JP6023738B2 - Transmission packet analysis system, transmission packet analysis device, and transmission packet analysis program - Google Patents
Transmission packet analysis system, transmission packet analysis device, and transmission packet analysis program Download PDFInfo
- Publication number
- JP6023738B2 JP6023738B2 JP2014056371A JP2014056371A JP6023738B2 JP 6023738 B2 JP6023738 B2 JP 6023738B2 JP 2014056371 A JP2014056371 A JP 2014056371A JP 2014056371 A JP2014056371 A JP 2014056371A JP 6023738 B2 JP6023738 B2 JP 6023738B2
- Authority
- JP
- Japan
- Prior art keywords
- transmission
- packet
- communication packet
- file
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、送信パケットを解析するための技術に関するものである。 The present invention relates to a technique for analyzing a transmission packet.
従来のパケット解析システムは、送信パケットと受信パケットとの両方をキャプチャし、送信データと受信データとを復元する。 A conventional packet analysis system captures both transmission packets and reception packets and restores transmission data and reception data.
しかし、情報漏洩を調査したい場合、送信データと受信データとのうちの送信データだけを検査すれば、情報漏洩を調査することができる。
また、Webサーバから受信される受信データは画像および音声などを含む場合も多いため、Webサーバから受信される受信データの量はWebサーバへ送信される送信データの量と比較して多い。
そして、情報漏洩の調査に不要な受信パケットを解析するために、多くの記憶容量と多くの処理時間とを費やしてしまう。
そのため、従来のパケット解析システムは、大容量の記憶装置および高性能なコンピュータが必要であり、導入することが困難な場合もあった。
However, when it is desired to investigate information leakage, information leakage can be investigated by examining only transmission data of transmission data and reception data.
In addition, since the reception data received from the Web server often includes images and sounds, the amount of reception data received from the Web server is larger than the amount of transmission data transmitted to the Web server.
Then, in order to analyze a received packet that is unnecessary for investigating information leakage, a lot of storage capacity and a lot of processing time are consumed.
Therefore, the conventional packet analysis system requires a large-capacity storage device and a high-performance computer and may be difficult to introduce.
本発明は、送信パケットと受信パケットとのうちの送信パケットだけを解析できるようにすることを目的とする。 An object of the present invention is to make it possible to analyze only a transmission packet of a transmission packet and a reception packet.
本発明の送信パケット解析システムは、
ローカルエリアネットワークに接続する内部装置とインターネットに接続する外部装置との間で通信される通信パケットを受信し、受信した前記通信パケットを送信先へ中継し、受信した前記通信パケットのうちで前記内部装置から前記外部装置へ送信される送信パケットだけを出力する中継装置と、
前記中継装置から出力された前記送信パケットを取得し、取得した前記送信パケットを解析する送信パケット解析装置とを備える。
The transmission packet analysis system of the present invention is
Receives a communication packet communicated between an internal device connected to a local area network and an external device connected to the Internet, relays the received communication packet to a destination, and among the received communication packets, the internal packet A relay device that outputs only transmission packets transmitted from the device to the external device;
A transmission packet analysis device that acquires the transmission packet output from the relay device and analyzes the acquired transmission packet.
前記中継装置は、前記送信パケットだけを前記送信パケット解析装置へ出力する設定がされたスイッチ装置またはネットワークタップ装置である。 The relay device is a switch device or a network tap device that is set to output only the transmission packet to the transmission packet analysis device.
前記送信パケット解析システムは、
ローカルエリアネットワークに接続する内部装置とインターネットに接続する外部装置との間で通信される通信パケットを受信し、受信した前記通信パケットを送信先へ中継し、受信した前記通信パケットを出力する中継装置と、
前記中継装置から出力された前記通信パケットを取得し、取得した前記通信パケットのうちで前記内部装置から前記外部装置へ送信される送信パケットだけを解析する送信パケット解析装置とを備える。
The transmission packet analysis system includes:
A relay device that receives a communication packet communicated between an internal device connected to a local area network and an external device connected to the Internet, relays the received communication packet to a destination, and outputs the received communication packet When,
A transmission packet analyzing device that acquires the communication packet output from the relay device and analyzes only the transmission packet transmitted from the internal device to the external device among the acquired communication packets.
前記送信パケット解析装置は、
前記中継装置から出力される前記通信パケットを取得する通信パケット取得部と、
前記通信パケット取得部によって取得された前記通信パケットに含まれるヘッダの情報に基づいて、前記通信パケットが前記送信パケットであるか判定する通信パケットフィルタ部と、
前記通信パケットフィルタ部によって前記通信パケットが前記送信パケットであると判定された場合、前記通信パケットを解析する送信パケット解析部とを備える。
The transmission packet analysis device includes:
A communication packet acquisition unit for acquiring the communication packet output from the relay device;
A communication packet filter unit for determining whether the communication packet is the transmission packet based on information of a header included in the communication packet acquired by the communication packet acquisition unit;
A transmission packet analyzing unit that analyzes the communication packet when the communication packet filter unit determines that the communication packet is the transmission packet;
前記通信パケットフィルタ部は、
前記通信パケットが前記送信パケットである場合、前記通信パケットを記憶部に記憶し、
前記通信パケットが前記送信パケットでない場合、前記通信パケットを前記記憶部に記憶せずに前記通信パケットを破棄する。
The communication packet filter unit
If the communication packet is the transmission packet, store the communication packet in a storage unit,
If the communication packet is not the transmission packet, the communication packet is discarded without storing the communication packet in the storage unit.
前記送信パケット解析部は、
1つ以上の送信パケットのそれぞれに含まれる送信データを用いて、各送信データを含んだセッションファイルを生成するセッション復元部と、
前記セッション復元部によって生成された前記セッションファイルに、前記内部装置から前記外部装置へ送信された送信ファイルが含まれるか判定するセッション解析部と、
前記セッション解析部によって前記セッションファイルに前記送信ファイルが含まれると判定された場合、前記セッションファイルに含まれる前記送信ファイルを検査する送信ファイル検査部とを備える。
The transmission packet analysis unit
A session restoration unit that generates a session file including each transmission data by using transmission data included in each of the one or more transmission packets;
A session analysis unit for determining whether the transmission file transmitted from the internal device to the external device is included in the session file generated by the session restoration unit;
A transmission file inspection unit that inspects the transmission file included in the session file when the session analysis unit determines that the transmission file is included in the session file;
本発明の送信パケット解析装置は、
ローカルエリアネットワークに接続する内部装置とインターネットに接続する外部装置との間で通信される通信パケットを中継する中継装置から、前記通信パケットを取得する通信パケット取得部と、
前記通信パケット取得部によって取得された前記通信パケットに含まれるヘッダの情報に基づいて、前記通信パケットが前記内部装置から前記外部装置へ送信された送信パケットであるか判定する通信パケットフィルタ部と、
前記通信パケットフィルタ部によって前記通信パケットが前記送信パケットであると判定された場合、前記通信パケットを解析する送信パケット解析部とを備える。
The transmission packet analysis device of the present invention is
A communication packet acquisition unit that acquires the communication packet from a relay device that relays a communication packet communicated between an internal device connected to the local area network and an external device connected to the Internet;
A communication packet filter unit that determines whether the communication packet is a transmission packet transmitted from the internal device to the external device based on information of a header included in the communication packet acquired by the communication packet acquisition unit;
A transmission packet analyzing unit that analyzes the communication packet when the communication packet filter unit determines that the communication packet is the transmission packet;
前記通信パケットフィルタ部は、
前記通信パケットが前記送信パケットである場合、前記通信パケットを記憶部に記憶し、
前記通信パケットが前記送信パケットでない場合、前記通信パケットを前記記憶部に記憶せずに前記通信パケットを破棄する。
The communication packet filter unit
If the communication packet is the transmission packet, store the communication packet in a storage unit,
If the communication packet is not the transmission packet, the communication packet is discarded without storing the communication packet in the storage unit.
前記送信パケット解析部は、
1つ以上の送信パケットのそれぞれに含まれる送信データを用いて、各送信データを含んだセッションファイルを生成するセッション復元部と、
前記セッション復元部によって生成された前記セッションファイルに、前記内部装置から前記外部装置へ送信された送信ファイルが含まれるか判定するセッション解析部と、
前記セッション解析部によって前記セッションファイルに前記送信ファイルが含まれると判定された場合、前記セッションファイルに含まれる前記送信ファイルを検査する送信ファイル検査部とを備える。
The transmission packet analysis unit
A session restoration unit that generates a session file including each transmission data by using transmission data included in each of the one or more transmission packets;
A session analysis unit for determining whether the transmission file transmitted from the internal device to the external device is included in the session file generated by the session restoration unit;
A transmission file inspection unit that inspects the transmission file included in the session file when the session analysis unit determines that the transmission file is included in the session file;
本発明の送信パケット解析プログラムは、
ローカルエリアネットワークに接続する内部装置とインターネットに接続する外部装置との間で通信される通信パケットを中継する中継装置から、前記通信パケットを取得する通信パケット取得処理と、
前記通信パケット取得処理によって取得された前記通信パケットに含まれるヘッダの情報に基づいて、前記通信パケットが前記内部装置から前記外部装置へ送信された送信パケットであるか判定する通信パケットフィルタ処理と、
前記通信パケットフィルタ処理によって前記通信パケットが前記送信パケットであると判定された場合、前記通信パケットを解析する送信パケット解析処理と
をコンピュータに実行させる。
The transmission packet analysis program of the present invention is
A communication packet acquisition process for acquiring the communication packet from a relay device that relays a communication packet communicated between an internal device connected to the local area network and an external device connected to the Internet;
A communication packet filtering process for determining whether the communication packet is a transmission packet transmitted from the internal apparatus to the external apparatus, based on information of a header included in the communication packet acquired by the communication packet acquisition process;
If the communication packet filtering process determines that the communication packet is the transmission packet, the computer is caused to execute a transmission packet analysis process for analyzing the communication packet.
前記通信パケットフィルタ処理は、
前記通信パケットが前記送信パケットである場合、前記通信パケットを記憶部に記憶し、
前記通信パケットが前記送信パケットでない場合、前記通信パケットを前記記憶部に記憶せずに前記通信パケットを破棄する。
The communication packet filter process is:
If the communication packet is the transmission packet, store the communication packet in a storage unit,
If the communication packet is not the transmission packet, the communication packet is discarded without storing the communication packet in the storage unit.
前記送信パケット解析処理は、
1つ以上の送信パケットのそれぞれに含まれる送信データを用いて、各送信データを含んだセッションファイルを生成するセッション復元処理と、
前記セッション復元処理によって生成された前記セッションファイルに、前記内部装置から前記外部装置へ送信された送信ファイルが含まれるか判定するセッション解析処理と、
前記セッション解析処理によって前記セッションファイルに前記送信ファイルが含まれると判定された場合、前記セッションファイルに含まれる前記送信ファイルを検査する送信ファイル検査処理とを備える。
The transmission packet analysis process includes:
A session restoration process for generating a session file including each transmission data using transmission data included in each of the one or more transmission packets;
A session analysis process for determining whether the session file generated by the session restoration process includes a transmission file transmitted from the internal device to the external device;
A transmission file inspection process for inspecting the transmission file included in the session file when the session analysis process determines that the transmission file is included in the session file.
本発明によれば、送信パケットと受信パケットとのうちの送信パケットだけを解析することができる。 According to the present invention, it is possible to analyze only the transmission packet of the transmission packet and the reception packet.
実施の形態1.
スイッチ装置(中継装置の一例)が送信パケットだけを送信パケット解析装置へ出力する形態について説明する。
A mode in which the switch device (an example of the relay device) outputs only the transmission packet to the transmission packet analysis device will be described.
図1は、実施の形態1における送信パケット解析システム100の構成図である。
実施の形態1における送信パケット解析システム100の構成について、図1に基づいて説明する。但し、送信パケット解析システム100の構成は図1と異なる構成であっても構わない。
FIG. 1 is a configuration diagram of a transmission packet analysis system 100 according to the first embodiment.
The configuration of transmission packet analysis system 100 according to
送信パケット解析システム100は、受信パケット102と送信パケット101とのうちの送信パケット101だけを解析するシステムである。
送信パケット101は、クライアント装置110がサーバ装置120へ送信する通信パケット190(図2参照)である。HTTPの要求メッセージは、送信パケット101によって通信されるアプリケーションデータの一例である。HTTPはHyperText
Transfer Protocolの略称である。
受信パケット102は、クライアント装置110がサーバ装置120から受信する通信パケット190(図2参照)である。HTTPの応答メッセージは、受信パケット102によって通信されるアプリケーションデータの一例である。
The transmission packet analysis system 100 is a system that analyzes only the
The
Abbreviation for Transfer Protocol.
The received
送信パケット解析システム100は、クライアント装置110(内部装置の一例)と、サーバ装置120(外部装置の一例)と、スイッチ装置130(中継装置の一例)と、送信パケット解析装置200とを備える。
クライアント装置110は、ローカルエリアネットワーク119に接続し、サーバ装置120へ送信パケット101を送信し、サーバ装置120から受信パケット102を受信する。LANはローカルエリアネットワーク119の略称である。
サーバ装置120は、インターネット129に接続し、クライアント装置110から送信パケット101を受信し、クライアント装置110へ受信パケット102を送信する。
The transmission packet analysis system 100 includes a client device 110 (an example of an internal device), a server device 120 (an example of an external device), a switch device 130 (an example of a relay device), and a transmission
The
The
スイッチ装置130は、ローカルエリアネットワーク119とインターネット129とに接続し、クライアント装置110とサーバ装置120との間で通信される通信パケット190を中継する装置である。スイッチ装置130はネットワークスイッチとも呼ばれる。
The
スイッチ装置130は、LANポート131と、インターネットポート132と、ミラーポート133とを備える。
LANポート131は、ローカルエリアネットワーク119に繋がる通信ケーブルが接続されるポートである。
インターネットポート132は、インターネット129に繋がる通信ケーブルが接続されるポートである。
ミラーポート133は、送信パケット解析装置200に繋がる通信ケーブルが接続されるポートである。
The
The
The
The
スイッチ装置130は、LANポート131に入力された送信パケット101をインターネットポート132からインターネット129へ出力する。さらに、スイッチ装置130は、送信パケット101をミラーポート133から送信パケット解析装置200へ出力する。
スイッチ装置130は、インターネットポート132に入力された受信パケット102をLANポート131からローカルエリアネットワーク119へ出力する。但し、スイッチ装置130は、受信パケット102をミラーポート133から送信パケット解析装置200へ出力しない。
The
The
スイッチ装置130は、設定ファイルが記憶されるメモリ(図示省略)を備える。
設定ファイルは、送信パケット101だけを送信パケット解析装置200に出力する設定が記述されたファイルである。
The
The setting file is a file in which settings for outputting only the
送信パケット解析装置200は、スイッチ装置130から出力される送信パケット101を解析する装置である。
送信パケット解析装置200は、送信パケット取得部210と、送信パケット解析部300と、解析記憶部290とを備える。
送信パケット取得部210は、スイッチ装置130から出力される送信パケット101を取得する。
送信パケット解析部300は、送信パケット101を解析する。例えば、送信パケット解析部300は、個人情報または機密情報などの秘匿情報が送信パケット101に含まれるか否かを解析する。
解析記憶部290は、送信パケット解析装置200で使用、生成または入出力されるデータを記憶する。例えば、解析記憶部290は送信パケット101を記憶する。解析記憶部290は、主記憶装置および補助記憶装置によって実装される。
The transmission
The transmission
The transmission
The transmission
The
図2は、実施の形態1における通信パケット190の構成図である。
実施の形態1における通信パケット190の構成について、図2に基づいて説明する。
通信パケット190は、IPヘッダ191と、TCPヘッダ192と、通信データ193とを備える。通信パケット190はIPパケットとも呼ばれる。IPはInternet Protocolの略称であり、TCPはTransmission Control Protocolの略称である。
FIG. 2 is a configuration diagram of the communication packet 190 in the first embodiment.
The configuration of communication packet 190 in the first embodiment will be described with reference to FIG.
The communication packet 190 includes an
IPヘッダ191は、送信元IPアドレスおよび宛先IPアドレスなどの情報を含む。
送信パケット101において、送信元IPアドレスはクライアント装置110のIPアドレスであり、宛先IPアドレスはサーバ装置120のIPアドレスである。但し、サーバ装置120のIPアドレスは、SMTPサーバ、HTTPサーバまたはファイアウォールのIPアドレスと読み替えてもよい(以下同様)。
受信パケット102において、送信元IPアドレスはサーバ装置120のIPアドレスであり、宛先IPアドレスはクライアント装置110のIPアドレスである。
The
In the
In the received
TCPヘッダ192は、送信元ポート番号および宛先ポート番号などの情報を含む。
送信パケット101において、送信元ポート番号はクライアント装置110のポート番号であり、宛先ポート番号はサーバ装置120のポート番号である。
受信パケット102において、送信元ポート番号はサーバ装置120のポート番号であり、宛先ポート番号はクライアント装置110のポート番号である。
The
In the
In the received
通信データ193は、通信パケット190によって通信されるデータである。
図3は、実施の形態1における送信パケット取得方法のフローチャートである。
送信パケット解析装置200が通信パケット190のうちの送信パケット101だけを取得する方法について、図3に基づいて説明する。但し、送信パケット取得方法は図3と異なる方法であっても構わない。
FIG. 3 is a flowchart of the transmission packet acquisition method in the first embodiment.
A method in which the transmission
図3に示す送信パケット取得方法は、スイッチ装置130が通信パケット190を受信する毎に実行される。
The transmission packet acquisition method shown in FIG. 3 is executed every time the
S110において、スイッチ装置130は通信パケット190を受信する。
例えば、スイッチ装置130は、クライアント装置110がサーバ装置120へ送信した送信パケット101を受信する。
例えば、スイッチ装置130は、サーバ装置120がクライアント装置110へ送信した受信パケット102を受信する。
S110の後、処理はS120に進む。
In S110, the
For example, the
For example, the
After S110, the process proceeds to S120.
S120において、スイッチ装置130は、S110で受信した通信パケット190を中継する。
例えば、スイッチ装置130は、送信パケット101をサーバ装置120へ中継する。
例えば、スイッチ装置130は、受信パケット102をクライアント装置110へ中継する。
S120の後、処理はS130に進む。
In S120, the
For example, the
For example, the
After S120, the process proceeds to S130.
S130において、スイッチ装置130は、S110で受信した通信パケット190が送信パケット101であるか判定する。
例えば、スイッチ装置130は、通信パケット190に含まれる送信元IPアドレス、宛先IPアドレスに基づいて、通信パケット190が送信パケット101であるか判定する。
通信パケット190が送信パケット101である場合(YES)、処理はS140に進む。
通信パケット190が送信パケット101でない場合、つまり、通信パケット190が受信パケット102である場合(NO)、送信パケット解析装置200は通信パケット190を取得せず、処理は終了する。
In S <b> 130, the
For example, the
If the communication packet 190 is the transmission packet 101 (YES), the process proceeds to S140.
When the communication packet 190 is not the
S140において、スイッチ装置130は、S110で受信した通信パケット190を送信パケット解析装置200へ出力する。
S140の後、処理はS150に進む。
In S140, the
After S140, the process proceeds to S150.
S150において、送信パケット解析装置200の送信パケット取得部210は、S140で出力された通信パケット190を取得し、取得した通信パケット190を解析記憶部290に記憶する。
例えば、送信パケット取得部210は、通信パケット190を暗号化し、暗号化した通信パケット190を圧縮し、圧縮した通信パケット190を補助記憶装置に記憶する。
S150の後、処理は終了する。
In S150, the transmission
For example, the transmission
After S150, the process ends.
送信パケット解析装置200の送信パケット解析部300は、特定のタイミングで、解析記憶部290に記憶されている1つ以上の送信パケット101を解析する。
The transmission
図4は、実施の形態1における送信パケット解析装置200のハードウェア構成図である。
実施の形態1における送信パケット解析装置200のハードウェア構成について、図4に基づいて説明する。但し、送信パケット解析装置200のハードウェア構成は図4に示す構成と異なる構成であってもよい。
FIG. 4 is a hardware configuration diagram of transmission
A hardware configuration of transmission
送信パケット解析装置200は、演算装置901、補助記憶装置902、主記憶装置903、通信装置904および入出力装置905を備えるコンピュータである。
演算装置901、補助記憶装置902、主記憶装置903、通信装置904および入出力装置905はバス909に接続している。
The transmission
The
演算装置901は、プログラムを実行するCPU(Central Processing Unit)である。
補助記憶装置902は、例えば、ROM(Read Only Memory)、フラッシュメモリまたはハードディスク装置である。
主記憶装置903は、例えば、RAM(Random Access Memory)である。
通信装置904は、有線または無線でインターネット、LAN(ローカルエリアネットワーク)、電話回線網またはその他のネットワークを介して通信を行う。
入出力装置905は、例えば、マウス、キーボード、ディスプレイ装置である。
The
The
The
The
The input /
プログラムは、補助記憶装置902に記憶されている。
例えば、オペレーティングシステム(OS)が補助記憶装置902に記憶される。また、「〜部」として説明している機能を実現するプログラムが補助記憶装置902に記憶される。
プログラムは、補助記憶装置902に記憶されており、主記憶装置903にロードされ、演算装置901に読み込まれ、演算装置901によって実行される。
The program is stored in the
For example, an operating system (OS) is stored in the
The program is stored in the
「〜の判断」、「〜の判定」、「〜の抽出」、「〜の検知」、「〜の設定」、「〜の登録」、「〜の選択」、「〜の生成」、「〜の入力」、「〜の出力」等の処理の結果を示す情報、データ、ファイル、信号値または変数値が主記憶装置903または補助記憶装置902に記憶される。
“Determining”, “determining”, “extracting”, “detecting”, “setting”, “registering”, “selecting”, “generating”, “to” Information, data, files, signal values or variable values indicating the results of processing such as “input”, “output of”, etc. are stored in the
実施の形態1により、以下のような送信パケット解析システム100について説明した。
送信パケット解析システム100は、情報漏洩の調査に必要な送信データのみを再現するため、送信パケットのみをキャプチャおよび解析する。
これにより、キャプチャおよび解析するデータの量を削減し、送信パケット解析システム100の規模を縮小し、送信パケット解析システム100の導入を容易にすることができる。
According to the first embodiment, the following transmission packet analysis system 100 has been described.
The transmission packet analysis system 100 captures and analyzes only the transmission packet in order to reproduce only the transmission data necessary for the information leakage investigation.
Thereby, the amount of data to be captured and analyzed can be reduced, the size of the transmission packet analysis system 100 can be reduced, and the introduction of the transmission packet analysis system 100 can be facilitated.
実施の形態2.
スイッチ装置の代わりにネットワークタップ装置(中継装置、分岐装置の一例)が送信パケットだけを送信パケット解析装置へ出力する形態について説明する。
以下、実施の形態1と異なる事項について主に説明する。説明を省略する事項については実施の形態1と同様である。
A mode in which a network tap device (an example of a relay device or a branching device) outputs only transmission packets to the transmission packet analysis device instead of the switch device will be described.
Hereinafter, items different from the first embodiment will be mainly described. Matters whose description is omitted are the same as those in the first embodiment.
図5は、実施の形態2における送信パケット解析システム100の構成図である。
実施の形態2における送信パケット解析システム100の構成について、図5に基づいて説明する。但し、送信パケット解析システム100の構成は図5と異なる構成であっても構わない。
FIG. 5 is a configuration diagram of the transmission packet analysis system 100 according to the second embodiment.
The configuration of transmission packet analysis system 100 in the second embodiment will be described with reference to FIG. However, the configuration of the transmission packet analysis system 100 may be different from that shown in FIG.
送信パケット解析システム100は、クライアント装置110(内部装置の一例)と、サーバ装置120(外部装置の一例)と、スイッチ装置130と、ネットワークタップ装置140(中継装置の一例)と、送信パケット解析装置200とを備える。
The transmission packet analysis system 100 includes a client device 110 (an example of an internal device), a server device 120 (an example of an external device), a
スイッチ装置130は、送信パケット101を送信パケット解析装置200へ出力する必要はない。
The
ネットワークタップ装置140は、ネットワーク信号を分岐して取り出す装置である。
ネットワークタップ装置140は、ローカルエリアネットワーク119に接続し、クライアント装置110とサーバ装置120との間で通信される通信パケット190を中継する。
The
The
ネットワークタップ装置140は、第1のポート141と、第2のポート142と、第3のポート143とを備える。
第1のポート141は、ローカルエリアネットワーク119に繋がる通信ケーブルが接続されるポートである。
第2のポート142は、スイッチ装置130に繋がる通信ケーブルが接続されるポートである。
第3のポート143は、送信パケット解析装置200に繋がる通信ケーブルが接続されるポートである。
The
The
The
The
ネットワークタップ装置140は、第1のポート141に入力された送信パケット101を第2のポート142からスイッチ装置130へ出力する。さらに、ネットワークタップ装置140は、送信パケット101を第3のポート143から送信パケット解析装置200へ出力する。
ネットワークタップ装置140は、第2のポート142に入力された受信パケット102を第1のポート141からローカルエリアネットワーク119へ出力する。但し、ネットワークタップ装置140は、受信パケット102を第3のポート143から送信パケット解析装置200へ出力しない。
The
The
ネットワークタップ装置140は、第1のポート141に入力された送信パケット101を第2のポート142に中継する第1の電気回路と、第2のポート142に入力された受信パケット102を第1のポート141に中継する第2の電気回路と、第1のポート141に入力された送信パケット101を第2の電気回路から分岐して第3のポート143に中継する第3の電気回路とを備える。
The
送信パケット解析装置200は、ネットワークタップ装置140から出力される送信パケット101を解析する装置である。
送信パケット解析装置200は、送信パケット取得部210と、送信パケット解析部300と、解析記憶部290とを備える。
送信パケット取得部210は、ネットワークタップ装置140から出力される送信パケット101を取得する。
送信パケット解析部300は、送信パケット101を解析する。例えば、送信パケット解析部300は、個人情報または機密情報などの秘匿情報が送信パケット101に含まれるか否かを解析する。
解析記憶部290は、送信パケット解析装置200で使用、生成または入出力されるデータを記憶する。例えば、解析記憶部290は送信パケット101を記憶する。
The transmission
The transmission
The transmission
The transmission
The
実施の形態2において、ネットワークタップ装置140は、ローカルエリアネットワーク119とスイッチ装置130との間ではなく、インターネット129とスイッチ装置130との間に設けても構わない。
いずれの場合において、スイッチ装置130は通信パケット190をネットワークタップ装置140へ出力する。そして、ネットワークタップ装置140は、スイッチ装置130から出力された通信パケット190のうちの送信パケット101だけを、送信パケット解析装置200へ出力する。
In the second embodiment, the
In any case, the
図6は、実施の形態2における送信パケット取得方法のフローチャートである。
送信パケット解析装置200が通信パケット190のうちの送信パケット101だけを取得する方法について、図6に基づいて説明する。但し、送信パケット取得方法は図6と異なる方法であっても構わない。
FIG. 6 is a flowchart of the transmission packet acquisition method according to the second embodiment.
A method in which the transmission
図6に示す送信パケット取得方法は、スイッチ装置130が通信パケット190を受信する毎に実行される。
The transmission packet acquisition method illustrated in FIG. 6 is executed every time the
S210において、ネットワークタップ装置140は通信パケット190を受信する。
例えば、ネットワークタップ装置140は、クライアント装置110がサーバ装置120へ送信した送信パケット101を受信する。
例えば、ネットワークタップ装置140は、サーバ装置120がクライアント装置110へ送信した受信パケット102を受信する。
S210の後、処理はS220に進む。
In S210, the
For example, the
For example, the
After S210, the process proceeds to S220.
S220において、ネットワークタップ装置140は、S210で受信した通信パケット190を中継する。
例えば、ネットワークタップ装置140は、送信パケット101をサーバ装置120へ中継する。
例えば、ネットワークタップ装置140は、受信パケット102をクライアント装置110へ中継する。
S220の後、処理はS230に進む。
In S220, the
For example, the
For example, the
After S220, the process proceeds to S230.
S230において、ネットワークタップ装置140は、S210で受信した通信パケット190が送信パケット101であるか判定する。
例えば、ネットワークタップ装置140は、第1のポート141に入力された送信パケット101を第2のポート142に中継する電気回路から分岐した電気回路を通る通信パケット190が送信パケット101であると判定する。
通信パケット190が送信パケット101である場合(YES)、処理は240に進む。
通信パケット190が送信パケット101でない場合、つまり、通信パケット190が受信パケット102である場合(NO)、送信パケット解析装置200は通信パケット190を取得せず、処理は終了する。
In S230, the
For example, the
If the communication packet 190 is the transmission packet 101 (YES), the process proceeds to 240.
When the communication packet 190 is not the
S240において、ネットワークタップ装置140は、S210で受信した通信パケット190を送信パケット解析装置200へ出力する。
S240の後、処理はS250に進む。
In S240, the
After S240, the process proceeds to S250.
S250において、送信パケット解析装置200の送信パケット取得部210は、S240で出力された通信パケット190を取得し、取得した通信パケット190を解析記憶部290に記憶する。
例えば、送信パケット取得部210は、通信パケット190を暗号化し、暗号化した通信パケット190を圧縮し、圧縮した通信パケット190を補助記憶装置に記憶する。
S250の後、処理は終了する。
In S250, the transmission
For example, the transmission
After S250, the process ends.
送信パケット解析装置200の送信パケット解析部300は、特定のタイミングで、解析記憶部290に記憶されている1つ以上の送信パケット101を解析する。
The transmission
実施の形態2により、実施の形態1と同様の効果を奏することができる。 According to the second embodiment, the same effects as in the first embodiment can be obtained.
実施の形態3.
送信パケット解析装置が送信パケットだけを選択する形態について説明する。
以下、実施の形態1と異なる事項について主に説明する。説明を省略する事項については実施の形態1と同様である。
A mode in which the transmission packet analysis device selects only transmission packets will be described.
Hereinafter, items different from the first embodiment will be mainly described. Matters whose description is omitted are the same as those in the first embodiment.
図7は、実施の形態3における送信パケット解析システム100の構成図である。
実施の形態3における送信パケット解析システム100の構成について、図7に基づいて説明する。
FIG. 7 is a configuration diagram of the transmission packet analysis system 100 according to the third embodiment.
The configuration of transmission packet analysis system 100 according to
送信パケット解析システム100は、クライアント装置110(内部装置の一例)と、サーバ装置120(外部装置の一例)と、スイッチ装置130(中継装置の一例)と、送信パケット解析装置200とを備える。
The transmission packet analysis system 100 includes a client device 110 (an example of an internal device), a server device 120 (an example of an external device), a switch device 130 (an example of a relay device), and a transmission
スイッチ装置130は、受信した通信パケット190を送信パケット解析装置200へ出力する。
つまり、スイッチ装置130は、送信パケット101と受信パケット102との両方を送信パケット解析装置200へ出力する。
The
That is, the
送信パケット解析装置200は、通信パケット取得部220と、通信パケットフィルタ部230と、送信パケット解析部300と、解析記憶部290とを備える。
通信パケット取得部220は、スイッチ装置130から出力される通信パケット190を取得する。
通信パケットフィルタ部230は、通信パケット取得部220によって取得された通信パケット190に含まれるヘッダの情報に基づいて、通信パケット190が送信パケット101であるか判定する。通信パケットフィルタ部230は、送信パケット101を解析記憶部290に記憶し、受信パケット102を解析記憶部290に記憶せずに破棄する。
送信パケット解析部300は、送信パケット101であると判定された通信パケット190を解析する。
The transmission
The communication
The communication
The transmission
解析記憶部290は、送信パケット解析装置200で使用、生成または入出力されるデータを記憶する。
例えば、解析記憶部290は、送信パケット101(図示省略)およびフィルタファイル291などを記憶する。
フィルタファイル291は、通信パケット190が送信パケット101であるための条件を示す。
通信パケットフィルタ部230は、フィルタファイル291が示す条件を満たす情報が通信パケット190のヘッダに含まれる場合、通信パケット190が送信パケット101であると判定する。
The
For example, the
The
The communication
図8は、実施の形態3におけるフィルタファイル291の一例を示す図である。
実施の形態3のおけるフィルタファイル291について、図8に基づいて説明する。但し、フィルタファイル291は、図8と異なるファイルであっても構わない。
FIG. 8 is a diagram illustrating an example of the
The
フィルタファイル291は、通信パケット190が送信パケット101であるための条件(1から5)を含んでいる。
通信パケットフィルタ部230は、フィルタファイル291に含まれるいずれかの条件を満たす情報が通信パケット190のヘッダに含まれる場合、通信パケット190が送信パケット101であると判定する。
The
The communication
例えば、送信パケット101は以下のような通信パケット190である。
送信元IPアドレスが192.168.1.10である(条件1)。
送信元IPアドレスが192.168.1.20である(条件2)。
宛先IPアドレスが192.168.10.1であり、且つ、宛先ポート番号が80である(条件3)。
宛先IPアドレスが192.168.10.1であり、且つ、宛先ポート番号が8080である(条件4)。
送信元IPアドレスが192.168.1.20ではなく、且つ、宛先ポート番号が80である。
For example, the
The source IP address is 192.168.1.10. (Condition 1).
The source IP address is 192.168.1.20 (condition 2).
The destination IP address is 192.168.10.1 and the destination port number is 80 (condition 3).
The destination IP address is 192.168.10.1 and the destination port number is 8080 (condition 4).
The source IP address is not 192.168.1.20 and the destination port number is 80.
図9は、実施の形態3における送信パケット取得方法のフローチャートである。
送信パケット解析装置200が通信パケット190のうちの送信パケット101だけを保存する方法について、図9に基づいて説明する。但し、送信パケット取得方法は図9と異なる方法であっても構わない。
FIG. 9 is a flowchart of the transmission packet acquisition method according to the third embodiment.
A method in which the transmission
図9に示す送信パケット取得方法は、送信パケット解析装置200の通信装置904が通信パケット190を受信する毎に実行される。受信された通信パケット190は通信バッファに記憶される。
The transmission packet acquisition method shown in FIG. 9 is executed each time the
S310において、通信パケット取得部220は、通信バッファから作業用の記憶領域(以下、作業領域という)に通信パケット190を読み出す。
S310の後、処理はS320に進む。
In S310, the communication
After S310, the process proceeds to S320.
S320において、通信パケットフィルタ部230は、通信パケット190に含まれるヘッダの情報に基づいて、通信パケット190が送信パケット101であるか判定する。
フィルタファイル291が示す条件を満たす情報が通信パケット190のヘッダに含まれる場合、通信パケットフィルタ部230は通信パケット190が送信パケット101であると判定する。
通信パケット190が送信パケット101である場合(YES)、処理はS330に進む。
通信パケット190が送信パケット101でない場合、つまり、通信パケット190が受信パケット102である場合(NO)、処理はS340に進む。
In step S <b> 320, the communication
When information satisfying the condition indicated by the
If the communication packet 190 is the transmission packet 101 (YES), the process proceeds to S330.
If the communication packet 190 is not the
S330において、通信パケットフィルタ部230は、通信パケット190を作業領域から読み出し、読み出した通信パケット190を解析記憶部290に記憶する。
例えば、通信パケットフィルタ部230は、通信パケット190を暗号化し、暗号化した通信パケット190を圧縮し、圧縮した通信パケット190を補助記憶装置に記憶する。
S330の後、処理は終了する。
In S330, the communication
For example, the communication
After S330, the process ends.
S340において、通信パケットフィルタ部230は、通信パケット190を解析記憶部290に記憶せず、通信パケット190を作業領域から削除する。
S340の後、処理は終了する。
In S340, the communication
After S340, the process ends.
送信パケット解析装置200の送信パケット解析部300は、特定のタイミングで、解析記憶部290に記憶されている1つ以上の送信パケット101を解析する。
The transmission
実施の形態3により、実施の形態1と同様の効果を奏することができる。 According to the third embodiment, the same effect as in the first embodiment can be obtained.
実施の形態4.
送信パケット101を解析する解析方法について説明する。
以下、実施の形態1から3で説明していない事項について主に説明する。説明を省略する事項については実施の形態1から3と同様である。
An analysis method for analyzing the
Hereinafter, items not described in the first to third embodiments will be mainly described. Matters whose description is omitted are the same as those in the first to third embodiments.
送信パケット解析システム100の構成は、実施の形態1から3で説明した構成と同様である(図1、図5および図7参照)。
但し、送信パケット解析システム100は管理者が使用する管理端末(図示省略)を備えてもよい。
The configuration of transmission packet analysis system 100 is the same as that described in the first to third embodiments (see FIGS. 1, 5, and 7).
However, the transmission packet analysis system 100 may include a management terminal (not shown) used by the administrator.
送信パケット解析装置200の構成は、実施の形態1から3で説明した構成と同様である(図1、図5、図7および図4参照)。
The configuration of transmission
図10は、実施の形態4における送信パケット解析装置200が備える送信パケット解析部300の機能構成図である。
実施の形態4における送信パケット解析装置200が備える送信パケット解析部300の機能構成について、図10に基づいて説明する。
FIG. 10 is a functional configuration diagram of a transmission
A functional configuration of transmission
送信パケット解析部300は、セッション復元部310と、セッション解析部320と、送信ファイル検査部330とを備える。
セッション復元部310は、1つ以上の送信パケット101のそれぞれに含まれる送信データを用いて、各送信データを含んだセッションファイル292を生成する。
セッション解析部320は、セッションファイル292を解析し、セッションファイル292の解析結果ファイル293を生成する。例えば、セッション解析部320は、クライアント装置110からサーバ装置120へ送信された送信ファイルがセッションファイル292に含まれるか判定し、判定結果を含んだ解析結果ファイル293を生成する。
送信ファイル検査部330は、セッションファイル292に含まれる送信ファイルを検査する。
The transmission
The
The
The transmission
送信ファイル検査部330は、セッション検索部331と、送信ファイル取得部332と、秘匿情報検査部333と、検査結果通知部334とを備える。
セッション検索部331は、各セッションファイル292の解析結果ファイル293に基づいて、送信ファイルを含んだセッションファイル292を検索する。
送信ファイル取得部332は、セッションファイル292から送信ファイルを取得する。
秘匿情報検査部333は、秘匿情報の条件を示す秘匿情報ファイル294に基づいて、送信ファイルに秘匿情報が含まれるか検査する。
検査結果通知部334は、検査結果を示す検査結果ファイル295を含んだ検査結果メール296を管理端末へ送信する。
The transmission
The
The transmission
The secret
The inspection
送信パケット解析装置200の解析記憶部290は、送信パケット101、セッションファイル292、解析結果ファイル293、秘匿情報ファイル294、検査結果ファイル295および検査結果メール296などを記憶する。
The
図11は、実施の形態4における送信パケット解析装置200が実行する送信パケット解析処理のフローチャートである。
実施の形態4における送信パケット解析装置200が実行する送信パケット解析処理について、図11に基づいて説明する。但し、送信パケット解析処理は図11と異なる処理であっても構わない。
FIG. 11 is a flowchart of transmission packet analysis processing executed by transmission
A transmission packet analysis process executed by the transmission
S410において、セッション復元部310は、解析記憶部290から複数の送信パケット101を取得する。送信パケット101が暗号化および圧縮されて記憶されている場合、セッション復元部310は送信パケット101を復号および伸張する。
各送信パケット101は、クライアント装置110がサーバ装置120へ送信するアプリケーションデータを分割して得られた送信データを含んでいる。HTTPの要求メッセージおよび電子メールはアプリケーションデータの一例である。
In S410, the
Each
セッション復元部310は、各送信パケット101に含まれるヘッダの情報に基づいて、各送信パケット101に含まれる送信データを結合する。各送信データを結合する方法は、IPパケットおよびTCPパケットの通常の処理と同様である。
セッション復元部310は、各送信データを結合することによって生成されるセッションファイル292を、解析記憶部290に記憶する。
The
The
セッションファイル292は、クライアント装置110とサーバ装置120との間で通信されたアプリケーションデータを含む。
但し、実施の形態4において、セッションファイル292は、クライアント装置110がサーバ装置120へ送信したアプリケーションデータを含むが、クライアント装置110がサーバ装置120から受信したアプリケーションデータを含まない。
S410の後、処理はS420に進む。
However, in the fourth embodiment, the
After S410, the process proceeds to S420.
図12は、実施の形態4におけるセッションファイル292の一例を示す図である。
例えば、セッション復元部310は、図12に示すようなセッションファイル292を生成する。
(1)の部分は、クライアント装置110がサーバ装置120へ送信したHTTPの要求データを示している。
(2)の部分は、クライアント装置110がサーバ装置120へ送信した送信ファイルの中身を示している。
送信パケット101と受信パケット102との両方を用いてセッションファイル292が生成された場合、クライアント装置110がサーバ装置120から受信したHTTPの応答データが(3)の部分に含まれる。
図11に戻り、S420から説明を続ける。
FIG. 12 is a diagram illustrating an example of the
For example, the
The part (1) indicates HTTP request data transmitted from the
The part (2) indicates the contents of the transmission file transmitted from the
When the
Returning to FIG. 11, the description will be continued from S420.
S420において、セッション解析部320は、セッションファイル292を解析し、セッションファイル292に関する各種の情報を取得する。
そして、セッション解析部320は、取得した各種の情報を含んだ解析結果ファイル293を生成し、生成した解析結果ファイル293を解析記憶部290に記憶する。
In S420, the
Then, the
例えば、セッション解析部320は、セッションファイル292の形式に基づいてセッションファイル292の種類を特定し、セッションファイル292の種類に応じた情報を取得する。
例えば、セッションファイル292の種類がHTTPの要求データである場合、セッション解析部320は、宛先URL、ホスト名、送信ファイルの有無などの情報を取得する。URLはUniform Resource Locatorの略称である。
例えば、セッションファイル292の種類が電子メールである場合、セッション解析部320は、宛先メールアドレス、送信ファイル(添付ファイルともいう)の有無などの情報を取得する。
For example, the
For example, when the type of the
For example, when the type of the
例えば、図12に示すセッションファイル292の種類はHTTPの要求データである。
このセッションファイル292において、“POST”に続く文字列“/upload/file.html”が宛先URLであり、“HOST”に続く文字列“text.co.jp”がホスト名である。
また、セッションファイル292は“filename=”という文字列を含んでいるため、セッション解析部320は、セッションファイル292が送信ファイルを含んでいると判定する。
そこで、セッション解析部320は、これらの情報を含んだ解析結果ファイル293を生成する。
S420の後、処理はS431に進む。
For example, the type of the
In this
Further, since the
Therefore, the
After S420, the process proceeds to S431.
S431において、各セッションファイル292の解析結果ファイル293は、セッションファイル292を識別する情報および送信ファイルの有無を示す情報を含んでいる。
セッション検索部331は、各セッションファイル292の解析結果ファイル293に基づいて、送信ファイルを含んだセッションファイル292を解析記憶部290から特定する。
S431の後、処理はS432に進む。
In S431, the analysis result file 293 of each
The
After S431, the process proceeds to S432.
S432において、送信ファイル取得部332は、S431で特定されたセッションファイル292から送信ファイルを取得する。
S432の後、処理はS433に進む。
In S432, the transmission
After S432, the process proceeds to S433.
S433において、秘匿情報検査部333は、秘匿情報ファイル294に基づいて、秘匿情報が送信ファイルに含まれるか検査する。
In S433, the confidential
秘匿情報ファイル294は、秘匿情報に関するキーワード、秘匿情報のパターンを表す正規表現などを含む。秘匿情報は、個人情報および機密情報など、秘匿にすべき情報である。
例えば、秘匿情報ファイル294は、佐藤、鈴木および田中などを、個人情報に該当する名字のキーワードとして含む。
例えば、秘匿情報ファイル294は、一郎、太郎および花子などを、個人情報に該当する名前のキーワードとして含む。
例えば、秘匿情報ファイル294は、11桁の数値(但し、スペースおよびハイフンなどを数値間にあってもよい)という規則を、個人情報に該当する電話番号のパターンを表す正規表現として含む。
The
For example, the
For example, the
For example, the secret information file 294 includes a rule of 11-digit numerical values (however, spaces and hyphens may be between the numerical values) as a regular expression representing a telephone number pattern corresponding to personal information.
例えば、図12において、送信ファイルの中身を示す(2)の部分は、名字および名前のキーワードに該当する3つの秘匿情報(佐藤一郎、鈴木太郎、田中花子)を含んでいる。
また、送信ファイルの中身を示す(2)の部分は、電話番号の正規表現を満たす3つの秘匿情報(090−1111−2222、090−2222−3333、090−3333−4444)を含んでいる。
For example, in FIG. 12, the portion (2) indicating the contents of the transmission file includes three pieces of secret information (Ichiro Sato, Taro Suzuki, Hanako Tanaka) corresponding to the last name and the name keyword.
The portion (2) indicating the contents of the transmission file includes three pieces of secret information (090-11212222, 090-2222-3333, 090-3333-4444) that satisfy the regular expression of the telephone number.
そして、秘匿情報検査部333は、検査結果を示す検査結果ファイル295を生成し、生成した検査結果ファイル295を解析記憶部290に記憶する。
例えば、検査結果ファイル295は、セッションファイル292を識別する情報、セッションファイル292の解析結果ファイル293に含まれる情報、秘匿情報が含まれるか否かを示す情報および送信ファイルに含まれた秘匿情報などを含む。
S433の後、処理はS434に進む。
Then, the confidential
For example, the inspection result file 295 includes information for identifying the
After S433, the process proceeds to S434.
S434において、検査結果通知部334は、検査結果ファイル295に含まれる情報を含んだ検査結果メール296を生成し、生成した検査結果メール296を管理者のメールアドレス宛てに送信する。管理者のメールアドレスは解析記憶部290に予め記憶しておく。
S433の後、送信パケット解析処理は終了する。
In S434, the inspection
After S433, the transmission packet analysis process ends.
実施の形態4により、送信パケット101を解析し、情報漏洩を調査することができる。
According to the fourth embodiment, it is possible to analyze the
各実施の形態は、送信パケット解析システム100の形態の一例である。
つまり、送信パケット解析システム100は、各実施の形態で説明した構成要素の一部を備えなくても構わない。また、送信パケット解析システム100は、各実施の形態で説明していない構成要素を備えても構わない。さらに、送信パケット解析システム100は、各実施の形態の構成要素の一部または全てを組み合わせたものであっても構わない。
Each embodiment is an example of the form of the transmission packet analysis system 100.
That is, the transmission packet analysis system 100 may not include some of the components described in the embodiments. Further, the transmission packet analysis system 100 may include components that are not described in each embodiment. Furthermore, the transmission packet analysis system 100 may be a combination of some or all of the constituent elements of each embodiment.
各実施の形態においてフローチャート等を用いて説明した処理手順は、各実施の形態に係る方法およびプログラムの処理手順の一例である。各実施の形態に係る方法およびプログラムは、各実施の形態で説明した処理手順と一部異なる処理手順で実現されても構わない。 The processing procedures described using the flowcharts and the like in each embodiment are an example of the processing procedures of the method and the program according to each embodiment. The method and program according to each embodiment may be realized by a processing procedure partially different from the processing procedure described in each embodiment.
各実施の形態において「〜部」は「〜処理」「〜工程」「〜プログラム」「〜装置」と読み替えることができる。 In each embodiment, “to part” can be read as “to process”, “to process”, “to program”, and “to apparatus”.
100 送信パケット解析システム、101 送信パケット、102 受信パケット、110 クライアント装置、119 ローカルエリアネットワーク、120 サーバ装置、129 インターネット、130 スイッチ装置、131 LANポート、132 インターネットポート、133 ミラーポート、140 ネットワークタップ装置、141 第1のポート、142 第2のポート、143 第3のポート、190 通信パケット、191 IPヘッダ、192 TCPヘッダ、193 通信データ、200 送信パケット解析装置、210 送信パケット取得部、220 通信パケット取得部、230 通信パケットフィルタ部、290 解析記憶部、291 フィルタファイル、292 セッションファイル、293 解析結果ファイル、294 秘匿情報ファイル、295 検査結果ファイル、296 検査結果メール、300 送信パケット解析部、310 セッション復元部、320 セッション解析部、330 送信ファイル検査部、331 セッション検索部、332 送信ファイル取得部、333 秘匿情報検査部、334 検査結果通知部、901 演算装置、902 補助記憶装置、903 主記憶装置、904 通信装置、905 入出力装置、909 バス。 100 transmission packet analysis system, 101 transmission packet, 102 reception packet, 110 client device, 119 local area network, 120 server device, 129 internet, 130 switch device, 131 LAN port, 132 internet port, 133 mirror port, 140 network tap device , 141 1st port, 142 2nd port, 143 3rd port, 190 communication packet, 191 IP header, 192 TCP header, 193 communication data, 200 transmission packet analyzer, 210 transmission packet acquisition unit, 220 communication packet Acquisition unit, 230 communication packet filter unit, 290 analysis storage unit, 291 filter file, 292 session file, 293 analysis result file, 29 Confidential information file, 295 Inspection result file, 296 Inspection result mail, 300 Transmission packet analysis unit, 310 Session restoration unit, 320 Session analysis unit, 330 Transmission file inspection unit, 331 Session search unit, 332 Transmission file acquisition unit, 333 Confidential information Inspection unit, 334 Inspection result notification unit, 901 arithmetic device, 902 auxiliary storage device, 903 main storage device, 904 communication device, 905 input / output device, 909 bus.
Claims (9)
前記中継装置から出力された前記送信パケットを取得し、取得した前記送信パケットを解析する送信パケット解析装置とを備え、
前記送信パケット解析装置は、
1つ以上の送信パケットのそれぞれに含まれる送信データを用いて、各送信データを含んだセッションファイルを生成するセッション復元部と、
前記セッション復元部によって生成された前記セッションファイルに、前記内部装置から前記外部装置へ送信された送信ファイルが含まれるか判定するセッション解析部と、
前記セッション解析部によって前記セッションファイルに前記送信ファイルが含まれると判定された場合、前記セッションファイルに含まれる前記送信ファイルを検査する送信ファイル検査部とを備える
ことを特徴とする送信パケット解析システム。 Receives a communication packet communicated between an internal device connected to a local area network and an external device connected to the Internet, relays the received communication packet to a destination, and among the received communication packets, the internal packet A relay device that outputs only transmission packets transmitted from the device to the external device;
Obtaining the transmission packet output from the relay device, comprising a transmission packet analysis device for analyzing the acquired transmission packet ,
The transmission packet analysis device includes:
A session restoration unit that generates a session file including each transmission data by using transmission data included in each of the one or more transmission packets;
A session analysis unit for determining whether the transmission file transmitted from the internal device to the external device is included in the session file generated by the session restoration unit;
A transmission file inspection unit that inspects the transmission file included in the session file when the session analysis unit determines that the transmission file is included in the session file. Packet analysis system.
ことを特徴とする請求項1に記載の送信パケット解析システム。 The transmission packet analysis system according to claim 1, wherein the relay device is a switch device or a network tap device that is set to output only the transmission packet to the transmission packet analysis device.
前記中継装置から出力された前記通信パケットを取得し、取得した前記通信パケットのうちで前記内部装置から前記外部装置へ送信される送信パケットだけを解析する送信パケット解析装置とを備え、
前記送信パケット解析装置は、
1つ以上の送信パケットのそれぞれに含まれる送信データを用いて、各送信データを含んだセッションファイルを生成するセッション復元部と、
前記セッション復元部によって生成された前記セッションファイルに、前記内部装置から前記外部装置へ送信された送信ファイルが含まれるか判定するセッション解析部と、
前記セッション解析部によって前記セッションファイルに前記送信ファイルが含まれると判定された場合、前記セッションファイルに含まれる前記送信ファイルを検査する送信ファイル検査部とを備える
ことを特徴とする送信パケット解析システム。 A relay device that receives a communication packet communicated between an internal device connected to a local area network and an external device connected to the Internet, relays the received communication packet to a destination, and outputs the received communication packet When,
Obtaining the communication packet output from the relay device, comprising a transmission packet analysis device for analyzing only the transmission packet transmitted from the internal device to the external device among the acquired communication packets ,
The transmission packet analysis device includes:
A session restoration unit that generates a session file including each transmission data by using transmission data included in each of the one or more transmission packets;
A session analysis unit for determining whether the transmission file transmitted from the internal device to the external device is included in the session file generated by the session restoration unit;
A transmission file inspection unit that inspects the transmission file included in the session file when the session analysis unit determines that the transmission file is included in the session file. Packet analysis system.
前記中継装置から出力される前記通信パケットを取得する通信パケット取得部と、
前記通信パケット取得部によって取得された前記通信パケットに含まれるヘッダの情報に基づいて、前記通信パケットが前記送信パケットであるか判定する通信パケットフィルタ部と、
前記通信パケットフィルタ部によって前記通信パケットが前記送信パケットであると判定された場合、前記通信パケットを解析する送信パケット解析部とを備え、
前記送信パケット解析部は、前記セッション復元部と、前記セッション解析部と、前記送信ファイル検査部とを備える
ことを特徴とする請求項3に記載の送信パケット解析システム。 The transmission packet analysis device includes:
A communication packet acquisition unit for acquiring the communication packet output from the relay device;
A communication packet filter unit for determining whether the communication packet is the transmission packet based on information of a header included in the communication packet acquired by the communication packet acquisition unit;
A transmission packet analysis unit that analyzes the communication packet when the communication packet filter unit determines that the communication packet is the transmission packet ;
The transmission packet analysis system according to claim 3, wherein the transmission packet analysis unit includes the session restoration unit, the session analysis unit, and the transmission file inspection unit .
前記通信パケットが前記送信パケットである場合、前記通信パケットを記憶部に記憶し、
前記通信パケットが前記送信パケットでない場合、前記通信パケットを前記記憶部に記憶せずに前記通信パケットを破棄する
ことを特徴とする請求項4に記載の送信パケット解析システム。 The communication packet filter unit
If the communication packet is the transmission packet, store the communication packet in a storage unit,
5. The transmission packet analysis system according to claim 4, wherein when the communication packet is not the transmission packet, the communication packet is discarded without storing the communication packet in the storage unit.
前記通信パケット取得部によって取得された前記通信パケットに含まれるヘッダの情報に基づいて、前記通信パケットが前記内部装置から前記外部装置へ送信された送信パケットであるか判定する通信パケットフィルタ部と、
前記通信パケットフィルタ部によって前記通信パケットが前記送信パケットであると判定された場合、前記通信パケットを解析する送信パケット解析部とを備え、
前記送信パケット解析部は、
1つ以上の送信パケットのそれぞれに含まれる送信データを用いて、各送信データを含んだセッションファイルを生成するセッション復元部と、
前記セッション復元部によって生成された前記セッションファイルに、前記内部装置から前記外部装置へ送信された送信ファイルが含まれるか判定するセッション解析部と、
前記セッション解析部によって前記セッションファイルに前記送信ファイルが含まれると判定された場合、前記セッションファイルに含まれる前記送信ファイルを検査する送信ファイル検査部とを備える
ことを特徴とする送信パケット解析装置。 A communication packet acquisition unit that acquires the communication packet from a relay device that relays a communication packet communicated between an internal device connected to the local area network and an external device connected to the Internet;
A communication packet filter unit that determines whether the communication packet is a transmission packet transmitted from the internal device to the external device based on information of a header included in the communication packet acquired by the communication packet acquisition unit;
A transmission packet analysis unit that analyzes the communication packet when the communication packet filter unit determines that the communication packet is the transmission packet ;
The transmission packet analysis unit
A session restoration unit that generates a session file including each transmission data by using transmission data included in each of the one or more transmission packets;
A session analysis unit for determining whether the transmission file transmitted from the internal device to the external device is included in the session file generated by the session restoration unit;
A transmission file inspection unit that inspects the transmission file included in the session file when the session analysis unit determines that the transmission file is included in the session file. Packet analysis device.
前記通信パケットが前記送信パケットである場合、前記通信パケットを記憶部に記憶し、
前記通信パケットが前記送信パケットでない場合、前記通信パケットを前記記憶部に記憶せずに前記通信パケットを破棄する
ことを特徴とする請求項6に記載の送信パケット解析装置。 The communication packet filter unit
If the communication packet is the transmission packet, store the communication packet in a storage unit,
The transmission packet analysis apparatus according to claim 6 , wherein when the communication packet is not the transmission packet, the communication packet is discarded without storing the communication packet in the storage unit.
前記通信パケット取得処理によって取得された前記通信パケットに含まれるヘッダの情報に基づいて、前記通信パケットが前記内部装置から前記外部装置へ送信された送信パケットであるか判定する通信パケットフィルタ処理と、
前記通信パケットフィルタ処理によって前記通信パケットが前記送信パケットであると判定された場合、前記通信パケットを解析する送信パケット解析処理とをコンピュータに実行させるための送信パケット解析プログラムであって、
前記送信パケット解析処理は、
1つ以上の送信パケットのそれぞれに含まれる送信データを用いて、各送信データを含んだセッションファイルを生成するセッション復元処理と、
前記セッション復元処理によって生成された前記セッションファイルに、前記内部装置から前記外部装置へ送信された送信ファイルが含まれるか判定するセッション解析処理と、
前記セッション解析処理によって前記セッションファイルに前記送信ファイルが含まれると判定された場合、前記セッションファイルに含まれる前記送信ファイルを検査する送信ファイル検査処理とを備える
ことを特徴とする送信パケット解析プログラム。 A communication packet acquisition process for acquiring the communication packet from a relay device that relays a communication packet communicated between an internal device connected to the local area network and an external device connected to the Internet;
A communication packet filtering process for determining whether the communication packet is a transmission packet transmitted from the internal apparatus to the external apparatus, based on information of a header included in the communication packet acquired by the communication packet acquisition process;
When the communication packet filter process determines that the communication packet is the transmission packet, a transmission packet analysis program for causing a computer to execute a transmission packet analysis process for analyzing the communication packet ,
The transmission packet analysis process includes:
A session restoration process for generating a session file including each transmission data using transmission data included in each of the one or more transmission packets;
A session analysis process for determining whether the session file generated by the session restoration process includes a transmission file transmitted from the internal device to the external device;
A transmission file inspection process for inspecting the transmission file included in the session file when the session analysis process determines that the transmission file is included in the session file.
A transmission packet analysis program characterized by the above .
前記通信パケットが前記送信パケットである場合、前記通信パケットを記憶部に記憶し、
前記通信パケットが前記送信パケットでない場合、前記通信パケットを前記記憶部に記憶せずに前記通信パケットを破棄する
ことを特徴とする請求項8に記載の送信パケット解析プログラム。 The communication packet filter process is:
If the communication packet is the transmission packet, store the communication packet in a storage unit,
9. The transmission packet analysis program according to claim 8 , wherein when the communication packet is not the transmission packet, the communication packet is discarded without storing the communication packet in the storage unit.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014056371A JP6023738B2 (en) | 2014-03-19 | 2014-03-19 | Transmission packet analysis system, transmission packet analysis device, and transmission packet analysis program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014056371A JP6023738B2 (en) | 2014-03-19 | 2014-03-19 | Transmission packet analysis system, transmission packet analysis device, and transmission packet analysis program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015179955A JP2015179955A (en) | 2015-10-08 |
| JP6023738B2 true JP6023738B2 (en) | 2016-11-09 |
Family
ID=54263729
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014056371A Active JP6023738B2 (en) | 2014-03-19 | 2014-03-19 | Transmission packet analysis system, transmission packet analysis device, and transmission packet analysis program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6023738B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115134434B (en) * | 2022-06-17 | 2024-08-23 | 奇安信科技集团股份有限公司 | Method and device for monitoring session connection |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009116478A (en) * | 2007-11-02 | 2009-05-28 | Fujitsu Ltd | Data collection device, data collection method, and computer program |
-
2014
- 2014-03-19 JP JP2014056371A patent/JP6023738B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015179955A (en) | 2015-10-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4479459B2 (en) | Packet analysis system | |
| JP5917573B2 (en) | Real-time data awareness and file tracking system and method | |
| JP6030272B2 (en) | Website information extraction apparatus, system, website information extraction method, and website information extraction program | |
| US20150287336A1 (en) | Automated phishing-email training | |
| CN108667770B (en) | Website vulnerability testing method, server and system | |
| WO2015024490A1 (en) | Monitoring nat behaviors through uri dereferences in web browsers | |
| CN107846407A (en) | A kind of method and system of batch detection SSRF leaks | |
| US9749295B2 (en) | Systems and methods for internet traffic analysis | |
| JP2019021055A (en) | Management server, data browsing system, and program | |
| CN109510738B (en) | Communication link test method and device | |
| CN112511517A (en) | Mail detection method, device, equipment and medium | |
| CN109698814B (en) | Botnet discovery method and botnet discovery device | |
| JP2011188071A (en) | Intrusion detection/prevention system, client computer, intrusion detection/prevention apparatus and method, and program | |
| JP2011101172A (en) | Worm infection source specification system, specification method and specification program, agent, and manager computer | |
| US9363293B2 (en) | Image monitoring framework | |
| KR101505845B1 (en) | Apparatus for processing packet and method thereof | |
| JP6023738B2 (en) | Transmission packet analysis system, transmission packet analysis device, and transmission packet analysis program | |
| CN108605039B (en) | Detect malware on SPDY connections | |
| JPWO2020100284A1 (en) | Information processing equipment, control methods, and programs | |
| US9049170B2 (en) | Building filter through utilization of automated generation of regular expression | |
| CN105700894A (en) | Method and device for modifying HTTP response data | |
| CN110620682B (en) | Resource information acquisition method and device, storage medium, terminal | |
| JP2014209674A (en) | Identification device, identification method, and identification program | |
| CN115842758A (en) | Encrypted traffic content detection method and device, electronic equipment and storage medium | |
| JP5820749B2 (en) | Identification device, identification method, and identification program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160127 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160209 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160406 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161004 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161007 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6023738 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |