JP5851251B2 - Communication packet storage device - Google Patents

Communication packet storage device Download PDF

Info

Publication number
JP5851251B2
JP5851251B2 JP2012005782A JP2012005782A JP5851251B2 JP 5851251 B2 JP5851251 B2 JP 5851251B2 JP 2012005782 A JP2012005782 A JP 2012005782A JP 2012005782 A JP2012005782 A JP 2012005782A JP 5851251 B2 JP5851251 B2 JP 5851251B2
Authority
JP
Japan
Prior art keywords
communication
packet
website
unit
http
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012005782A
Other languages
Japanese (ja)
Other versions
JP2013145480A (en
Inventor
正幸 礒部
正幸 礒部
杉浦 隆幸
隆幸 杉浦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NetAgent Co Ltd
Original Assignee
NetAgent Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NetAgent Co Ltd filed Critical NetAgent Co Ltd
Priority to JP2012005782A priority Critical patent/JP5851251B2/en
Publication of JP2013145480A publication Critical patent/JP2013145480A/en
Application granted granted Critical
Publication of JP5851251B2 publication Critical patent/JP5851251B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Description

本発明は、データ通信ネットワークを介して通信されたデータを取得して保存すると共に、保存されたデータを読み出してウェブページを再現する、通信パケット保存装置に関する。   The present invention relates to a communication packet storage device that acquires and stores data communicated via a data communication network, and reproduces a web page by reading the stored data.

従来より、通信ネットワークを流れる通信パケットを取得して保存する技術が知られており、パケットキャプチャと称されている。パケットキャプチャを用いることにより、例えば企業内LAN(Local Area Network)に流れる通信パケットを保存することができ、これにより、かかるLAN内の通信クライアント(パーソナルコンピュータ等)が閲覧したウェブページ等を管理者に再現させることができる。パケットキャプチャは、例えば従業員がパーソナルコンピュータを用いて不正行為等を行っているか否かの監視等に利用することができる。   Conventionally, a technique for acquiring and storing a communication packet flowing through a communication network is known, and is called packet capture. By using packet capture, for example, communication packets flowing in a corporate LAN (Local Area Network) can be stored, and thereby, a web page viewed by a communication client (such as a personal computer) in the LAN can be managed by an administrator. Can be reproduced. The packet capture can be used, for example, for monitoring whether or not an employee is cheating using a personal computer.

パケットキャプチャを行う装置としては、例えば下記特許文献1に開示された装置が知られている。この装置では、通信ネットワーク内を流れる通信パケットを取得してワークメモリに格納すると共に、これらの通信データを解析して解析結果データベースに格納する。管理者は、管理部のウェブブラウザを用いて、ウェブページを再現する。   As an apparatus for performing packet capture, for example, an apparatus disclosed in Patent Document 1 below is known. In this device, communication packets flowing in the communication network are acquired and stored in the work memory, and these communication data are analyzed and stored in the analysis result database. The administrator reproduces the web page using the web browser of the management unit.

従来のこの種の装置では、解析結果データベースに格納された通信パケットの中から、HTML(HyperText Markup Language)ファイルを含むHTTPレスポンスを抽出し、このHTMLファイルを用いてウェブページを再現していた。   In this type of conventional apparatus, an HTTP response including an HTML (HyperText Markup Language) file is extracted from communication packets stored in an analysis result database, and a web page is reproduced using the HTML file.

国際公開2002/029579号公報International Publication No. 2002/029579

近年では、例えばXML(Extensible Markup Language)やJSON(JavaScript(登録商標) Object Notation)等のファイルを用いて動的な表示を行うウェブページが多く存在する。このようなウェブページは、上述のような従来の再現技術では、正確に再現することができなかった。   In recent years, there are many web pages that perform dynamic display using files such as XML (Extensible Markup Language) and JSON (JavaScript (registered trademark) Object Notation). Such a web page cannot be accurately reproduced by the conventional reproduction technique as described above.

また、一般に、パーソナルコンピュータ等のブラウザは、ウェブページの閲覧時に、ブラウザ内にキャッシュされたデータがある場合は、ウェブページの変更日時をウェブサーバに問い合わせることによって、そのキャッシュデータの有効性を確認する。そして、キャッシュデータが有効であると判明した場合は、ウェブサーバから新しいデータを取得せずにキャッシュデータを使用して、ウェブページの表示を行う。ブラウザが、ウェブサイトデータとしてキャッシュデータを使用する場合、そのウェブサイトデータに対応する通信パケットがワークメモリ内に格納されていないことになる。このような場合、従来の通信パケット保存装置では、ウェブページの正確な再現を行うことができなかった。   Generally, browsers such as personal computers check the validity of the cached data by inquiring to the web server the date and time of modification of the web page if there is cached data in the browser when browsing the web page. To do. If the cache data is found to be valid, the web page is displayed using the cache data without acquiring new data from the web server. When the browser uses cache data as website data, a communication packet corresponding to the website data is not stored in the work memory. In such a case, the conventional communication packet storage device cannot accurately reproduce the web page.

更に、従来の通信パケット保存装置では、HTTPクッキーを用いて同一のURL(Uniform Resource Locator)内で表示が遷移するようにウェブサイトが構成されている場合(例えばログイン画面等)には、正確な再現を行うことができなかった。   Furthermore, in a conventional communication packet storage device, when a website is configured so that the display transitions within the same URL (Uniform Resource Locator) using an HTTP cookie (for example, a login screen, etc.), it is accurate. Reproduction could not be performed.

