は通信バッファに記憶される。   The transmission packet acquisition method shown in FIG. 9 is executed each time the communication device 904 of the transmission packet analysis device 200 receives the communication packet 190. The received communication packet 190 is stored in the communication buffer.

S310において、通信パケット取得部220は、通信バッファから作業用の記憶領域(以下、作業領域という)に通信パケット190を読み出す。
S310の後、処理はS320に進む。
In S310, the communication packet acquisition unit 220 reads the communication packet 190 from the communication buffer to a work storage area (hereinafter referred to as a work area).
After S310, the process proceeds to S320.

S320において、通信パケットフィルタ部230は、通信パケット190に含まれるヘッダの情報に基づいて、通信パケット190が送信パケット101であるか判定する。
フィルタファイル291が示す条件を満たす情報が通信パケット190のヘッダに含まれる場合、通信パケットフィルタ部230は通信パケット190が送信パケット101であると判定する。
通信パケット190が送信パケット101である場合(YES)、処理はS330に進む。
通信パケット190が送信パケット101でない場合、つまり、通信パケット190が受信パケット102である場合(NO)、処理はS340に進む。
In step S <b> 320, the communication packet filter unit 230 determines whether the communication packet 190 is the transmission packet 101 based on the header information included in the communication packet 190.
When information satisfying the condition indicated by the filter file 291 is included in the header of the communication packet 190, the communication packet filter unit 230 determines that the communication packet 190 is the transmission packet 101.
If the communication packet 190 is the transmission packet 101 (YES), the process proceeds to S330.
If the communication packet 190 is not the transmission packet 101, that is, if the communication packet 190 is the reception packet 102 (NO), the process proceeds to S340.

S330において、通信パケットフィルタ部230は、通信パケット190を作業領域から読み出し、読み出した通信パケット190を解析記憶部290に記憶する。
例えば、通信パケットフィルタ部230は、通信パケット190を暗号化し、暗号化した通信パケット190を圧縮し、圧縮した通信パケット190を補助記憶装置に記憶する。
S330の後、処理は終了する。
In S330, the communication packet filter unit 230 reads the communication packet 190 from the work area, and stores the read communication packet 190 in the analysis storage unit 290.
For example, the communication packet filter unit 230 encrypts the communication packet 190, compresses the encrypted communication packet 190, and stores the compressed communication packet 190 in the auxiliary storage device.
After S330, the process ends.

S340において、通信パケットフィルタ部230は、通信パケット190を解析記憶部290に記憶せず、通信パケット190を作業領域から削除する。
S340の後、処理は終了する。
In S340, the communication packet filter unit 230 does not store the communication packet 190 in the analysis storage unit 290, and deletes the communication packet 190 from the work area.
After S340, the process ends.

送信パケット解析装置200の送信パケット解析部300は、特定のタイミングで、解析記憶部290に記憶されている1つ以上の送信パケット101を解析する。   The transmission packet analysis unit 300 of the transmission packet analysis device 200 analyzes one or more transmission packets 101 stored in the analysis storage unit 290 at a specific timing.

実施の形態3により、実施の形態1と同様の効果を奏することができる。   According to the third embodiment, the same effect as in the first embodiment can be obtained.

実施の形態4.
送信パケット101を解析する解析方法について説明する。
以下、実施の形態1から3で説明していない事項について主に説明する。説明を省略する事項については実施の形態1から3と同様である。
Embodiment 4 FIG.
An analysis method for analyzing the transmission packet 101 will be described.
Hereinafter, items not described in the first to third embodiments will be mainly described. Matters whose description is omitted are the same as those in the first to third embodiments.

送信パケット解析システム100の構成は、実施の形態1から3で説明した構成と同様である(図1、図5および図7参照)。
但し、送信パケット解析システム100は管理者が使用する管理端末(図示省略)を備えてもよい。
The configuration of transmission packet analysis system 100 is the same as that described in the first to third embodiments (see FIGS. 1, 5, and 7).
However, the transmission packet analysis system 100 may include a management terminal (not shown) used by the administrator.

送信パケット解析装置200の構成は、実施の形態1から3で説明した構成と同様である(図1、図5、図7および図4参照)。   The configuration of transmission packet analysis apparatus 200 is the same as the configuration described in the first to third embodiments (see FIGS. 1, 5, 7, and 4).

図10は、実施の形態4における送信パケット解析装置200が備える送信パケット解析部300の機能構成図である。
実施の形態4における送信パケット解析装置200が備える送信パケット解析部300の機能構成について、図10に基づいて説明する。
FIG. 10 is a functional configuration diagram of a transmission packet analysis unit 300 included in the transmission packet analysis apparatus 200 according to the fourth embodiment.
A functional configuration of transmission packet analysis section 300 included in transmission packet analysis apparatus 200 in Embodiment 4 will be described with reference to FIG.

送信パケット解析部300は、セッション復元部310と、セッション解析部320と、送信ファイル検査部330とを備える。
セッション復元部310は、1つ以上の送信パケット101のそれぞれに含まれる送信データを用いて、各送信データを含んだセッションファイル292を生成する。
セッション解析部320は、セッションファイル292を解析し、セッションファイル292の解析結果ファイル293を生成する。例えば、セッション解析部320は、クライアント装置110からサーバ装置120へ送信された送信ファイルがセッションファイル292に含まれるか判定し、判定結果を含んだ解析結果ファイル293を生成する。
送信ファイル検査部330は、セッションファイル292に含まれる送信ファイルを検査する。
The transmission packet analysis unit 300 includes a session restoration unit 310, a session analysis unit 320, and a transmission file inspection unit 330.
The session restoring unit 310 uses the transmission data included in each of the one or more transmission packets 101 to generate a session file 292 including each transmission data.
The session analysis unit 320 analyzes the session file 292 and generates an analysis result file 293 of the session file 292. For example, the session analysis unit 320 determines whether a transmission file transmitted from the client device 110 to the server device 120 is included in the session file 292, and generates an analysis result file 293 including the determination result.
The transmission file inspection unit 330 inspects a transmission file included in the session file 292.

送信ファイル検査部330は、セッション検索部331と、送信ファイル取得部332と、秘匿情報検査部333と、検査結果通知部334とを備える。
セッション検索部331は、各セッションファイル292の解析結果ファイル293に基づいて、送信ファイルを含んだセッションファイル292を検索する。
送信ファイル取得部332は、セッションファイル292から送信ファイルを取得する。
秘匿情報検査部333は、秘匿情報の条件を示す秘匿情報ファイル294に基づいて、送信ファイルに秘匿情報が含まれるか検査する。
検査結果通知部334は、検査結果を示す検査結果ファイル295を含んだ検査結果メール296を管理端末へ送信する。
The transmission file inspection unit 330 includes a session search unit 331, a transmission file acquisition unit 332, a confidential information inspection unit 333, and an inspection result notification unit 334.
The session search unit 331 searches the session file 292 including the transmission file based on the analysis result file 293 of each session file 292.
The transmission file acquisition unit 332 acquires a transmission file from the session file 292.
The secret information inspection unit 333 checks whether the transmission file contains secret information based on the secret information file 294 indicating the condition of the secret information.
The inspection result notification unit 334 transmits an inspection result mail 296 including an inspection result file 295 indicating the inspection result to the management terminal.

送信パケット解析装置200の解析記憶部290は、送信パケット101、セッションファイル292、解析結果ファイル293、秘匿情報ファイル294、検査結果ファイル295および検査結果メール296などを記憶する。   The analysis storage unit 290 of the transmission packet analysis apparatus 200 stores the transmission packet 101, the session file 292, the analysis result file 293, the confidential information file 294, the inspection result file 295, the inspection result mail 296, and the like.

図11は、実施の形態4における送信パケット解析装置200が実行する送信パケット解析処理のフローチャートである。
実施の形態4における送信パケット解析装置200が実行する送信パケット解析処理について、図11に基づいて説明する。但し、送信パケット解析処理は図11と異なる処理であっても構わない。
FIG. 11 is a flowchart of transmission packet analysis processing executed by transmission packet analysis apparatus 200 in the fourth embodiment.
A transmission packet analysis process executed by the transmission packet analysis apparatus 200 according to the fourth embodiment will be described with reference to FIG. However, the transmission packet analysis processing may be processing different from that in FIG.

S410において、セッション復元部310は、解析記憶部290から複数の送信パケット101を取得する。送信パケット101が暗号化および圧縮されて記憶されている場合、セッション復元部310は送信パケット101を復号および伸張する。
各送信パケット101は、クライアント装置110がサーバ装置120へ送信するアプリケーションデータを分割して得られた送信データを含んでいる。HTTPの要求メッセージおよび電子メールはアプリケーションデータの一例である。
In S410, the session restoration unit 310 acquires the plurality of transmission packets 101 from the analysis storage unit 290. When the transmission packet 101 is encrypted and compressed and stored, the session restoration unit 310 decrypts and decompresses the transmission packet 101.
Each transmission packet 101 includes transmission data obtained by dividing application data transmitted from the client apparatus 110 to the server apparatus 120. An HTTP request message and electronic mail are examples of application data.

セッション復元部310は、各送信パケット101に含まれるヘッダの情報に基づいて、各送信パケット101に含まれる送信データを結合する。各送信データを結合する方法は、IPパケットおよびTCPパケットの通常の処理と同様である。
セッション復元部310は、各送信データを結合することによって生成されるセッションファイル292を、解析記憶部290に記憶する。
The session restoration unit 310 combines the transmission data included in each transmission packet 101 based on the header information included in each transmission packet 101. The method of combining the transmission data is the same as the normal processing of IP packets and TCP packets.
The session restoration unit 310 stores the session file 292 generated by combining the transmission data in the analysis storage unit 290.

セッションファイル292は、クライアント装置110とサーバ装置120との間で通信されたアプリケーションデータを含む。
但し、実施の形態4において、セッションファイル292は、クライアント装置110がサーバ装置120へ送信したアプリケーションデータを含むが、クライアント装置110がサーバ装置120から受信したアプリケーションデータを含まない。
S410の後、処理はS420に進む。
Session file 292 includes application data communicated between client device 110 and server device 120.
However, in the fourth embodiment, the session file 292 includes application data transmitted from the client apparatus 110 to the server apparatus 120, but does not include application data received from the server apparatus 120 by the client apparatus 110.
After S410, the process proceeds to S420.

図12は、実施の形態4におけるセッションファイル292の一例を示す図である。
例えば、セッション復元部310は、図12に示すようなセッションファイル292を生成する。
(1)の部分は、クライアント装置110がサーバ装置120へ送信したHTTPの要求データを示している。
(2)の部分は、クライアント装置110がサーバ装置120へ送信した送信ファイルの中身を示している。
送信パケット101と受信パケット102との両方を用いてセッションファイル292が生成された場合、クライアント装置110がサーバ装置120から受信したHTTPの応答データが(3)の部分に含まれる。
図11に戻り、S420から説明を続ける。
FIG. 12 is a diagram illustrating an example of the session file 292 according to the fourth embodiment.
For example, the session restoration unit 310 generates a session file 292 as shown in FIG.
The part (1) indicates HTTP request data transmitted from the client apparatus 110 to the server apparatus 120.
The part (2) indicates the contents of the transmission file transmitted from the client apparatus 110 to the server apparatus 120.
When the session file 292 is generated using both the transmission packet 101 and the reception packet 102, HTTP response data received from the server apparatus 120 by the client apparatus 110 is included in the part (3).
Returning to FIG. 11, the description will be continued from S420.

S420において、セッション解析部320は、セッションファイル292を解析し、セッションファイル292に関する各種の情報を取得する。
そして、セッション解析部320は、取得した各種の情報を含んだ解析結果ファイル293を生成し、生成した解析結果ファイル293を解析記憶部290に記憶する。
In S420, the session analysis unit 320 analyzes the session file 292 and acquires various types of information regarding the session file 292.
Then, the session analysis unit 320 generates an analysis result file 293 including various types of acquired information, and stores the generated analysis result file 293 in the analysis storage unit 290.

例えば、セッション解析部320は、セッションファイル292の形式に基づいてセッションファイル292の種類を特定し、セッションファイル292の種類に応じた情報を取得する。
例えば、セッションファイル292の種類がHTTPの要求データである場合、セッション解析部320は、宛先URL、ホスト名、送信ファイルの有無などの情報を取得する。URLはUniform Resource Locatorの略称である。
例えば、セッションファイル292の種類が電子メールである場合、セッション解析部320は、宛先メールアドレス、送信ファイル(添付ファイルともいう)の有無などの情報を取得する。
For example, the session analysis unit 320 identifies the type of the session file 292 based on the format of the session file 292, and acquires information corresponding to the type of the session file 292.
For example, when the type of the session file 292 is HTTP request data, the session analysis unit 320 acquires information such as a destination URL, a host name, and the presence / absence of a transmission file. URL is an abbreviation for Uniform Resource Locator.
For example, when the type of the session file 292 is an e-mail, the session analysis unit 320 acquires information such as a destination e-mail address and the presence / absence of a transmission file (also referred to as an attached file).

例えば、図12に示すセッションファイル292の種類はHTTPの要求データである。
このセッションファイル292において、“POST”に続く文字列“/upload/file.html”が宛先URLであり、“HOST”に続く文字列“text.co.jp”がホスト名である。
また、セッションファイル292は“filename=”という文字列を含んでいるため、セッション解析部320は、セッションファイル292が送信ファイルを含んでいると判定する。
そこで、セッション解析部320は、これらの情報を含んだ解析結果ファイル293を生成する。
S420の後、処理はS431に進む。
For example, the type of the session file 292 shown in FIG. 12 is HTTP request data.
In this session file 292, the character string “/upload/file.html” following “POST” is the destination URL, and the character string “text.co.jp” following “HOST” is the host name.
Further, since the session file 292 includes the character string “filename =”, the session analysis unit 320 determines that the session file 292 includes a transmission file.
Therefore, the session analysis unit 320 generates an analysis result file 293 including these pieces of information.
After S420, the process proceeds to S431.

S431において、各セッションファイル292の解析結果ファイル293は、セッションファイル292を識別する情報および送信ファイルの有無を示す情報を含んでいる。
セッション検索部331は、各セッションファイル292の解析結果ファイル293に基づいて、送信ファイルを含んだセッションファイル292を解析記憶部290から特定する。
S431の後、処理はS432に進む。
In S431, the analysis result file 293 of each session file 292 includes information for identifying the session file 292 and information indicating the presence / absence of a transmission file.
The session search unit 331 identifies the session file 292 including the transmission file from the analysis storage unit 290 based on the analysis result file 293 of each session file 292.
After S431, the process proceeds to S432.

S432において、送信ファイル取得部332は、S431で特定されたセッションファイル292から送信ファイルを取得する。
S432の後、処理はS433に進む。
In S432, the transmission file acquisition unit 332 acquires the transmission file from the session file 292 specified in S431.
After S432, the process proceeds to S433.

S433において、秘匿情報検査部333は、秘匿情報ファイル294に基づいて、秘匿情報が送信ファイルに含まれるか検査する。   In S433, the confidential information inspection unit 333 checks whether the confidential information is included in the transmission file based on the confidential information file 294.

秘匿情報ファイル294は、秘匿情報に関するキーワード、秘匿情報のパターンを表す正規表現などを含む。秘匿情報は、個人情報および機密情報など、秘匿にすべき情報である。
例えば、秘匿情報ファイル294は、佐藤、鈴木および田中などを、個人情報に該当する名字のキーワードとして含む。
例えば、秘匿情報ファイル294は、一郎、太郎および花子などを、個人情報に該当する名前のキーワードとして含む。
例えば、秘匿情報ファイル294は、11桁の数値(但し、スペースおよびハイフンなどを数値間にあってもよい)という規則を、個人情報に該当する電話番号のパターンを表す正規表現として含む。
The confidential information file 294 includes a keyword related to confidential information, a regular expression representing a confidential information pattern, and the like. The confidential information is information that should be kept confidential, such as personal information and confidential information.
For example, the confidential information file 294 includes Sato, Suzuki, Tanaka, etc. as keywords of the last name corresponding to personal information.
For example, the confidential information file 294 includes Ichiro, Taro, Hanako, and the like as keywords having names corresponding to personal information.
For example, the secret information file 294 includes a rule of 11-digit numerical values (however, spaces and hyphens may be between the numerical values) as a regular expression representing a telephone number pattern corresponding to personal information.

例えば、図12において、送信ファイルの中身を示す(2)の部分は、名字および名前のキーワードに該当する3つの秘匿情報(佐藤一郎、鈴木太郎、田中花子)を含んでいる。
また、送信ファイルの中身を示す(2)の部分は、電話番号の正規表現を満たす3つの秘匿情報(090−1111−2222、090−2222−3333、090−3333−4444)を含んでいる。
For example, in FIG. 12, the portion (2) indicating the contents of the transmission file includes three pieces of secret information (Ichiro Sato, Taro Suzuki, Hanako Tanaka) corresponding to the last name and the name keyword.
The portion (2) indicating the contents of the transmission file includes three pieces of secret information (090-11212222, 090-2222-3333, 090-3333-4444) that satisfy the regular expression of the telephone number.

そして、秘匿情報検査部333は、検査結果を示す検査結果ファイル295を生成し、生成した検査結果ファイル295を解析記憶部290に記憶する。
例えば、検査結果ファイル295は、セッションファイル292を識別する情報、セッションファイル292の解析結果ファイル293に含まれる情報、秘匿情報が含まれるか否かを示す情報および送信ファイルに含まれた秘匿情報などを含む。
S433の後、処理はS434に進む。
Then, the confidential information inspection unit 333 generates an inspection result file 295 indicating the inspection result, and stores the generated inspection result file 295 in the analysis storage unit 290.
For example, the inspection result file 295 includes information for identifying the session file 292, information included in the analysis result file 293 of the session file 292, information indicating whether or not confidential information is included, and confidential information included in the transmission file. including.
After S433, the process proceeds to S434.

S434において、検査結果通知部334は、検査結果ファイル295に含まれる情報を含んだ検査結果メール296を生成し、生成した検査結果メール296を管理者のメールアドレス宛てに送信する。管理者のメールアドレスは解析記憶部290に予め記憶しておく。
S433の後、送信パケット解析処理は終了する。
In S434, the inspection result notification unit 334 generates an inspection result mail 296 including information included in the inspection result file 295, and transmits the generated inspection result mail 296 to the administrator's mail address. The administrator's mail address is stored in advance in the analysis storage unit 290.
After S433, the transmission packet analysis process ends.

実施の形態4により、送信パケット101を解析し、情報漏洩を調査することができる。   According to the fourth embodiment, it is possible to analyze the transmission packet 101 and investigate information leakage.

各実施の形態は、送信パケット解析システム100の形態の一例である。
つまり、送信パケット解析システム100は、各実施の形態で説明した構成要素の一部を備えなくても構わない。また、送信パケット解析システム100は、各実施の形態で説明していない構成要素を備えても構わない。さらに、送信パケット解析システム100は、各実施の形態の構成要素の一部または全てを組み合わせたものであっても構わない。
Each embodiment is an example of the form of the transmission packet analysis system 100.
That is, the transmission packet analysis system 100 may not include some of the components described in the embodiments. Further, the transmission packet analysis system 100 may include components that are not described in each embodiment. Furthermore, the transmission packet analysis system 100 may be a combination of some or all of the constituent elements of each embodiment.

各実施の形態においてフローチャート等を用いて説明した処理手順は、各実施の形態に係る方法およびプログラムの処理手順の一例である。各実施の形態に係る方法およびプログラムは、各実施の形態で説明した処理手順と一部異なる処理手順で実現されても構わない。   The processing procedures described using the flowcharts and the like in each embodiment are an example of the processing procedures of the method and the program according to each embodiment. The method and program according to each embodiment may be realized by a processing procedure partially different from the processing procedure described in each embodiment.

各実施の形態において「〜部」は「〜処理」「〜工程」「〜プログラム」「〜装置」と読み替えることができる。   In each embodiment, “to part” can be read as “to process”, “to process”, “to program”, and “to apparatus”.

100 送信パケット解析システム、101 送信パケット、102 受信パケット、110 クライアント装置、119 ローカルエリアネットワーク、120 サーバ装置、129 インターネット、130 スイッチ装置、131 LANポート、132 インターネットポート、133 ミラーポート、140 ネットワークタップ装置、141 第1のポート、142 第2のポート、143 第3のポート、190 通信パケット、191 IPヘッダ、192 TCPヘッダ、193 通信データ、200 送信パケット解析装置、210 送信パケット取得部、220 通信パケット取得部、230 通信パケットフィルタ部、290 解析記憶部、291 フィルタファイル、292 セッションファイル、293 解析結果ファイル、294 秘匿情報ファイル、295 検査結果ファイル、296 検査結果メール、300 送信パケット解析部、310 セッション復元部、320 セッション解析部、330 送信ファイル検査部、331 セッション検索部、332 送信ファイル取得部、333 秘匿情報検査部、334 検査結果通知部、901 演算装置、902 補助記憶装置、903 主記憶装置、904 通信装置、905 入出力装置、909 バス。   100 transmission packet analysis system, 101 transmission packet, 102 reception packet, 110 client device, 119 local area network, 120 server device, 129 internet, 130 switch device, 131 LAN port, 132 internet port, 133 mirror port, 140 network tap device , 141 1st port, 142 2nd port, 143 3rd port, 190 communication packet, 191 IP header, 192 TCP header, 193 communication data, 200 transmission packet analyzer, 210 transmission packet acquisition unit, 220 communication packet Acquisition unit, 230 communication packet filter unit, 290 analysis storage unit, 291 filter file, 292 session file, 293 analysis result file, 29 Confidential information file, 295 Inspection result file, 296 Inspection result mail, 300 Transmission packet analysis unit, 310 Session restoration unit, 320 Session analysis unit, 330 Transmission file inspection unit, 331 Session search unit, 332 Transmission file acquisition unit, 333 Confidential information Inspection unit, 334 Inspection result notification unit, 901 arithmetic device, 902 auxiliary storage device, 903 main storage device, 904 communication device, 905 input / output device, 909 bus.

Claims (9)

ローカルエリアネットワークに接続する内部装置とインターネットに接続する外部装置との間で通信される通信パケットを受信し、受信した前記通信パケットを送信先へ中継し、受信した前記通信パケットのうちで前記内部装置から前記外部装置へ送信される送信パケットだけを出力する中継装置と、
前記中継装置から出力された前記送信パケットを取得し、取得した前記送信パケットを解析する送信パケット解析装置とを備え、
前記送信パケット解析装置は、
1つ以上の送信パケットのそれぞれに含まれる送信データを用いて、各送信データを含んだセッションファイルを生成するセッション復元部と、
前記セッション復元部によって生成された前記セッションファイルに、前記内部装置から前記外部装置へ送信された送信ファイルが含まれるか判定するセッション解析部と、
前記セッション解析部によって前記セッションファイルに前記送信ファイルが含まれると判定された場合、前記セッションファイルに含まれる前記送信ファイルを検査する送信ファイル検査部とを備える
ことを特徴とする送信パケット解析システム。
Receives a communication packet communicated between an internal device connected to a local area network and an external device connected to the Internet, relays the received communication packet to a destination, and among the received communication packets, the internal packet A relay device that outputs only transmission packets transmitted from the device to the external device;
Obtaining the transmission packet output from the relay device, comprising a transmission packet analysis device for analyzing the acquired transmission packet ,
The transmission packet analysis device includes:
A session restoration unit that generates a session file including each transmission data by using transmission data included in each of the one or more transmission packets;
A session analysis unit for determining whether the transmission file transmitted from the internal device to the external device is included in the session file generated by the session restoration unit;
A transmission file inspection unit that inspects the transmission file included in the session file when the session analysis unit determines that the transmission file is included in the session file. Packet analysis system.
前記中継装置は、前記送信パケットだけを前記送信パケット解析装置へ出力する設定がされたスイッチ装置またはネットワークタップ装置である
ことを特徴とする請求項1に記載の送信パケット解析システム。
The transmission packet analysis system according to claim 1, wherein the relay device is a switch device or a network tap device that is set to output only the transmission packet to the transmission packet analysis device.
ローカルエリアネットワークに接続する内部装置とインターネットに接続する外部装置との間で通信される通信パケットを受信し、受信した前記通信パケットを送信先へ中継し、受信した前記通信パケットを出力する中継装置と、
前記中継装置から出力された前記通信パケットを取得し、取得した前記通信パケットのうちで前記内部装置から前記外部装置へ送信される送信パケットだけを解析する送信パケット解析装置とを備え、
前記送信パケット解析装置は、
1つ以上の送信パケットのそれぞれに含まれる送信データを用いて、各送信データを含んだセッションファイルを生成するセッション復元部と、
前記セッション復元部によって生成された前記セッションファイルに、前記内部装置から前記外部装置へ送信された送信ファイルが含まれるか判定するセッション解析部と、
前記セッション解析部によって前記セッションファイルに前記送信ファイルが含まれると判定された場合、前記セッションファイルに含まれる前記送信ファイルを検査する送信ファイル検査部とを備える
ことを特徴とする送信パケット解析システム。
A relay device that receives a communication packet communicated between an internal device connected to a local area network and an external device connected to the Internet, relays the received communication packet to a destination, and outputs the received communication packet When,
Obtaining the communication packet output from the relay device, comprising a transmission packet analysis device for analyzing only the transmission packet transmitted from the internal device to the external device among the acquired communication packets ,
The transmission packet analysis device includes:
A session restoration unit that generates a session file including each transmission data by using transmission data included in each of the one or more transmission packets;
A session analysis unit for determining whether the transmission file transmitted from the internal device to the external device is included in the session file generated by the session restoration unit;
A transmission file inspection unit that inspects the transmission file included in the session file when the session analysis unit determines that the transmission file is included in the session file. Packet analysis system.
前記送信パケット解析装置は、
前記中継装置から出力される前記通信パケットを取得する通信パケット取得部と、
前記通信パケット取得部によって取得された前記通信パケットに含まれるヘッダの情報に基づいて、前記通信パケットが前記送信パケットであるか判定する通信パケットフィルタ部と、
前記通信パケットフィルタ部によって前記通信パケットが前記送信パケットであると判定された場合、前記通信パケットを解析する送信パケット解析部とを備え、
前記送信パケット解析部は、前記セッション復元部と、前記セッション解析部と、前記送信ファイル検査部とを備える
ことを特徴とする請求項3に記載の送信パケット解析システム。
The transmission packet analysis device includes:
A communication packet acquisition unit for acquiring the communication packet output from the relay device;
A communication packet filter unit for determining whether the communication packet is the transmission packet based on information of a header included in the communication packet acquired by the communication packet acquisition unit;
A transmission packet analysis unit that analyzes the communication packet when the communication packet filter unit determines that the communication packet is the transmission packet ;
The transmission packet analysis system according to claim 3, wherein the transmission packet analysis unit includes the session restoration unit, the session analysis unit, and the transmission file inspection unit .
前記通信パケットフィルタ部は、
前記通信パケットが前記送信パケットである場合、前記通信パケットを記憶部に記憶し、
前記通信パケットが前記送信パケットでない場合、前記通信パケットを前記記憶部に記憶せずに前記通信パケットを破棄する
ことを特徴とする請求項4に記載の送信パケット解析システム。
The communication packet filter unit
If the communication packet is the transmission packet, store the communication packet in a storage unit,
5. The transmission packet analysis system according to claim 4, wherein when the communication packet is not the transmission packet, the communication packet is discarded without storing the communication packet in the storage unit.
ローカルエリアネットワークに接続する内部装置とインターネットに接続する外部装置との間で通信される通信パケットを中継する中継装置から、前記通信パケットを取得する通信パケット取得部と、
前記通信パケット取得部によって取得された前記通信パケットに含まれるヘッダの情報に基づいて、前記通信パケットが前記内部装置から前記外部装置へ送信された送信パケットであるか判定する通信パケットフィルタ部と、
前記通信パケットフィルタ部によって前記通信パケットが前記送信パケットであると判定された場合、前記通信パケットを解析する送信パケット解析部とを備え、
前記送信パケット解析部は、
1つ以上の送信パケットのそれぞれに含まれる送信データを用いて、各送信データを含んだセッションファイルを生成するセッション復元部と、
前記セッション復元部によって生成された前記セッションファイルに、前記内部装置から前記外部装置へ送信された送信ファイルが含まれるか判定するセッション解析部と、
前記セッション解析部によって前記セッションファイルに前記送信ファイルが含まれると判定された場合、前記セッションファイルに含まれる前記送信ファイルを検査する送信ファイル検査部とを備える
ことを特徴とする送信パケット解析装置。
A communication packet acquisition unit that acquires the communication packet from a relay device that relays a communication packet communicated between an internal device connected to the local area network and an external device connected to the Internet;
A communication packet filter unit that determines whether the communication packet is a transmission packet transmitted from the internal device to the external device based on information of a header included in the communication packet acquired by the communication packet acquisition unit;
A transmission packet analysis unit that analyzes the communication packet when the communication packet filter unit determines that the communication packet is the transmission packet ;
The transmission packet analysis unit
A session restoration unit that generates a session file including each transmission data by using transmission data included in each of the one or more transmission packets;
A session analysis unit for determining whether the transmission file transmitted from the internal device to the external device is included in the session file generated by the session restoration unit;
A transmission file inspection unit that inspects the transmission file included in the session file when the session analysis unit determines that the transmission file is included in the session file. Packet analysis device.
前記通信パケットフィルタ部は、
前記通信パケットが前記送信パケットである場合、前記通信パケットを記憶部に記憶し、
前記通信パケットが前記送信パケットでない場合、前記通信パケットを前記記憶部に記憶せずに前記通信パケットを破棄する
ことを特徴とする請求項に記載の送信パケット解析装置。
The communication packet filter unit
If the communication packet is the transmission packet, store the communication packet in a storage unit,
The transmission packet analysis apparatus according to claim 6 , wherein when the communication packet is not the transmission packet, the communication packet is discarded without storing the communication packet in the storage unit.
ローカルエリアネットワークに接続する内部装置とインターネットに接続する外部装置との間で通信される通信パケットを中継する中継装置から、前記通信パケットを取得する通信パケット取得処理と、
前記通信パケット取得処理によって取得された前記通信パケットに含まれるヘッダの情報に基づいて、前記通信パケットが前記内部装置から前記外部装置へ送信された送信パケットであるか判定する通信パケットフィルタ処理と、
前記通信パケットフィルタ処理によって前記通信パケットが前記送信パケットであると判定された場合、前記通信パケットを解析する送信パケット解析処理とをコンピュータに実行させるための送信パケット解析プログラムであって、
前記送信パケット解析処理は、
1つ以上の送信パケットのそれぞれに含まれる送信データを用いて、各送信データを含んだセッションファイルを生成するセッション復元処理と、
前記セッション復元処理によって生成された前記セッションファイルに、前記内部装置から前記外部装置へ送信された送信ファイルが含まれるか判定するセッション解析処理と、
前記セッション解析処理によって前記セッションファイルに前記送信ファイルが含まれると判定された場合、前記セッションファイルに含まれる前記送信ファイルを検査する送信ファイル検査処理とを備える
ことを特徴とする送信パケット解析プログラム。
A communication packet acquisition process for acquiring the communication packet from a relay device that relays a communication packet communicated between an internal device connected to the local area network and an external device connected to the Internet;
A communication packet filtering process for determining whether the communication packet is a transmission packet transmitted from the internal apparatus to the external apparatus, based on information of a header included in the communication packet acquired by the communication packet acquisition process;
When the communication packet filter process determines that the communication packet is the transmission packet, a transmission packet analysis program for causing a computer to execute a transmission packet analysis process for analyzing the communication packet ,
The transmission packet analysis process includes:
A session restoration process for generating a session file including each transmission data using transmission data included in each of the one or more transmission packets;
A session analysis process for determining whether the session file generated by the session restoration process includes a transmission file transmitted from the internal device to the external device;
A transmission file inspection process for inspecting the transmission file included in the session file when the session analysis process determines that the transmission file is included in the session file.
A transmission packet analysis program characterized by the above .
前記通信パケットフィルタ処理は、
前記通信パケットが前記送信パケットである場合、前記通信パケットを記憶部に記憶し、
前記通信パケットが前記送信パケットでない場合、前記通信パケットを前記記憶部に記憶せずに前記通信パケットを破棄する
ことを特徴とする請求項に記載の送信パケット解析プログラム。
The communication packet filter process is:
If the communication packet is the transmission packet, store the communication packet in a storage unit,
9. The transmission packet analysis program according to claim 8 , wherein when the communication packet is not the transmission packet, the communication packet is discarded without storing the communication packet in the storage unit.
JP2014056371A 2014-03-19 2014-03-19 Transmission packet analysis system, transmission packet analysis device, and transmission packet analysis program Active JP6023738B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014056371A JP6023738B2 (en) 2014-03-19 2014-03-19 Transmission packet analysis system, transmission packet analysis device, and transmission packet analysis program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014056371A JP6023738B2 (en) 2014-03-19 2014-03-19 Transmission packet analysis system, transmission packet analysis device, and transmission packet analysis program

Publications (2)

Publication Number Publication Date
JP2015179955A JP2015179955A (en) 2015-10-08
JP6023738B2 true JP6023738B2 (en) 2016-11-09

Family

ID=54263729

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014056371A Active JP6023738B2 (en) 2014-03-19 2014-03-19 Transmission packet analysis system, transmission packet analysis device, and transmission packet analysis program

Country Status (1)

Country Link
JP (1) JP6023738B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115134434B (en) * 2022-06-17 2024-08-23 奇安信科技集团股份有限公司 Method and device for monitoring session connection

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009116478A (en) * 2007-11-02 2009-05-28 Fujitsu Ltd Data collection device, data collection method, and computer program

Also Published As

Publication number Publication date
JP2015179955A (en) 2015-10-08

Similar Documents

Publication Publication Date Title
JP4479459B2 (en) Packet analysis system
JP5917573B2 (en) Real-time data awareness and file tracking system and method
JP6030272B2 (en) Website information extraction apparatus, system, website information extraction method, and website information extraction program
US20150287336A1 (en) Automated phishing-email training
CN108667770B (en) Website vulnerability testing method, server and system
WO2015024490A1 (en) Monitoring nat behaviors through uri dereferences in web browsers
CN107846407A (en) A kind of method and system of batch detection SSRF leaks
US9749295B2 (en) Systems and methods for internet traffic analysis
JP2019021055A (en) Management server, data browsing system, and program
CN109510738B (en) Communication link test method and device
CN112511517A (en) Mail detection method, device, equipment and medium
CN109698814B (en) Botnet discovery method and botnet discovery device
JP2011188071A (en) Intrusion detection/prevention system, client computer, intrusion detection/prevention apparatus and method, and program
JP2011101172A (en) Worm infection source specification system, specification method and specification program, agent, and manager computer
US9363293B2 (en) Image monitoring framework
KR101505845B1 (en) Apparatus for processing packet and method thereof
JP6023738B2 (en) Transmission packet analysis system, transmission packet analysis device, and transmission packet analysis program
CN108605039B (en) Detect malware on SPDY connections
JPWO2020100284A1 (en) Information processing equipment, control methods, and programs
US9049170B2 (en) Building filter through utilization of automated generation of regular expression
CN105700894A (en) Method and device for modifying HTTP response data
CN110620682B (en) Resource information acquisition method and device, storage medium, terminal
JP2014209674A (en) Identification device, identification method, and identification program
CN115842758A (en) Encrypted traffic content detection method and device, electronic equipment and storage medium
JP5820749B2 (en) Identification device, identification method, and identification program

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160209

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160406

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161004

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161007

R150 Certificate of patent or registration of utility model

Ref document number: 6023738

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250