本発明の課題は、ウェブページを正確に再現することができる通信パケット保存装置を提供することにある。   An object of the present invention is to provide a communication packet storage device that can accurately reproduce a web page.

本発明の通信パケット保存装置は、複数の通信クライアントが送受信する通信パケットをそれぞれ取り込んで格納するパケット格納部と、該パケット格納部に保存された該通信パケットを読み出して前記通信クライアントの通信内容を再現するためのウェブサイトデータを生成するウェブサイト再現部とを備える通信パケット保存装置であって、前記ウェブサイト再現部は、受信した再現リクエストから、再現対象となるウェブサイトを閲覧した前記通信クライアントのIPアドレスと、該ウェブサイトのURLと、該ウェブサイトの閲覧時刻と、該URL毎に予め指定されたクッキー情報とを少なくとも抽出すると共に、該再現リクエストに対応するウェブサイトデータを取得して送信するパケット通信部と、該パケット通信部から受け取った前記IPアドレス及び前記URLに対応し且つ前記閲覧時刻の前後所定時間内に通信された通信パケットを前記パケット格納部から検索し、該検索で特定された通信パケットを該パケット通信部に送るパケット検索部とを備え、該パケット検索部は、同一のURL内でサイト表示が遷移し且つ該サイト表示の遷移の前後でクッキーに格納される情報が異なる場合に、前記パケット通信部から受け取った前記クッキー情報を用いて、再現する該サイト表示を特定することを特徴とする。 The communication packet storage device of the present invention includes a packet storage unit that captures and stores communication packets transmitted and received by a plurality of communication clients, reads the communication packets stored in the packet storage unit, and stores communication contents of the communication clients. A communication packet storage device comprising a website reproduction unit for generating website data for reproduction, wherein the website reproduction unit browses a website to be reproduced from a received reproduction request And extracting at least the IP address of the website, the URL of the website, the browsing time of the website , and the cookie information specified in advance for each URL, and acquiring website data corresponding to the reproduction request A packet communication unit to transmit and a reception from the packet communication unit A packet corresponding to the IP address and the URL and communicated within a predetermined time before and after the browsing time from the packet storage unit, and a packet for sending the communication packet specified by the search to the packet communication unit A search unit , and the packet search unit receives the packet communication unit received from the packet communication unit when the site display transitions within the same URL and the information stored in the cookie is different before and after the site display transition. The site display to be reproduced is specified using cookie information .

本発明の通信パケット保存装置において、前記パケット検索部は、ウェブサイトの閲覧に、前記通信クライアントのキャッシュデータが使用されたと判断された場合に、該URLのウェブサイトを前記閲覧時刻よりも通信時刻が古い通信パケットのウェブサイトデータの内、最も新しいウェブサイトデータを用いて、前記再現リクエストに対応するウェブサイトデータを生成することが望ましい。   In the communication packet storage device of the present invention, when it is determined that the cache data of the communication client has been used for browsing the website, the packet search unit displays the website of the URL with a communication time rather than the browsing time. Preferably, the website data corresponding to the reproduction request is generated using the newest website data among the website data of the old communication packet.

本発明の通信パケット保存装置において、前記パケット通信部が、前記再現リクエストとしてのHTTPリクエストを受信した場合に、該HTTPリクエストに対応するHTTPレスポンスとして前記ウェブサイトデータを送信するプロキシサーバであることが望ましい。   In the communication packet storage device of the present invention, when the packet communication unit receives an HTTP request as the reproduction request, the packet communication unit is a proxy server that transmits the website data as an HTTP response corresponding to the HTTP request. desirable.

本発明によれば、再現対象となるウェブサイトのデータをパケット格納部から読み出す際に、再現対象となるウェブサイトを閲覧した通信クライアントのIPアドレス及び該ウェブサイトのURLに対応し且つ該ウェブサイトの閲覧時刻の前後所定時間内に通信された通信パケットを検索することができる。これにより、本発明によれば、動的なウェブページを正確に再現することが可能になる。   According to the present invention, when data of a website to be reproduced is read from the packet storage unit, the website corresponds to the IP address of the communication client that has browsed the website to be reproduced and the URL of the website. Communication packets communicated within a predetermined time before and after the browsing time can be searched. Thereby, according to this invention, it becomes possible to reproduce a dynamic web page correctly.

また、本発明において、ウェブサイトの閲覧に通信クライアントのキャッシュデータが使用されたと判断された場合に、該通信クライアントがそれ以前に受信した通信パケットのウェブサイトデータを使用することにより、ウェブサイトを正確に再現することが可能になる。   Further, in the present invention, when it is determined that the communication client cache data is used for browsing the website, the communication client uses the website data of the communication packet previously received by the communication client. It becomes possible to reproduce accurately.

更に、本発明において、再現リクエストに含まれていたIPアドレス、URL及び閲覧時刻に加えて、クッキー情報を用いて検索を行うことにより、同一のURL内を遷移するウェブサイト表示を正確に再現することが可能になる。   Furthermore, in the present invention, by performing a search using cookie information in addition to the IP address, URL, and browsing time included in the reproduction request, the website display that transitions within the same URL is accurately reproduced. It becomes possible.

加えて、本発明において、パケット通信部をプロキシサーバとして構成することにより、管理者による再現ウェブサイトの閲覧が容易になると共に、ウェブサイト再現部の構成を簡単化することができる。   In addition, in the present invention, by configuring the packet communication unit as a proxy server, it is easy for the administrator to browse the reproduction website, and the configuration of the website reproduction unit can be simplified.

実施の形態1に係る通信パケット保存装置が接続される通信ネットワークの構成例を示す概念図である。It is a conceptual diagram which shows the structural example of the communication network to which the communication packet storage apparatus which concerns on Embodiment 1 is connected. 実施の形態1に係る通信パケット保存装置の機能構成を概略的に示すブロック図である。2 is a block diagram schematically showing a functional configuration of a communication packet storage device according to Embodiment 1. FIG.

[発明の実施の形態1]   Embodiment 1 of the Invention

本発明の実施の形態1に係る通信パケット保存装置について、図1及び図2を参照して説明する。   A communication packet storage device according to Embodiment 1 of the present invention will be described with reference to FIG. 1 and FIG.

図1は、この実施の形態1に係る通信パケット保存装置が接続される通信ネットワーク100の構成例を示す概念図である。   FIG. 1 is a conceptual diagram showing a configuration example of a communication network 100 to which a communication packet storage device according to the first embodiment is connected.

図1に示したように、通信ネットワーク100において、インターネット110には、LAN(Local Area Network)120や、ウェブサーバ130等が接続されている。   As shown in FIG. 1, in the communication network 100, a LAN (Local Area Network) 120, a web server 130, and the like are connected to the Internet 110.

LAN120は、通信クライアントとしての複数台の端末コンピュータ121−1〜121−nを含む。   The LAN 120 includes a plurality of terminal computers 121-1 to 121-n as communication clients.

端末コンピュータ121−1〜121−nは、スイッチングハブ123を介して相互に通信接続されている。また、これらの端末コンピュータ121−1〜121−nは、このスイッチングハブ123と、ファイアウォール124と、ルータ125とを介して、インターネット110に通信接続されている。これにより、端末コンピュータ121−1〜121−nは、インターネット110を介して、ウェブサーバ130等にアクセスすることが可能になる。   The terminal computers 121-1 to 121-n are communicatively connected to each other via the switching hub 123. These terminal computers 121-1 to 121-n are connected to the Internet 110 via the switching hub 123, firewall 124, and router 125. As a result, the terminal computers 121-1 to 121-n can access the web server 130 and the like via the Internet 110.

スイッチングハブ123、ファイアウォール124及びルータ125は、従来と同じものを使用できるので、説明を省略する。   Since the switching hub 123, the firewall 124, and the router 125 can use the same thing as the past, description is abbreviate | omitted.

本実施形態では、スイッチングハブ123とファイアウォール124との間に、通信パケット保存装置140が接続されている。但し、通信パケット保存装置140は、LAN120内の他の位置に接続することも可能である。   In the present embodiment, a communication packet storage device 140 is connected between the switching hub 123 and the firewall 124. However, the communication packet storage device 140 can be connected to another position in the LAN 120.

図2は、通信パケット保存装置140の内部構造例を示す機能ブロック図である。   FIG. 2 is a functional block diagram showing an example of the internal structure of the communication packet storage device 140.

図2に示すように、この実施の形態1に係る通信パケット保存装置140は、パケット格納部210と、ウェブサイト再現部220とを備えている。   As shown in FIG. 2, the communication packet storage device 140 according to the first embodiment includes a packet storage unit 210 and a website reproduction unit 220.

パケット格納部210は、端末コンピュータ121−1〜121−nがインターネット130上のサーバ(例えばウェブサーバ130等)と通信を行った際に、この通信に係る通信パケット(すなわちトラフィック)を取り込んで、該通信パケットのコピーを格納する。通信パケットを取り込む技術としては、周知の技術を使用することができる(例えば上記特許文献1参照)。この実施の形態1では、通信パケットとして、通常のIPパケットが使用される。IPパケットは、送信元及び送信先のIPアドレスや通信時刻の情報(タイムスタンプ情報)を含み、更には、HTTPリクエスト或いはHTTPレスポンス等を含んでいる。HTTPリクエストは、ウェブページのデータをウェブサーバ130等に送信させるリクエストであり、URLを特定する情報が含まれている。HTTPレスポンスは、HTTPリクエストに応えるための情報であり、ウェブページのデータ等が含まれている。   When the terminal computers 121-1 to 121-n communicate with a server (for example, the web server 130) on the Internet 130, the packet storage unit 210 captures a communication packet (that is, traffic) related to this communication, A copy of the communication packet is stored. A well-known technique can be used as a technique for capturing a communication packet (see, for example, Patent Document 1 above). In the first embodiment, a normal IP packet is used as a communication packet. The IP packet includes the source and destination IP addresses and communication time information (time stamp information), and further includes an HTTP request or an HTTP response. The HTTP request is a request for transmitting web page data to the web server 130 or the like, and includes information for specifying a URL. The HTTP response is information for responding to the HTTP request, and includes web page data and the like.

ウェブサイト再現部220は、パケット格納部210に保存された通信パケットを用いて、端末コンピュータ121−1〜121−nが閲覧したウェブサイト等を再現する。このために、ウェブサイト再現部220は、プロキシサーバ221と、パケット検索部222と、管理用コンピュータ223とを備えている。   The website reproduction unit 220 reproduces a website or the like browsed by the terminal computers 121-1 to 121-n using the communication packet stored in the packet storage unit 210. For this purpose, the website reproduction unit 220 includes a proxy server 221, a packet search unit 222, and a management computer 223.

プロキシサーバ221は、本発明のパケット通信部に相当し、再現対象となるウェブサイトを閲覧した端末コンピュータのIPアドレス、該ウェブサイトのURL、該ウェブサイトの閲覧時刻、クッキー情報等を含む再現リクエストを管理用コンピュータ223から受信して、パケット検索部222に送る。また、このプロキシサーバ221は、再現リクエストに対応するウェブサイトデータが格納された通信パケットをパケット検索部222から受信して、管理用コンピュータ223に送信する。この実施の形態1では、本発明のパケット通信部としてプロキシサーバを使用したので、簡単な構成で、パケット検索部222から受け取った通信パケットを管理用コンピュータ223に提供することができる。また、パケット通信部としてプロキシサーバを使用することにより、管理用コンピュータ223は、端末コンピュータ121−1〜121−nと同様のブラウザを使用して、再現したウェブサイトをそのまま閲覧することが可能になる。   The proxy server 221 corresponds to the packet communication unit of the present invention, and includes a reproduction request including the IP address of the terminal computer that browsed the website to be reproduced, the URL of the website, the browsing time of the website, cookie information, and the like. Is sent from the management computer 223 to the packet search unit 222. The proxy server 221 receives a communication packet storing website data corresponding to the reproduction request from the packet search unit 222 and transmits the communication packet to the management computer 223. In the first embodiment, since the proxy server is used as the packet communication unit of the present invention, the communication packet received from the packet search unit 222 can be provided to the management computer 223 with a simple configuration. Further, by using a proxy server as the packet communication unit, the management computer 223 can browse the reproduced website as it is using the same browser as the terminal computers 121-1 to 121-n. Become.

パケット検索部222は、上述の再現リクエストに含まれるIPアドレスや、URL、閲覧時刻、クッキー情報等を、プロキシサーバ221から受信する。そして、このパケット検索部222は、かかるIPアドレス及びURLに対応し且つ閲覧時刻の前後所定時間(例えば、前後1時間〜前後数時間)内に通信された通信パケットを、パケット格納部210に格納された通信パケットから、後述のようにして検索する。検索された通信パケットは、プロキシサーバ221に送信される。   The packet search unit 222 receives the IP address, URL, browsing time, cookie information, and the like included in the above-described reproduction request from the proxy server 221. The packet search unit 222 stores, in the packet storage unit 210, communication packets corresponding to the IP address and URL and communicated within a predetermined time before and after the browsing time (for example, 1 hour before and after several hours before and after). The retrieved communication packet is searched as described later. The retrieved communication packet is transmitted to the proxy server 221.

管理用コンピュータ223は、管理者によって操作され、端末コンピュータ121−1〜121−nによって閲覧されたウェブデータの再現を行う。管理用コンピュータ223としては、例えば、通常のパーソナルコンピュータを使用することができる。この実施の形態1では、パケット通信部としてプロキシサーバ221を使用するので、管理用コンピュータ223にインストールされたブラウザの接続先を該プロキシサーバ221に設定するだけで、再現ウェブサイトの閲覧を行うことができる。なお、この実施の形態1では、管理用コンピュータ223をウェブサイト再現部220内に設けたが、端末コンピュータ121−1〜121−nの何れか1台以上を管理用コンピュータとして使用することも可能である。また、この実施の形態1では、管理用コンピュータ223のみが再現ウェブサイトの閲覧できるが、例えば端末コンピュータ121−1〜121−nに再現ウェブサイトの閲覧を認めることとしても良い。   The management computer 223 is operated by an administrator and reproduces web data browsed by the terminal computers 121-1 to 121-n. As the management computer 223, for example, a normal personal computer can be used. In the first embodiment, since the proxy server 221 is used as the packet communication unit, the reproduction website can be browsed only by setting the connection destination of the browser installed in the management computer 223 to the proxy server 221. Can do. In the first embodiment, the management computer 223 is provided in the website reproduction unit 220. However, any one or more of the terminal computers 121-1 to 121-n can be used as the management computer. It is. In the first embodiment, only the management computer 223 can browse the reproduction website. For example, the terminal computers 121-1 to 121-n may be permitted to browse the reproduction website.

以下、通信パケット保存装置140の動作について説明する。   Hereinafter, the operation of the communication packet storage device 140 will be described.

まず、パケット格納部210の動作を説明する。パケット格納部210の動作は、従来のパケットキャプチャ装置と同様である。   First, the operation of the packet storage unit 210 will be described. The operation of the packet storage unit 210 is the same as that of the conventional packet capture device.

最初に、操作者が、ウェブサーバ130のウェブサイトを閲覧するために端末コンピュータ121−1〜121−nのいずれかを操作すると、当該端末コンピュータにより、HTTPリクエストが生成される。このHTTPリクエストには、閲覧対象となるウェブサイトのURLを特定する情報が含まれている。このHTTPリクエストは、通信時刻の情報や、送信元IPアドレス(当該端末コンピュータのIPアドレス)、送信先IPアドレス(ウェブサーバ130のIPアドレス)等の情報と共に通信パケットに格納されて、ウェブサーバ130に向けて送信される。この通信パケットは、通信パケット保存装置140を通過するときにコピーされて、パケット格納部210に格納される。   First, when the operator operates any of the terminal computers 121-1 to 121-n to browse the website of the web server 130, an HTTP request is generated by the terminal computer. This HTTP request includes information for specifying the URL of the website to be browsed. This HTTP request is stored in a communication packet together with information such as communication time information, a source IP address (IP address of the terminal computer), a destination IP address (IP address of the web server 130), and the like. Sent to. The communication packet is copied when passing through the communication packet storage device 140 and stored in the packet storage unit 210.

ウェブサーバ130は、この通信パケットを受信すると、当該URLに対応するウェブデータを含むHTTPレスポンスを生成する。そして、ウェブサーバ130は、このHTTPレスポンスを、通信時刻の情報や、送信元IPアドレス(ウェブサーバ130のIPアドレス)、送信先IPアドレス(端末コンピュータのIPアドレス)等の情報と共に通信パケットに格納して、対応する端末コンピュータに向けて送信する。この通信パケットも、通信パケット保存装置140を通過するときにコピーされて、パケット格納部210に格納される。   Upon receiving this communication packet, the web server 130 generates an HTTP response including web data corresponding to the URL. The web server 130 stores this HTTP response in a communication packet together with information such as communication time information, a transmission source IP address (IP address of the web server 130), a transmission destination IP address (IP address of the terminal computer), and the like. Then, the data is transmitted to the corresponding terminal computer. This communication packet is also copied when passing through the communication packet storage device 140 and stored in the packet storage unit 210.

次に、ウェブサイト再現部220の動作を説明する。   Next, the operation of the website reproduction unit 220 will be described.

まず、管理者が、管理用コンピュータ223を操作して、端末コンピュータ121−1〜121−nが使用するIPアドレス毎のアクセス履歴等から、再現したい閲覧内容を特定する。   First, the administrator operates the management computer 223 to specify browsing contents to be reproduced from the access history for each IP address used by the terminal computers 121-1 to 121-n.

管理用コンピュータ223は、この特定結果に基づいて、再現リクエストを生成する。この再現リクエストは、再現対象となるウェブサイトを閲覧した端末コンピュータのIPアドレス、該ウェブサイトのURL、該ウェブサイトの閲覧時刻、クッキー情報等を含む。この再現リクエストは、HTTPプロトコルのHTTPリクエストとして生成することができる。そして、管理用コンピュータ223は、この再現リクエストを通信パケットに格納して、プロキシサーバ221に送信する。   The management computer 223 generates a reproduction request based on this identification result. This reproduction request includes the IP address of the terminal computer that browsed the website to be reproduced, the URL of the website, the browsing time of the website, cookie information, and the like. This reproduction request can be generated as an HTTP request of the HTTP protocol. Then, the management computer 223 stores this reproduction request in a communication packet and transmits it to the proxy server 221.

プロキシサーバ221は、この再現リクエストを、管理用コンピュータ223から受信して、上述のIPアドレス、URL、閲覧時刻、クッキー情報等を抽出する。そして、これらの情報を、パケット検索部222に送信する。   The proxy server 221 receives this reproduction request from the management computer 223, and extracts the above-described IP address, URL, browsing time, cookie information, and the like. Then, these pieces of information are transmitted to the packet search unit 222.

パケット検索部222は、IPアドレス、URL、閲覧時刻及びクッキー情報等をプロキシサーバ221から受信すると、以下の処理を行う。
(1)URLが一致するHTTPレスポンスの検索処理 When the packet search unit 222 receives the IP address, URL, browsing time, cookie information, and the like from the proxy server 221, the packet search unit 222 performs the following processing.
(1) HTTP response search processing with matching URL

最初に、パケット検索部222は、パケット格納部210に格納された通信パケットのHTTPリクエストから、送信元IPアドレスが再現対象のIPアドレスと一致し、URL特定情報が再現対象のURLと一致し、且つ、送信時刻が再現対象の閲覧時刻の前後所定時間(例えば、前後1時間〜前後数時間)内であるものを検索する。   First, from the HTTP request of the communication packet stored in the packet storage unit 210, the packet search unit 222 matches the source IP address with the IP address to be reproduced, the URL specifying information matches the URL to be reproduced, In addition, a search is made for a transmission time within a predetermined time before and after the browsing time to be reproduced (for example, 1 hour before and after and several hours before and after).

更に、この検索結果に対して、HTTPクッキー内の情報を用いた検索処理を行う。ウェブサイトの中には、同一のURL内で表示が遷移するように構成されているものがある。例えば、会員サイトのログイン画面は、一般に、ログイン前の画面とログイン後の画面とで、URLが同一である。通常、このようなログイン画面では、ログイン前とログイン後とで、HTTPクッキーに格納された情報が異なっている。従って、URLに加えてHTTPクッキー内の情報をも用いて検索をおこなうことにより、このようなウェブサイトの表示を正確に再現することが可能になる。   Further, a search process using information in the HTTP cookie is performed on the search result. Some websites are configured such that the display transitions within the same URL. For example, the login screen of the member site generally has the same URL in the screen before login and the screen after login. Normally, in such a login screen, the information stored in the HTTP cookie is different before and after login. Therefore, by performing a search using information in the HTTP cookie in addition to the URL, such a website display can be accurately reproduced.

HTTPクッキーに含まれる情報のうち、検索に使用できる情報は、ウェブサイト毎に相違する。このため、HTTPクッキーに関する情報を予め収集しておくと共に、使用するHTTPクッキーの情報をURL毎に指定することが望ましい。HTTPクッキーに関する情報は、人為的に収集しても良いし、クローラ等を用いて自動収集しても良い。また、この実施の形態1では、予め、HTTPクッキーを使用するか否かの設定情報や、使用されるHTTPクッキー情報の内容を、プロキシサーバ221内に、URL毎に登録しておく。そして、この登録情報に応じて、再現リクエストに格納されたHTTPクッキーの情報が読み出されて、パケット検索部222に送られ、検索処理に使用される。   Of the information contained in the HTTP cookie, the information that can be used for the search is different for each website. For this reason, it is desirable to collect information about HTTP cookies in advance and to specify the HTTP cookie information to be used for each URL. Information regarding HTTP cookies may be collected artificially or automatically using a crawler or the like. In the first embodiment, setting information for determining whether or not to use an HTTP cookie and the contents of HTTP cookie information to be used are registered in advance in the proxy server 221 for each URL. Then, in accordance with this registration information, the HTTP cookie information stored in the reproduction request is read out, sent to the packet search unit 222, and used for search processing.

このような検索に合致するHTTPリクエストが複数個存在する場合には、以下のような選別処理を更に行うことにより、1個のHTTPリクエストを選別する。   When there are a plurality of HTTP requests that match such a search, the following selection process is further performed to select one HTTP request.

まず、パケット検索部222は、検索条件に合致する各HTTPリクエストについて、対応するHTTPレスポンスを、パケット格納部210から抽出する。そして、抽出されたHTTPレスポンスの中から、HTTPステータスコードを読み出す。そして、最も小さい値のHTTPステータスコードを有するHTTPレスポンスを特定して、このHTTPレスポンスに対応するHTTPリクエストを選別結果とする(第1の選別ステップ)。   First, the packet search unit 222 extracts a corresponding HTTP response from the packet storage unit 210 for each HTTP request that matches the search condition. Then, an HTTP status code is read from the extracted HTTP response. Then, an HTTP response having the smallest HTTP status code is specified, and an HTTP request corresponding to the HTTP response is set as a selection result (first selection step).

第1の選別ステップで複数のHTTPレスポンスが選別された場合は、HTTPレスポンスの通信時刻が再現リクエストの閲覧時刻に最も近いものを特定して、このHTTPレスポンスに対応するHTTPリクエストを選別結果とする(第2の選別ステップ)。   When a plurality of HTTP responses are selected in the first selection step, the HTTP response corresponding to the HTTP response is selected as a selection result by specifying the HTTP response communication time closest to the reproduction request browsing time. (Second sorting step).

第2の選別ステップで、複数のHTTPリクエストが選別された場合には、所望の手順により又は任意に、HTTPリクエストを選別する(第3の選別ステップ)。   When a plurality of HTTP requests are selected in the second selection step, the HTTP requests are selected by a desired procedure or arbitrarily (third selection step).

このようにして1個のHTTPリクエストが特定されると、次に、パケット検索部222は、特定されたHTTPリクエストに対応する1又は複数個のHTTPレスポンスを特定する。   When one HTTP request is specified in this way, the packet search unit 222 next specifies one or a plurality of HTTP responses corresponding to the specified HTTP request.

一方、このような検索処理に合致するHTTPレスポンスが存在しなかった場合、パケット検索部222は、その旨を示す情報をプロキシサーバ221に送信する。プロキシサーバ221は、HTTPステータスコードの‘404 Not Found’を管理用コンピュータ223に送信する。
(2)ブラウザキャッシュのエミュレート処理 On the other hand, if there is no HTTP response that matches such a search process, the packet search unit 222 transmits information indicating that fact to the proxy server 221. The proxy server 221 transmits the HTTP status code “404 Not Found” to the management computer 223.
(2) Browser cache emulation processing

次に、パケット検索部222は、上述の検索処理で特定されたHTTPレスポンスのHTTPステータスコードをチェックする。そして、HTTPステータスコードが‘304 Not Modified’の場合、パケット検索部222は、そのウェブサイトデータの表示にはブラウザキャッシュが用いられた(すなわち、ウェブサーバ130からのウェブサイトデータの取得は行われなかった)と判断する。そして、パケット検索部222は、以下の2つの条件を両方とも満たすHTTPレスポンスを、パケット格納部210から抽出する。   Next, the packet search unit 222 checks the HTTP status code of the HTTP response specified by the search process described above. When the HTTP status code is “304 Not Modified”, the packet search unit 222 uses the browser cache to display the website data (that is, the website data is acquired from the web server 130). Judgment) Then, the packet search unit 222 extracts an HTTP response that satisfies both of the following two conditions from the packet storage unit 210.

条件1:当該HTTPレスポンスに対応するURLが、再現リクエストのURLと一致する。   Condition 1: The URL corresponding to the HTTP response matches the URL of the reproduction request.

条件2:当該HTTPレスポンスの通信時刻が、再現リクエストの閲覧時刻よりも前の所定時間内(例えば14日以内)であるもののうち、最も新しい。   Condition 2: The communication time of the HTTP response is the newest among those within a predetermined time (for example, within 14 days) before the reproduction request viewing time.

例えば、条件1に合致し且つ通信時刻が再現リクエストの閲覧時刻よりも前のHTTPリクエストを、通信時刻の新しいものから順次チェックすることにより、これら条件1及び2に合致するHTTPレスポンスを効率よく抽出することができる。   For example, by sequentially checking HTTP requests that meet the condition 1 and whose communication time is earlier than the reproduction request viewing time, the HTTP responses that meet these conditions 1 and 2 are efficiently extracted. can do.

そして、条件1及び2に合致するHTTPレスポンスが抽出できた場合は、抽出されたHTTPレスポンスを、HTTPステータスコードが‘304 Not Modified’のHTTPレスポンスと入れ替えて、プロキシサーバ221に送る。   If an HTTP response that satisfies the conditions 1 and 2 can be extracted, the extracted HTTP response is replaced with an HTTP response with an HTTP status code of “304 Not Modified” and sent to the proxy server 221.

一方、条件1及び2に合致するHTTPレスポンスが抽出できなかった場合は、HTTPステータスコードが‘304 Not Modified’のHTTPレスポンスを、そのままプロキシサーバ221に送る。   On the other hand, if an HTTP response matching the conditions 1 and 2 cannot be extracted, an HTTP response with an HTTP status code of “304 Not Modified” is sent to the proxy server 221 as it is.

なお、端末コンピュータ121−1〜121−nに固定IPアドレスを使用している場合には、条件1、2に加えて、HTTPステータスコードが‘304 Not Modified’のHTTPレスポンスとIPアドレスが一致することを、条件に加えても良い。   When the fixed IP addresses are used for the terminal computers 121-1 to 121-n, in addition to the conditions 1 and 2, the HTTP response with the HTTP status code “304 Not Modified” matches the IP address. This may be added to the conditions.

以上のようにして、パケット検索部222が、パケット格納部210から、再現ウェブサイトに対応するHTTPレスポンスを特定して取得する。そして、パケット検索部222は、取得されたHTTPレスポンスを、プロキシサーバ221に送信する。   As described above, the packet search unit 222 specifies and acquires the HTTP response corresponding to the reproduction website from the packet storage unit 210. Then, the packet search unit 222 transmits the acquired HTTP response to the proxy server 221.

プロキシサーバ221は、受信したHTTPレスポンスからウェブサイトデータを抽出して、上述の再現リクエストに対するレスポンス情報を作成する。このレスポンス情報は、再現リクエストとしてのHTTPリクエストに応答するためのHTTPレスポンスとして、作成される。このレスポンス情報(HTTPレスポンス)は、通信パケットに格納されて、管理用コンピュータ223に送信される。   The proxy server 221 extracts website data from the received HTTP response, and creates response information for the above-described reproduction request. This response information is created as an HTTP response for responding to an HTTP request as a reproduction request. This response information (HTTP response) is stored in a communication packet and transmitted to the management computer 223.

管理用コンピュータ223は、このレスポンス情報を受信して、順次ブラウザに表示させることにより、当該ウェブサイトを再現する。   The management computer 223 receives the response information and sequentially displays the response information on the browser, thereby reproducing the website.

以上説明したように、この実施の形態1によれば、再現対象となるウェブサイトのデータをパケット格納部210から読み出す際に、再現対象となるウェブサイトを閲覧した端末コンピュータのIPアドレス及び該ウェブサイトのURLに対応し且つ該ウェブサイトの閲覧時刻の前後所定時間内に通信された通信パケットを検索するので、動的なウェブページであっても正確に再現することが可能になる。   As described above, according to the first embodiment, when the data of the website to be reproduced is read from the packet storage unit 210, the IP address of the terminal computer that browsed the website to be reproduced and the web Since a communication packet corresponding to the URL of the site and communicated within a predetermined time before and after the browsing time of the website is searched, even a dynamic web page can be accurately reproduced.

また、この実施の形態1では、検索で特定されたHTTPレスポンスのHTTPステータスコードが‘304 Not Modified’の場合には、ウェブサイトの閲覧に端末コンピュータのキャッシュデータが使用されたと判断する。そして、それ以前に通信された通信パケットのウェブサイトデータから、当該端末コンピュータがブラウザキャッシュとして使用したウェブサイトデータを特定するので、ウェブサイトを正確に再現することが可能になる。   In the first embodiment, if the HTTP status code of the HTTP response specified by the search is “304 Not Modified”, it is determined that the cache data of the terminal computer has been used for browsing the website. Then, since the terminal computer specifies the website data used as the browser cache from the website data of the communication packet communicated before that, the website can be accurately reproduced.

更に、この実施の形態1では、再現リクエストに含まれていたIPアドレス、URL及び閲覧時刻に加えて、クッキー情報を用いて検索を行うことにより、同一のURL内を遷移するウェブサイト表示を正確に再現することが可能になる。   Further, in the first embodiment, in addition to the IP address, URL, and browsing time included in the reproduction request, a search using cookie information is performed to accurately display a website display that transits within the same URL. It becomes possible to reproduce.

加えて、この実施の形態1では、パケット通信部としてプロキシサーバ221を使用したので、管理者による再現ウェブサイトの閲覧が容易になると共に、ウェブサイト再現部の構成を簡単化することができる。   In addition, in the first embodiment, since the proxy server 221 is used as the packet communication unit, it is easy for the administrator to browse the reproduction website, and the configuration of the website reproduction unit can be simplified.

100 通信ネットワーク
110 インターネット
120 LAN
121−1〜121−n 端末コンピュータ
123 スイッチングハブ
124 ファイアウォール
125 ルータ
130 ウェブサーバ
140 通信パケット保存装置
210 パケット格納部
220 ウェブサイト再現部
221 プロキシサーバ
222 パケット検索部
223 管理用コンピュータ 100 communication network 110 internet 120 LAN
121-1 to 121-n Terminal computer 123 Switching hub 124 Firewall 125 Router 130 Web server 140 Communication packet storage device 210 Packet storage unit 220 Website reproduction unit 221 Proxy server 222 Packet search unit 223 Management computer

Claims (3)

複数の通信クライアントが送受信する通信パケットをそれぞれ取り込んで格納するパケット格納部と、該パケット格納部に保存された該通信パケットを読み出して前記通信クライアントの通信内容を再現するためのウェブサイトデータを生成するウェブサイト再現部とを備える通信パケット保存装置であって、
前記ウェブサイト再現部は、
受信した再現リクエストから、再現対象となるウェブサイトを閲覧した前記通信クライアントのIPアドレスと、該ウェブサイトのURLと、該ウェブサイトの閲覧時刻と、該URL毎に予め指定されたクッキー情報とを少なくとも抽出すると共に、該再現リクエストに対応するウェブサイトデータを取得して送信するパケット通信部と、
該パケット通信部から受け取った前記IPアドレス及び前記URLに対応し且つ前記閲覧時刻の前後所定時間内に通信された通信パケットを前記パケット格納部から検索し、該検索で特定された通信パケットを該パケット通信部に送るパケット検索部と、
を備え
該パケット検索部は、同一のURL内でサイト表示が遷移し且つ該サイト表示の遷移の前後でクッキーに格納される情報が異なる場合に、前記パケット通信部から受け取った前記クッキー情報を用いて、再現する該サイト表示を特定することを特徴とする通信パケット保存装置 A packet storage unit that captures and stores communication packets transmitted and received by a plurality of communication clients, and generates website data for reproducing the communication contents of the communication client by reading the communication packets stored in the packet storage unit A communication packet storage device comprising a website reproduction unit for
The website reproduction unit
From the received reproduction request, the IP address of the communication client that browsed the website to be reproduced, the URL of the website, the browsing time of the website , and the cookie information designated in advance for each URL A packet communication unit for extracting and transmitting website data corresponding to the reproduction request,
The packet storage unit is searched for a communication packet corresponding to the IP address and the URL received from the packet communication unit and communicated within a predetermined time before and after the browsing time, and the communication packet specified by the search is A packet search unit to be sent to the packet communication unit;
Equipped with a,
The packet search unit uses the cookie information received from the packet communication unit when the site display changes within the same URL and the information stored in the cookie before and after the site display transition is different. A communication packet storage device characterized by specifying the site display to be reproduced . 前記パケット検索部は、ウェブサイトの閲覧に、前記通信クライアントのキャッシュデータが使用されたと判断された場合に、該URLのウェブサイトを前記閲覧時刻よりも通信時刻が古い通信パケットのウェブサイトデータの内、最も新しいウェブサイトデータを用いて、前記再現リクエストに対応するウェブサイトデータを生成することを特徴とする請求項1に記載の通信パケット保存装置。   When it is determined that the cache data of the communication client has been used for browsing the website, the packet search unit selects the website data of the communication packet whose communication time is older than the browsing time. The communication packet storage device according to claim 1, wherein the website data corresponding to the reproduction request is generated using the newest website data. 前記パケット通信部が、前記再現リクエストとしてのHTTPリクエストを受信した場合に、該HTTPリクエストに対応するHTTPレスポンスとして前記ウェブサイトデータを送信するプロキシサーバであることを特徴とする請求項1又は2に記載の通信パケット保存装置。3. The proxy server that transmits the website data as an HTTP response corresponding to the HTTP request when the packet communication unit receives an HTTP request as the reproduction request. The communication packet storage device described.
JP2012005782A 2012-01-16 2012-01-16 Communication packet storage device Expired - Fee Related JP5851251B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012005782A JP5851251B2 (en) 2012-01-16 2012-01-16 Communication packet storage device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012005782A JP5851251B2 (en) 2012-01-16 2012-01-16 Communication packet storage device

Publications (2)

Publication Number Publication Date
JP2013145480A JP2013145480A (en) 2013-07-25
JP5851251B2 true JP5851251B2 (en) 2016-02-03

Family

ID=49041239

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012005782A Expired - Fee Related JP5851251B2 (en) 2012-01-16 2012-01-16 Communication packet storage device

Country Status (1)

Country Link
JP (1) JP5851251B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11325096B2 (en) * 2018-07-24 2022-05-10 Toyota Motor Engineering & Manufacturing North America, Inc. Microwave synthesis of lithium thiophosphate composite materials

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008108047A (en) * 2006-10-25 2008-05-08 Toshiba Corp Communication picture reproducing device and communication picture reproducing program

Also Published As

Publication number Publication date
JP2013145480A (en) 2013-07-25

Similar Documents

Publication Publication Date Title
US10999384B2 (en) Method and system for identifying website visitors
US8572100B2 (en) Method and system for recording search trails across one or more search engines in a communications network
CN104125209B (en) Malice website prompt method and router
US6665634B2 (en) Test system for testing dynamic information returned by a web server
Abd Wahab et al. Data pre-processing on web server logs for generalized association rules mining algorithm
US20100071052A1 (en) Reverse proxy architecture
JP2004348648A (en) Measurement system
Reddy et al. Preprocessing the web server logs: an illustrative approach for effective usage mining
CN110555146A (en) method and system for generating network crawler camouflage data
CN105159992A (en) Method and device for detecting page contents and network behaviors of application program
CN111708962A (en) Rendering method, device and equipment of skeleton screen and storage medium
JP4788768B2 (en) How to get long data with GET method
JP2004500629A (en) System and method for mediating web pages
JP2010170453A (en) Static web site construction method, static web site construction service providing method, dynamic/static conversion processor, and dynamic/static conversion processing program
US20080177824A1 (en) Method and system for automatic setup in web-based applications
JP5851251B2 (en) Communication packet storage device
GB2567749A (en) Method for associating domain name with website access behavior
JP2006221327A (en) Computer system and storage device
JP4807411B2 (en) Method for using information of another domain, program for using information of another domain, and information transfer program
JP5543896B2 (en) Mediation server, and access analysis method and program by the mediation server
JP5061316B1 (en) Communication packet analyzer
JP5547530B2 (en) Content acquisition status survey system, content acquisition status survey method
KR101502589B1 (en) Method of identifying terminals using web entity and apparatus thereof
US20080222157A1 (en) Information providing method and information providing system
CN111737629A (en) Data detection method and device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141021

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150812

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150818

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151008

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20151117

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20151202

R150 Certificate of patent or registration of utility model

Ref document number: 5851251

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees