JP2018136610A - File monitoring device and file monitoring program - Google Patents

File monitoring device and file monitoring program Download PDF

Info

Publication number
JP2018136610A
JP2018136610A JP2017028943A JP2017028943A JP2018136610A JP 2018136610 A JP2018136610 A JP 2018136610A JP 2017028943 A JP2017028943 A JP 2017028943A JP 2017028943 A JP2017028943 A JP 2017028943A JP 2018136610 A JP2018136610 A JP 2018136610A
Authority
JP
Japan
Prior art keywords
file
unit
name
management
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017028943A
Other languages
Japanese (ja)
Other versions
JP6811639B2 (en
Inventor
直 山内
Sunao Yamauchi
直 山内
誠司 西野
Seiji Nishino
誠司 西野
ちあき 城野
Chiaki Shirono
ちあき 城野
和樹 近藤
Kazuki Kondo
和樹 近藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Space Software Co Ltd
Original Assignee
Mitsubishi Space Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Space Software Co Ltd filed Critical Mitsubishi Space Software Co Ltd
Priority to JP2017028943A priority Critical patent/JP6811639B2/en
Publication of JP2018136610A publication Critical patent/JP2018136610A/en
Application granted granted Critical
Publication of JP6811639B2 publication Critical patent/JP6811639B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To enable acquisition of a content of a file at a time when operation was carried out.SOLUTION: A file monitoring device 200 receives a packet relayed through a switch 130 connected to a first network 101 having a file server 110 from the switch 130. The file monitoring device 200 determines whether the received packet is a file sharing packet communicated according to a file sharing protocol. Then, the file monitoring device 200 restores a management file managed by the file server 110 using one or more file sharing packets.SELECTED DRAWING: Figure 1

Description

本発明は、ファイルサーバで管理されているファイルを監視するための技術に関するものである。   The present invention relates to a technique for monitoring a file managed by a file server.

ファイルサーバはネットワークに置かれることが多く、ファイルサーバとクライアントとの間でファイルがやり取りされる。
従来、やり取りされたファイルの名称およびやり取りされたファイルに対する操作といった情報が、ネットワークを流れるパケットから取得されている。 File servers are often placed on a network, and files are exchanged between file servers and clients.
Conventionally, information such as names of exchanged files and operations on exchanged files has been acquired from packets flowing through the network.

特許文献1には、クライアント装置から外部のサーバ装置へ送信されたパケットを解析するための技術が開示されている。   Patent Document 1 discloses a technique for analyzing a packet transmitted from a client device to an external server device.

特許第6023738号公報Japanese Patent No. 6023738

ファイルサーバに保存されているファイルは、クライアントから容易に参照することが可能である。ファイルに必要な権限が設定されている場合、必要な権限を有する者のみがファイルを参照することが可能である。
従来、ファイル名および操作といった情報を取得することは可能であったが、操作が行われた時のファイルの内容を取得することはできなかった。
そのため、どのような内容のファイルに対して操作が行われたか知ることはできなかった。つまり、ファイルサーバに保存されているファイルの内容が変更されてしまうと、操作が行われた時のファイルの内容を知ることができなかった。したがって、操作が行われた時のファイルの内容を検査することもできなかった。 Files stored in the file server can be easily referenced from the client. When necessary authority is set for the file, only a person having necessary authority can refer to the file.
Conventionally, it has been possible to acquire information such as a file name and an operation, but it has not been possible to acquire the contents of a file when the operation is performed.
For this reason, it was impossible to know what kind of file the operation was performed on. In other words, if the contents of the file stored in the file server are changed, it is impossible to know the contents of the file when the operation is performed. Therefore, the contents of the file when the operation was performed could not be inspected.

本発明は、操作が行われた時のファイルの内容を取得できるようにすることを目的とする。   An object of the present invention is to make it possible to acquire the contents of a file when an operation is performed.

本発明のファイル監視装置は、
ファイルサーバを有するネットワークに接続された機器であるスイッチから、前記スイッチによって中継されたパケットを受信する通信部と、
受信されたパケットがファイル共有プロトコルに従って通信されたファイル共有パケットであるか判定する解析部と、
前記ファイルサーバで管理されている管理ファイルを1つ以上のファイル共有パケットを用いて復元する復元部とを備える。 The file monitoring apparatus of the present invention
A communication unit that receives a packet relayed by the switch from a switch that is a device connected to a network having a file server;
An analysis unit that determines whether the received packet is a file sharing packet communicated according to a file sharing protocol;
A restoration unit that restores the management file managed by the file server using one or more file sharing packets.

前記ファイル監視装置は、
復元された管理ファイルからテキストを抽出し、抽出されたテキストから監視情報を抽出する検査部を備える。 The file monitoring device
An inspection unit is provided that extracts text from the restored management file and extracts monitoring information from the extracted text.

前記検査部は、抽出された監視情報がアラート条件を満たすか判定し、抽出された監視情報がアラート条件を満たす場合にアラートを通知する。   The inspection unit determines whether the extracted monitoring information satisfies the alert condition, and notifies the alert when the extracted monitoring information satisfies the alert condition.

前記ファイル監視装置は、復元された管理ファイルをファイル名とアクセス時刻と抽出された監視情報とに対応付けて記憶する記憶部を備える。   The file monitoring apparatus includes a storage unit that stores the restored management file in association with the file name, the access time, and the extracted monitoring information.

前記ファイル監視装置は、
指定ファイル名と指定期間とを受け付ける受付部と、
前記指定ファイル名と同じファイル名に対応付けられ、且つ、前記指定期間に対応するアクセス時刻に対応付けられた管理ファイルを前記記憶部から見つける検索部と、
見つかった管理ファイルの一覧を出力する出力部とを備える。 The file monitoring device
A reception unit for receiving a specified file name and a specified period;
A search unit for finding a management file associated with the same file name as the designated file name and associated with an access time corresponding to the designated period from the storage unit;
And an output unit for outputting a list of found management files.

前記ファイル監視装置は、復元された管理ファイルを記憶する記憶部を備える。
前記解析部は、いずれかのファイル共有パケットからユーザ名を取得する。
前記記憶部は、前記復元された管理ファイルをファイル名と前記ユーザ名とに対応付けて記憶する。 The file monitoring apparatus includes a storage unit that stores the restored management file.
The analysis unit obtains a user name from one of the file sharing packets.
The storage unit stores the restored management file in association with a file name and the user name.

前記ファイル監視装置は、
指定ファイル名を受け付ける受付部と、
前記指定ファイル名と同じファイル名に対応付けられたユーザ名を前記記憶部から見つける検索部と、
見つかったユーザ名を出力する出力部とを備える。 The file monitoring device
A reception unit that accepts a specified file name;
A search unit for finding a user name associated with the same file name as the specified file name from the storage unit;
And an output unit for outputting the found user name.

前記ファイル監視装置は、
指定ユーザ名を受け付ける受付部と、
前記指定ユーザ名と同じユーザ名に対応付けられたファイル名を前記記憶部から見つける検索部と、
見つかったファイル名を出力する出力部とを備える。 The file monitoring device
A reception unit that accepts a specified user name;
A search unit for finding a file name associated with the same user name as the designated user name from the storage unit;
An output unit for outputting the found file name.

本発明のファイル監視プログラムは、
ファイルサーバを有するネットワークに接続された機器であるスイッチから、前記スイッチによって中継されたパケットを受信する通信部と、
受信されたパケットがファイル共有プロトコルに従って通信されたファイル共有パケットであるか判定する解析部と、
前記ファイルサーバで管理されている管理ファイルを1つ以上のファイル共有パケットを用いて復元する復元部としてコンピュータを機能させる。 The file monitoring program of the present invention
A communication unit that receives a packet relayed by the switch from a switch that is a device connected to a network having a file server;
An analysis unit that determines whether the received packet is a file sharing packet communicated according to a file sharing protocol;
The computer is caused to function as a restoration unit that restores the management file managed by the file server using one or more file sharing packets.

本発明のファイル監視装置は、
保存装置に保存されたパケットがファイル共有プロトコルに従って通信されたファイル共有パケットであるか判定する解析部と、
ファイルサーバで管理されている管理ファイルを1つ以上のファイル共有パケットを用いて復元する復元部とを備える。 The file monitoring apparatus of the present invention
An analysis unit that determines whether the packet stored in the storage device is a file sharing packet communicated according to a file sharing protocol;
A restoration unit that restores the management file managed by the file server using one or more file sharing packets.

本発明のファイル監視プログラムは、
保存装置に保存されたパケットがファイル共有プロトコルに従って通信されたファイル共有パケットであるか判定する解析部と、
ファイルサーバで管理されている管理ファイルを1つ以上のファイル共有パケットを用いて復元する復元部としてコンピュータを機能させる。 The file monitoring program of the present invention
An analysis unit that determines whether the packet stored in the storage device is a file sharing packet communicated according to a file sharing protocol;
The computer is caused to function as a restoration unit that restores the management file managed by the file server using one or more file sharing packets.

本発明によれば、中継される1つ以上のパケットを用いてファイルが復元されるため、操作が行われた時のファイルの内容を取得することが可能である。   According to the present invention, since the file is restored using one or more relayed packets, it is possible to acquire the contents of the file when the operation is performed.

実施の形態1におけるファイル監視システム100の構成図。1 is a configuration diagram of a file monitoring system 100 according to Embodiment 1. FIG. 実施の形態1におけるファイル監視装置200の構成図。1 is a configuration diagram of a file monitoring apparatus 200 according to Embodiment 1. FIG. 実施の形態1におけるファイル監視方法のフローチャート。5 is a flowchart of a file monitoring method according to the first embodiment. 実施の形態1におけるアラート処理(S160)のフローチャート。6 is a flowchart of alert processing (S160) in the first embodiment. 実施の形態1における管理情報検索(S170)のフローチャート。5 is a flowchart of management information search (S170) in the first embodiment.

実施の形態および図面において、同じ要素および対応する要素には同じ符号を付している。同じ符号が付された要素の説明は適宜に省略または簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。   In the embodiments and the drawings, the same reference numerals are assigned to the same elements and corresponding elements. Description of elements having the same reference numerals will be omitted or simplified as appropriate. The arrows in the figure mainly indicate the flow of data or the flow of processing.

実施の形態1.
ファイルサーバで管理されているファイルを監視する形態について、図1から図5に基づいて説明する。 Embodiment 1 FIG.
A mode of monitoring a file managed by a file server will be described with reference to FIGS.

***構成の説明***
図1に基づいて、ファイル監視システム100の構成を説明する。
ファイル監視システム100は、ファイルサーバ110と、複数のクライアント端末120とスイッチ130とファイル監視装置200とを備える。 *** Explanation of configuration ***
The configuration of the file monitoring system 100 will be described with reference to FIG.
The file monitoring system 100 includes a file server 110, a plurality of client terminals 120, a switch 130, and a file monitoring device 200.

ファイルサーバ110は、ファイルを管理するサーバである。サーバは、コンピュータである。ファイルサーバ110で管理されるファイルを管理ファイルという。
管理ファイルは、共有ファイルと個人ファイルとの総称である。
共有ファイルは、複数のユーザによって共有されるファイルである。
個人ファイルは、特定の個人のみが操作できるファイルである。 The file server 110 is a server that manages files. The server is a computer. A file managed by the file server 110 is called a management file.
The management file is a generic name for a shared file and a personal file.
A shared file is a file shared by a plurality of users.
The personal file is a file that can be operated only by a specific individual.

ファイルサーバ110は、第1ネットワーク101に接続されている。
第1ネットワーク101は、ファイルサーバ110を有するネットワークである。
具体的には、第1ネットワーク101はインターネットもしくはイントラネットである。言い換えると、第1ネットワーク101はWAN(Wide Area Network)もしくはLAN(Local Area Network)である。 The file server 110 is connected to the first network 101.
The first network 101 is a network having a file server 110.
Specifically, the first network 101 is the Internet or an intranet. In other words, the first network 101 is a WAN (Wide Area Network) or a LAN (Local Area Network).

複数のクライアント端末120は、複数のユーザによって操作されるコンピュータである。
ユーザは、クライアント端末120を操作することによって、管理ファイルにアクセスする。具体的には、ユーザは、管理ファイルのアップロード、管理ファイルの参照、管理ファイルの更新、または管理ファイルのダウンロードを行う。 The plurality of client terminals 120 are computers operated by a plurality of users.
The user accesses the management file by operating the client terminal 120. Specifically, the user uploads the management file, references the management file, updates the management file, or downloads the management file.

それぞれのクライアント端末120は、第2ネットワーク102に接続されている。
第2ネットワーク102は、複数のクライアント端末120を有するネットワークである。
具体的には、第2ネットワーク102はインターネットもしくはイントラネットである。言い換えると、第2ネットワーク102はWANもしくはLANである。 Each client terminal 120 is connected to the second network 102.
The second network 102 is a network having a plurality of client terminals 120.
Specifically, the second network 102 is the Internet or an intranet. In other words, the second network 102 is a WAN or a LAN.

ファイルサーバ110とクライアント端末120との間では、ファイル共有プロトコルに従って、管理ファイルが通信される。
具体的なファイル共有プロトコルは、SMB(Sever Message Block)またはCIFS(Common Internet System)である。 A management file is communicated between the file server 110 and the client terminal 120 according to a file sharing protocol.
A specific file sharing protocol is SMB (Server Message Block) or CIFS (Common Internet System).

スイッチ130は、ネットワーク間でパケットを中継するネットワーク機器である。
具体的には、スイッチ130は、第1ネットワーク101と第2ネットワーク102との間で通信されるパケットを中継する。
例えば、スイッチ130は、クライアント端末120とファイルサーバ110との間で通信されるファイル共有パケットを中継する。
ファイル共有パケットは、ファイル共有プロトコルに従って通信されるパケットである。 The switch 130 is a network device that relays packets between networks.
Specifically, the switch 130 relays a packet communicated between the first network 101 and the second network 102.
For example, the switch 130 relays a file sharing packet communicated between the client terminal 120 and the file server 110.
A file sharing packet is a packet communicated according to a file sharing protocol.

スイッチ130は、ミラーポート131を有し、ポートミラーリングを行う。
つまり、スイッチ130は、中継されるパケットをミラーポート131から出力する。 The switch 130 has a mirror port 131 and performs port mirroring.
That is, the switch 130 outputs the relayed packet from the mirror port 131.

ファイル監視装置200は、ミラーポート131に接続され、スイッチ130を中継するパケットをキャプチャし、管理ファイルを監視する。   The file monitoring apparatus 200 is connected to the mirror port 131, captures a packet relayed through the switch 130, and monitors a management file.

図2に基づいて、ファイル監視装置200の構成を説明する。
ファイル監視装置200は、プロセッサ901とメモリ902と補助記憶装置903と通信装置904と入出力インタフェース905といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。 The configuration of the file monitoring apparatus 200 will be described based on FIG.
The file monitoring apparatus 200 is a computer including hardware such as a processor 901, a memory 902, an auxiliary storage device 903, a communication device 904, and an input / output interface 905. These hardwares are connected to each other via signal lines.

プロセッサ901は、演算処理を行うIC(Integrated Circuit)であり、他のハードウェアを制御する。例えば、プロセッサ901は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、またはGPU(Graphics Processing Unit)である。
メモリ902は揮発性の記憶装置である。メモリ902は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ902はRAM(Random Access Memory)である。メモリ902に記憶されたデータは必要に応じて補助記憶装置903に保存される。
補助記憶装置903は不揮発性の記憶装置である。例えば、補助記憶装置903は、ROM(Read Only Memory)、HDD(Hard Disk Drive)、またはフラッシュメモリである。補助記憶装置903に記憶されたデータは必要に応じてメモリ902にロードされる。 The processor 901 is an IC (Integrated Circuit) that performs arithmetic processing, and controls other hardware. For example, the processor 901 is a CPU (Central Processing Unit), a DSP (Digital Signal Processor), or a GPU (Graphics Processing Unit).
The memory 902 is a volatile storage device. The memory 902 is also called main memory or main memory. For example, the memory 902 is a RAM (Random Access Memory). Data stored in the memory 902 is stored in the auxiliary storage device 903 as necessary.
The auxiliary storage device 903 is a nonvolatile storage device. For example, the auxiliary storage device 903 is a ROM (Read Only Memory), a HDD (Hard Disk Drive), or a flash memory. Data stored in the auxiliary storage device 903 is loaded into the memory 902 as necessary.

通信装置904は通信を行う装置、すなわち、レシーバ及びトランスミッタである。例えば、通信装置904は通信チップまたはNIC(Network Interface
Card)である。
入出力インタフェース905は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース905はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。USBはUniversal Serial Busの略称である。 The communication device 904 is a device that performs communication, that is, a receiver and a transmitter. For example, the communication device 904 may be a communication chip or a NIC (Network Interface).
Card).
The input / output interface 905 is a port to which an input device and an output device are connected. For example, the input / output interface 905 is a USB terminal, the input device is a keyboard and a mouse, and the output device is a display. USB is an abbreviation for Universal Serial Bus.

ファイル監視装置200は、解析部210と復元部220と検査部230と検索部240といったソフトウェア要素を備える。ソフトウェア要素はソフトウェアで実現される要素である。   The file monitoring apparatus 200 includes software elements such as an analysis unit 210, a restoration unit 220, an inspection unit 230, and a search unit 240. A software element is an element realized by software.

補助記憶装置903には、解析部210と復元部220と検査部230と検索部240としてコンピュータを機能させるためのファイル監視プログラムが記憶されている。ファイル監視プログラムは、メモリ902にロードされて、プロセッサ901によって実行される。
さらに、補助記憶装置903にはOS(Operating System)が記憶されている。OSの少なくとも一部は、メモリ902にロードされて、プロセッサ901によって実行される。
つまり、プロセッサ901は、OSを実行しながら、ファイル監視プログラムを実行する。
ファイル監視プログラムを実行して得られるデータは、メモリ902、補助記憶装置903、プロセッサ901内のレジスタまたはプロセッサ901内のキャッシュメモリといった記憶装置に記憶される。 The auxiliary storage device 903 stores a file monitoring program for causing the computer to function as the analysis unit 210, the restoration unit 220, the inspection unit 230, and the search unit 240. The file monitoring program is loaded into the memory 902 and executed by the processor 901.
Further, the auxiliary storage device 903 stores an OS (Operating System). At least a part of the OS is loaded into the memory 902 and executed by the processor 901.
That is, the processor 901 executes the file monitoring program while executing the OS.
Data obtained by executing the file monitoring program is stored in a storage device such as the memory 902, the auxiliary storage device 903, a register in the processor 901, or a cache memory in the processor 901.

補助記憶装置903はデータを記憶する記憶部291として機能する。但し、他の記憶装置が、補助記憶装置903の代わりに、又は、補助記憶装置903と共に、記憶部291として機能してもよい。
通信装置904はデータを通信する通信部292として機能する。
入出力インタフェース905は、入力を受け付ける受付部293として機能すると共に、データを出力する出力部294として機能する。 The auxiliary storage device 903 functions as a storage unit 291 that stores data. However, another storage device may function as the storage unit 291 instead of the auxiliary storage device 903 or together with the auxiliary storage device 903.
The communication device 904 functions as a communication unit 292 that communicates data.
The input / output interface 905 functions as a reception unit 293 that receives input, and also functions as an output unit 294 that outputs data.

ファイル監視装置200は、プロセッサ901を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ901の役割を分担する。   The file monitoring apparatus 200 may include a plurality of processors that replace the processor 901. The plurality of processors share the role of the processor 901.

ファイル監視プログラムは、磁気ディスク、光ディスクまたはフラッシュメモリ等の不揮発性の記憶媒体にコンピュータ読み取り可能に記憶することができる。不揮発性の記憶媒体は、一時的でない有形の媒体である。   The file monitoring program can be stored in a computer-readable manner on a nonvolatile storage medium such as a magnetic disk, an optical disk, or a flash memory. A non-volatile storage medium is a tangible medium that is not temporary.

***動作の説明***
ファイル監視装置200の動作はファイル監視方法に相当する。また、ファイル監視方法の手順はファイル監視プログラムの手順に相当する。 *** Explanation of operation ***
The operation of the file monitoring apparatus 200 corresponds to a file monitoring method. The procedure of the file monitoring method corresponds to the procedure of the file monitoring program.

図3に基づいて、ファイル監視方法を説明する。
ステップS110において、スイッチ130のミラーポート131からパケットが出力された場合、通信部292は、スイッチ130のミラーポート131から出力されたパケットを受信する。 The file monitoring method will be described with reference to FIG.
In step S <b> 110, when a packet is output from the mirror port 131 of the switch 130, the communication unit 292 receives the packet output from the mirror port 131 of the switch 130.

ステップS120において、解析部210は、受信されたパケットがファイル共有パケットであるか判定する。
具体的には、解析部210は、受信されたパケットの中の特定箇所を参照する。そして、解析部210は、特定箇所にファイル共有パケットの識別子が設定されているか判定する。特定箇所にファイル共有パケットの識別子が設定されている場合、受信されたパケットはファイル共有パケットである。 In step S120, the analysis unit 210 determines whether the received packet is a file sharing packet.
Specifically, the analysis unit 210 refers to a specific part in the received packet. Then, the analysis unit 210 determines whether the identifier of the file sharing packet is set at the specific location. When the identifier of the file sharing packet is set at a specific location, the received packet is a file sharing packet.

ファイル共有プロトコルがSMBである場合、解析部210は以下のように判定を行う。
まず、解析部210は、受信されたパケットからトランスポート層のペイロードを抽出する。トランスポート層のペイロードには、データ長フィールドとSMBデータとが含まれる。
次に、解析部210は、抽出されたペイロードからSMBデータの先頭の4バイトを抽出する。
そして、解析部210は、抽出された4バイトに「SMB」という識別子が設定されているか判定する。
抽出された4バイトに「SMB」という識別子が設定されている場合、受信されたパケットはファイル共有パケットである。 When the file sharing protocol is SMB, the analysis unit 210 performs determination as follows.
First, the analysis unit 210 extracts a transport layer payload from the received packet. The payload of the transport layer includes a data length field and SMB data.
Next, the analysis unit 210 extracts the first 4 bytes of the SMB data from the extracted payload.
Then, the analysis unit 210 determines whether an identifier “SMB” is set in the extracted 4 bytes.
When the identifier “SMB” is set in the extracted 4 bytes, the received packet is a file sharing packet.

受信されたパケットがファイル共有パケットである場合、解析部210は受信されたファイルを記憶部291に記憶し、処理はステップS130に進む。
受信されたパケットがファイル共有パケットでない場合、解析部210は受信されたパケットを破棄し、処理はステップS110に進む。 If the received packet is a file sharing packet, the analysis unit 210 stores the received file in the storage unit 291 and the process proceeds to step S130.
If the received packet is not a file sharing packet, the analysis unit 210 discards the received packet, and the process proceeds to step S110.

ステップS130からステップS160までの説明において、ファイル共有パケットは受信されたパケットを意味する。   In the description from step S130 to step S160, the file sharing packet means a received packet.

ステップS130において、解析部210は、ファイル共有パケットから管理情報とファイルデータとを取得する。具体的な管理情報は、セッション情報、ファイル名、ファイルサイズ、アクセス時刻(操作時刻)、アクセス種別(操作種別)およびユーザ名である。ファイルデータは管理ファイルの一部である。
そして、解析部210は、セッション情報毎に管理情報とファイルデータとを互いに対応付けて記憶部291に記憶する。 In step S130, the analysis unit 210 acquires management information and file data from the file sharing packet. Specific management information includes session information, file name, file size, access time (operation time), access type (operation type), and user name. File data is part of the management file.
Then, the analysis unit 210 stores management information and file data in the storage unit 291 in association with each other for each session information.

ファイル共有プロトコルがSMBである場合、解析部210は、セッション情報を以下のように取得する。
解析部210は、ファイル共有パケットからイーサネットヘッダを抽出し、イーサネットヘッダから送信元MACアドレスと宛先MACアドレスとを取得する。イーサネットは登録商標である。MACはMedia Access Controlの略称である。
解析部210は、ファイル共有パケットからIPヘッダを抽出し、IPヘッダから送信元IPアドレスと宛先IPアドレスとを取得する。IPはInternet Protocolの略称である。
解析部210は、ファイル共有パケットからTCPヘッダを抽出し、TCPヘッダから送信元ポート番号と宛先ポート番号とを取得する。TCPはTransmission Control Protocolの略称である。
送信元MACアドレスと宛先MACアドレスと送信元IPアドレスと宛先IPアドレスと送信元ポート番号と宛先ポート番号との組がセッション情報である。 When the file sharing protocol is SMB, the analysis unit 210 acquires session information as follows.
The analysis unit 210 extracts an Ethernet header from the file sharing packet, and acquires a transmission source MAC address and a destination MAC address from the Ethernet header. Ethernet is a registered trademark. MAC is an abbreviation for Media Access Control.
The analysis unit 210 extracts an IP header from the file sharing packet, and acquires a transmission source IP address and a destination IP address from the IP header. IP is an abbreviation for Internet Protocol.
The analysis unit 210 extracts a TCP header from the file sharing packet, and acquires a transmission source port number and a destination port number from the TCP header. TCP is an abbreviation for Transmission Control Protocol.
A set of a source MAC address, a destination MAC address, a source IP address, a destination IP address, a source port number, and a destination port number is session information.

ファイル共有プロトコルがSMBである場合、解析部210は、ファイル名を以下のように取得する。
まず、解析部210は、ファイル共有パケットからSMBデータを抽出する。
次に、解析部210は、SMBデータがファイル操作データであるか判定する。ファイル操作データはファイル操作に関するSMBデータである。具体的には、ファイル操作データは、ファイル操作のコマンド番号が設定されたコマンドフィールドを有するSMBデータである。例えば、ファイル操作は読み出し又は書き込みである。
SMBデータがファイル操作データである場合、解析部210は、SMBデータの中のデータフィールドからファイル名を取得する。 When the file sharing protocol is SMB, the analysis unit 210 acquires the file name as follows.
First, the analysis unit 210 extracts SMB data from the file sharing packet.
Next, the analysis unit 210 determines whether the SMB data is file operation data. The file operation data is SMB data related to the file operation. Specifically, the file operation data is SMB data having a command field in which a file operation command number is set. For example, the file operation is read or write.
When the SMB data is file operation data, the analysis unit 210 acquires a file name from the data field in the SMB data.

ファイル共有プロトコルがSMBである場合、解析部210は、ファイルサイズを以下のように取得する。
まず、解析部210は、ファイル共有パケットからSMBデータを抽出する。
次に、解析部210は、SMBデータが先頭のファイル操作データであるか判定する。
SMBデータが先頭のファイル操作データである場合、解析部210は、SMBデータの中のカウントフィールドからファイルサイズを取得する。 When the file sharing protocol is SMB, the analysis unit 210 acquires the file size as follows.
First, the analysis unit 210 extracts SMB data from the file sharing packet.
Next, the analysis unit 210 determines whether the SMB data is the first file operation data.
When the SMB data is the first file operation data, the analysis unit 210 acquires the file size from the count field in the SMB data.

ファイル共有プロトコルがSMBである場合、解析部210は、アクセス時刻(操作時刻)を以下のように取得する。アクセス時刻は、管理ファイルに対するアクセス(操作)があった年月日および時刻を意味する。
まず、解析部210は、ファイル共有パケットからSMBデータを抽出する。
次に、解析部210は、SMBデータが先頭のファイル操作データであるか判定する。
SMBデータが先頭のファイル操作データである場合、解析部210は、ファイル共有パケットが受信された時刻を取得する。取得される時刻がアクセス時刻である。 When the file sharing protocol is SMB, the analysis unit 210 acquires the access time (operation time) as follows. The access time means the date and time when the management file was accessed (operated).
First, the analysis unit 210 extracts SMB data from the file sharing packet.
Next, the analysis unit 210 determines whether the SMB data is the first file operation data.
When the SMB data is the first file operation data, the analysis unit 210 acquires the time when the file sharing packet is received. The acquired time is the access time.

ファイル共有プロトコルがSMBである場合、解析部210は、アクセス種別(操作種別)を以下のように取得する。アクセス種別は、管理ファイルに対するアクセス(操作)の種類を示す。
まず、解析部210は、ファイル共有パケットからSMBデータを抽出する。
次に、解析部210は、SMBデータが先頭のファイル操作データであるか判定する。
SMBデータが先頭のファイル操作データである場合、解析部210は、SMBデータの中のコマンドフィールドからコマンド番号を取得する。取得されるコマンド番号がアクセス種別である。 When the file sharing protocol is SMB, the analysis unit 210 acquires the access type (operation type) as follows. The access type indicates the type of access (operation) to the management file.
First, the analysis unit 210 extracts SMB data from the file sharing packet.
Next, the analysis unit 210 determines whether the SMB data is the first file operation data.
When the SMB data is the first file operation data, the analysis unit 210 acquires a command number from the command field in the SMB data. The acquired command number is the access type.

ファイル共有プロトコルがSMBである場合、解析部210は、ユーザ名を以下のように取得する。
まず、解析部210は、ファイル共有パケットからSMBデータを抽出する。
次に、解析部210は、SMBデータがログインデータであるか判定する。ログインデータはユーザのログインに関するSMBデータである。具体的には、ログインデータは、セッションセットアップのコマンド番号が設定されているコマンドフィールドを有するSMBデータである。
SMBデータがログインデータである場合、解析部210は、SMBデータの中のデータフィールドからユーザ名を取得する。 When the file sharing protocol is SMB, the analysis unit 210 acquires the user name as follows.
First, the analysis unit 210 extracts SMB data from the file sharing packet.
Next, the analysis unit 210 determines whether the SMB data is login data. The login data is SMB data related to user login. Specifically, the login data is SMB data having a command field in which a session setup command number is set.
When the SMB data is login data, the analysis unit 210 acquires the user name from the data field in the SMB data.

ファイル共有プロトコルがSMBである場合、解析部210は、ファイルデータを以下のように取得する。
まず、解析部210は、ファイル共有パケットからSMBデータを抽出する。
次に、解析部210は、SMBデータがファイル操作データであるか判定する。
SMBデータがファイル操作データである場合、解析部210は、SMBデータの中のデータフィールドからファイルデータを取得する。 When the file sharing protocol is SMB, the analysis unit 210 acquires file data as follows.
First, the analysis unit 210 extracts SMB data from the file sharing packet.
Next, the analysis unit 210 determines whether the SMB data is file operation data.
When the SMB data is file operation data, the analysis unit 210 acquires file data from the data field in the SMB data.

ファイル共有パケットが受信される度にステップS130が実行されることにより、セッション情報毎に管理情報と1つ以上のファイルデータとが互いに対応付けて記憶部291に記憶される。   By executing step S130 each time a file sharing packet is received, management information and one or more file data are stored in the storage unit 291 in association with each other for each session information.

ステップS140において、復元部220は、管理ファイルを復元可能であるか判定する。
具体的には、復元部220は以下のように判定を行う。
まず、復元部220は、ファイル共有パケットと一致するセッション情報に対応付けられたファイルサイズおよび1つ以上のファイルデータを記憶部291から取得する。
次に、復元部220は、1つ以上のファイルデータの合計サイズを算出する。
そして、復元部220は、算出された合計サイズをファイルサイズと比較する。
算出された合計サイズがファイルサイズと一致する場合、管理ファイルを復元可能である。
管理ファイルを復元可能である場合、処理はステップS150に進む。
管理ファイルを復元可能でない場合、処理はステップS110に進む。 In step S140, the restoration unit 220 determines whether the management file can be restored.
Specifically, the restoration unit 220 performs determination as follows.
First, the restoration unit 220 acquires the file size and one or more file data associated with the session information that matches the file sharing packet from the storage unit 291.
Next, the restoration unit 220 calculates the total size of one or more file data.
Then, the restoration unit 220 compares the calculated total size with the file size.
When the calculated total size matches the file size, the management file can be restored.
If the management file can be restored, the process proceeds to step S150.
If the management file cannot be restored, the process proceeds to step S110.

ステップS150において、復元部220は管理ファイルを復元し、復元された管理ファイルを該当の管理情報に対応付けて記憶部291に記憶する。該当の管理情報とは、管理ファイルと一致するセッション情報に対応付けられた管理情報である。
具体的には、復元部220は、ファイル共有パケットと一致するセッション情報に対応付けられた1つ以上のファイルデータを記憶部291から取得し、取得された1つ以上のファイルデータを結合する。これにより、管理ファイルが復元される。 In step S150, the restoration unit 220 restores the management file, and stores the restored management file in the storage unit 291 in association with the corresponding management information. The corresponding management information is management information associated with session information that matches the management file.
Specifically, the restoration unit 220 acquires one or more file data associated with the session information matching the file sharing packet from the storage unit 291 and combines the acquired one or more file data. As a result, the management file is restored.

ステップS160において、検査部230は、管理ファイルがアラート条件を満たす場合にアラートを通知する。
ステップS160の後、処理はステップS110に進む。 In step S160, the inspection unit 230 notifies an alert when the management file satisfies the alert condition.
After step S160, the process proceeds to step S110.

図4に基づいて、アラート処理(S160)を説明する。
ステップS161において、検査部230は、管理ファイルからテキストを抽出する。
例えば、管理ファイルがPDFファイルである場合、検査部230はPDFファイルに含まれるテキストを抽出する。管理ファイルの種類がオフィスファイルまたは他の形式のファイルであっても同様である。 The alert process (S160) will be described with reference to FIG.
In step S161, the inspection unit 230 extracts text from the management file.
For example, when the management file is a PDF file, the inspection unit 230 extracts text included in the PDF file. The same applies even if the type of management file is an office file or another type of file.

ステップS162において、検査部230は、テキストから監視情報を抽出する。
具体的には、検査部230は、監視情報パターンと一致する部分をテキストから抽出する。抽出される部分が監視情報である。
監視情報パターンは、監視情報の書式を示すパターンである。監視情報パターンは予め決められている。
監視情報パターンと一致する部分とは、監視情報パターンと同じ書式で記載されている部分である。
具体的な監視情報は、任意に設定することができる。主な監視情報は、氏名、住所、電話番号、クレジットカード番号、マイナンバー(個人番号)およびEメールアドレスである。監視情報のパターンは任意に定義することができる。
検査部230は、抽出された監視情報の有無に関わらず、抽出の結果を記憶部291に記憶する。 In step S162, the inspection unit 230 extracts monitoring information from the text.
Specifically, the inspection unit 230 extracts a portion that matches the monitoring information pattern from the text. The extracted part is the monitoring information.
The monitoring information pattern is a pattern indicating the format of monitoring information. The monitoring information pattern is determined in advance.
The portion matching the monitoring information pattern is a portion described in the same format as the monitoring information pattern.
Specific monitoring information can be set arbitrarily. The main monitoring information is name, address, telephone number, credit card number, my number (personal number) and e-mail address. The monitoring information pattern can be arbitrarily defined.
The inspection unit 230 stores the extraction result in the storage unit 291 regardless of the presence or absence of the extracted monitoring information.

ステップS163において、検査部230は、抽出された監視情報がアラート条件を満たすか判定する。
具体的には、アラート条件は、監視情報の種類と監視情報の個数とによって定義される。例えば、「監視情報が10個以上」、「氏名が5つ以上」または「氏名が3つ以上、且つ、クレジット番号またはマイナンバーが3つ以上」などのアラート条件が予め定義される。アラート条件は任意に定義することができる。
抽出された監視情報がアラート条件を満たす場合、処理はステップS164に進む。
抽出された監視情報がアラート条件を満たさない場合、アラート処理(S160)は終了する。 In step S163, the inspection unit 230 determines whether the extracted monitoring information satisfies the alert condition.
Specifically, the alert condition is defined by the type of monitoring information and the number of monitoring information. For example, alert conditions such as “10 or more monitoring information”, “5 or more names” or “3 or more names and 3 or more credit numbers or my numbers” are defined in advance. Alert conditions can be arbitrarily defined.
If the extracted monitoring information satisfies the alert condition, the process proceeds to step S164.
If the extracted monitoring information does not satisfy the alert condition, the alert process (S160) ends.

ステップS164において、検査部230はアラートを通知する。
具体的には、検査部230は、通信部292を介してアラートメールを通知先へ送信する。アラートメールは、アラートメッセージが記載されたEメールである。アラートメッセージは、アラート条件を満たすテキストを含んだ管理ファイルに対してアクセス(操作)があった旨を知らせるメッセージである。アラートメッセージには、ファイル名、アクセス時刻、アクセス種別およびユーザ名などを含めることができる。
検査部230は、ディスプレイへの表示またはシステムログへの書き込みなど、Eメールとは異なる方法でアラートを通知してもよい。 In step S164, the inspection unit 230 notifies an alert.
Specifically, the inspection unit 230 transmits an alert mail to the notification destination via the communication unit 292. The alert mail is an email in which an alert message is described. The alert message is a message notifying that an access (operation) has been made to a management file including text that satisfies the alert condition. The alert message can include a file name, access time, access type, user name, and the like.
The inspection unit 230 may notify the alert by a method different from the e-mail, such as display on a display or writing to a system log.

図5に基づいて、管理情報検索(S170)を説明する。管理情報検索(S170)はファイル監視方法の一部である。
ステップS171において、受付部293は、検索を要求する検索要求を受け付ける。
具体的には、要求される検索は、ファイル内容検索、アクセスユーザ検索、アクセスファイル検索またはアクセス期間検索である。
検索要求は、検索の種類を示す検索種類識別子を含んでいる。 Based on FIG. 5, the management information search (S170) will be described. The management information search (S170) is a part of the file monitoring method.
In step S171, the reception unit 293 receives a search request for requesting a search.
Specifically, the requested search is a file content search, an access user search, an access file search, or an access period search.
The search request includes a search type identifier indicating the type of search.

ステップS172において、検索部240は、検索要求に基づいて、要求された検索の種類を判定する。
具体的には、検索部240は、検索要求に含まれる検索種類識別子を参照し、検索種類識別子によって識別される検索の種類を判定する。
要求された検索がファイル内容検索である場合、処理はステップS173に進む。
要求された検索がアクセスユーザ検索である場合、処理はステップS174に進む。
要求された検索がアクセスファイル検索である場合、処理はステップS175に進む。
要求された検索がアクセス期間検索である場合、処理はステップS176に進む。 In step S172, the search unit 240 determines the type of search requested based on the search request.
Specifically, the search unit 240 refers to the search type identifier included in the search request and determines the type of search identified by the search type identifier.
If the requested search is a file content search, the process proceeds to step S173.
If the requested search is an access user search, the process proceeds to step S174.
If the requested search is an access file search, the process proceeds to step S175.
If the requested search is an access period search, the process proceeds to step S176.

ファイル内容検索を要求する検索要求は、ファイル名とファイル内容と期間とを含んでいる。
検索要求に含まれるファイル名を指定ファイル名といい、検索要求に含まれる期間を指定期間という。検索要求に含まれるファイル内容を指定内容という。 A search request for requesting a file content search includes a file name, a file content, and a period.
A file name included in the search request is referred to as a specified file name, and a period included in the search request is referred to as a specified period. The file contents included in the search request are called designated contents.

ステップS173において、検索部240は検索要求に従って記憶部291を検索し、出力部294は指定期間における指定ファイルの一覧を出力する。指定ファイル名で識別される管理ファイルが指定ファイルである。一覧の中の指定ファイルが選択されると、出力部294は指定ファイルを出力する。   In step S173, the search unit 240 searches the storage unit 291 according to the search request, and the output unit 294 outputs a list of specified files in the specified period. The management file identified by the specified file name is the specified file. When a designated file in the list is selected, the output unit 294 outputs the designated file.

具体的には、検索部240は以下のように動作する。
まず、検索部240は、検索要求から指定ファイル名と指定内容と指定期間とを抽出する。
そして、検索部240は、指定ファイル名と指定期間と指定期間とを検索キーとして用いて、記憶部291を検索する。
これにより、指定ファイル名と同じファイル名に対応付けられ(または指定内容と同じ内容に対応付けられ)、且つ、指定期間に含まれるアクセス時刻に対応付けられた管理ファイルが見つかる。見つかった管理ファイルが指定期間における指定ファイルである。 Specifically, the search unit 240 operates as follows.
First, the search unit 240 extracts the specified file name, the specified content, and the specified period from the search request.
Then, the search unit 240 searches the storage unit 291 using the specified file name, the specified period, and the specified period as search keys.
As a result, a management file associated with the same file name as the designated file name (or associated with the same content as the designated content) and associated with the access time included in the designated period is found. The found management file is the specified file for the specified period.

具体的には、出力部294は、指定時刻における指定ファイルをディスプレイに表示する。但し、出力部294は、指定ファイルを通信部292を介してクライアント端末120に送信することによって、クライアント端末120のディスプレイに指定ファイルを表示してもよい。   Specifically, the output unit 294 displays the designated file at the designated time on the display. However, the output unit 294 may display the designated file on the display of the client terminal 120 by transmitting the designated file to the client terminal 120 via the communication unit 292.

アクセスユーザ検索を要求する検索要求は、ファイル名を含んでいる。
検索要求に含まれるファイル名を指定ファイル名という。 A search request for requesting an access user search includes a file name.
The file name included in the search request is called a specified file name.

ステップS174において、検索部240は検索要求に従って記憶部291を検索し、出力部294は指定ファイルにアクセスしたユーザの一覧を出力する。指定ファイル名で識別される管理ファイルが指定ファイルである。
指定ファイルにアクセスしたユーザの一覧をアクセスユーザ一覧という。 In step S174, the search unit 240 searches the storage unit 291 according to the search request, and the output unit 294 outputs a list of users who have accessed the specified file. The management file identified by the specified file name is the specified file.
A list of users who have accessed the specified file is called an access user list.

具体的には、検索部240は以下のように動作する。
まず、検索部240は、検索要求から指定ファイル名を抽出する。
そして、検索部240は、指定ファイル名を検索キーとして用いて、記憶部291を検索する。
これにより、指定ファイル名と同じファイル名に対応付けられた1つ以上のユーザ名が見つかる。見つかった1つ以上のユーザ名がアクセスユーザ一覧である。 Specifically, the search unit 240 operates as follows.
First, the search unit 240 extracts a specified file name from the search request.
Then, the search unit 240 searches the storage unit 291 using the specified file name as a search key.
Thereby, one or more user names associated with the same file name as the designated file name are found. One or more user names found are access user lists.

具体的には、出力部294は、アクセスユーザ一覧をディスプレイに表示する。但し、出力部294は、アクセスユーザ一覧を通信部292を介してクライアント端末120に送信することによって、クライアント端末120のディスプレイにアクセスユーザ一覧を表示してもよい。   Specifically, the output unit 294 displays the access user list on the display. However, the output unit 294 may display the access user list on the display of the client terminal 120 by transmitting the access user list to the client terminal 120 via the communication unit 292.

アクセスファイル検索を要求する検索要求は、ユーザ名を含んでいる。
検索要求に含まれるユーザ名を指定ユーザ名という。 The search request for requesting access file search includes the user name.
The user name included in the search request is called a specified user name.

ステップS175において、検索部240は検索要求に従って記憶部291を検索し、出力部294は指定ユーザがアクセスしたファイルの一覧を出力する。指定ユーザ名で識別されるユーザが指定ユーザである。
指定ユーザがアクセスしたファイルの一覧をアクセスファイル一覧という。 In step S175, the search unit 240 searches the storage unit 291 according to the search request, and the output unit 294 outputs a list of files accessed by the designated user. The user identified by the designated user name is the designated user.
A list of files accessed by the specified user is called an access file list.

具体的には、検索部240は以下のように動作する。
まず、検索部240は、検索要求から指定ユーザ名を抽出する。
そして、検索部240は、指定ユーザ名を検索キーとして用いて、記憶部291を検索する。
これにより、指定ユーザ名と同じユーザ名に対応付けられた1つ以上のファイル名が見つかる。見つかった1つ以上のファイル名がアクセスファイル一覧である。 Specifically, the search unit 240 operates as follows.
First, the search unit 240 extracts the designated user name from the search request.
Then, the search unit 240 searches the storage unit 291 using the designated user name as a search key.
As a result, one or more file names associated with the same user name as the designated user name are found. One or more found file names are the access file list.

具体的には、出力部294は、アクセスファイル一覧をディスプレイに表示する。但し、出力部294は、アクセスファイル一覧を通信部292を介してクライアント端末120に送信することによって、クライアント端末120のディスプレイにアクセスファイル一覧を表示してもよい。   Specifically, the output unit 294 displays the access file list on the display. However, the output unit 294 may display the access file list on the display of the client terminal 120 by transmitting the access file list to the client terminal 120 via the communication unit 292.

アクセス期間検索を要求する検索要求は、期間を含んでいる。
検索要求に含まれる期間を指定期間という。 A search request for requesting an access period search includes a period.
The period included in the search request is called a specified period.

ステップS176において、検索部240は検索要求に従って記憶部291を検索し、出力部294は指定期間にアクセスされた管理ファイルの一覧を出力する。
指定期間にアクセスされた管理ファイルの一覧をアクセスファイル一覧という。 In step S176, the search unit 240 searches the storage unit 291 according to the search request, and the output unit 294 outputs a list of management files accessed during the specified period.
A list of management files accessed during a specified period is called an access file list.

具体的には、検索部240は以下のように動作する。
まず、検索部240は、検索要求から指定期間を抽出する。
そして、検索部240は、指定期間を検索キーとして用いて、記憶部291を検索する。
これにより、指定期間に含まれるアクセス時刻に対応付けられた1つ以上の管理ファイルが見つかる。見つかった1つ以上の管理ファイルがアクセスファイル一覧である。 Specifically, the search unit 240 operates as follows.
First, the search unit 240 extracts a specified period from the search request.
Then, the search unit 240 searches the storage unit 291 using the specified period as a search key.
As a result, one or more management files associated with the access time included in the specified period are found. One or more management files found are an access file list.

具体的には、出力部294は、アクセスファイル一覧をディスプレイに表示する。但し、出力部294は、アクセスファイル一覧を通信部292を介してクライアント端末120に送信することによって、クライアント端末120のディスプレイにアクセスファイル一覧を表示してもよい。   Specifically, the output unit 294 displays the access file list on the display. However, the output unit 294 may display the access file list on the display of the client terminal 120 by transmitting the access file list to the client terminal 120 via the communication unit 292.

***実施の形態1の効果***
ファイルサーバで操作された管理ファイルの内容を取得し、任意の条件に合致した操作を通知し、また、事故が起きた場合に過去に遡って管理ファイルの内容を確認することが可能となる。
ファイルサーバ110で管理されている管理ファイルを、ネットワークからキャプチャした1つ以上のファイル共有パケットを用いて復元することができる。そのため、操作が行われた時の管理ファイルの内容を知ることができる。
アラート処理(S160)により、個人情報または秘匿情報といった重要な情報を含んだ管理ファイルが操作されたことをリアルタイムに知ることができる。そのため、故意または事故による情報流出に迅速に対応することが可能となる。
管理情報検索(S170)により、指定期間における管理ファイルの内容を確認することができる。 *** Effects of Embodiment 1 ***
It is possible to acquire the contents of the management file operated on the file server, notify an operation that matches an arbitrary condition, and check the contents of the management file retroactively when an accident occurs.
The management file managed by the file server 110 can be restored using one or more file sharing packets captured from the network. Therefore, it is possible to know the contents of the management file when the operation is performed.
By the alert process (S160), it is possible to know in real time that a management file including important information such as personal information or confidential information has been operated. Therefore, it becomes possible to respond promptly to information leakage due to intention or accident.
By the management information search (S170), the contents of the management file in the specified period can be confirmed.

***別の構成***
ファイル監視システム100は、ファイル監視装置200の代わりにミラーポート131に接続される保存装置を備えてもよい。
保存装置は、ファイル監視装置200の代わりにパケットを受信し、受信されたパケットを保存する。
ファイル監視装置200は、保存装置と通信し、保存装置に保存されたパケットを用いてファイル監視および管理情報検索を行う。 *** Another configuration ***
The file monitoring system 100 may include a storage device connected to the mirror port 131 instead of the file monitoring device 200.
The storage device receives the packet instead of the file monitoring device 200 and stores the received packet.
The file monitoring device 200 communicates with the storage device, and performs file monitoring and management information search using a packet stored in the storage device.

***実施の形態の補足***
実施の形態は、好ましい形態の例示であり、本発明の技術的範囲を制限することを意図するものではない。実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。 *** Supplement to the embodiment ***
The embodiments are exemplifications of preferred forms and are not intended to limit the technical scope of the present invention. The embodiment may be implemented partially or in combination with other embodiments. The procedure described using the flowchart and the like may be changed as appropriate.

100 ファイル監視システム、101 第1ネットワーク、102 第2ネットワーク、110 ファイルサーバ、120 クライアント端末、130 スイッチ、131 ミラーポート、200 ファイル監視装置、210 解析部、220 復元部、230 検査部、240 検索部、291 記憶部、292 通信部、293 受付部、294 出力部、901 プロセッサ、902 メモリ、903 補助記憶装置、904 通信装置、905 入出力インタフェース。   100 file monitoring system, 101 first network, 102 second network, 110 file server, 120 client terminal, 130 switch, 131 mirror port, 200 file monitoring device, 210 analysis unit, 220 restoration unit, 230 inspection unit, 240 search unit , 291 storage unit, 292 communication unit, 293 reception unit, 294 output unit, 901 processor, 902 memory, 903 auxiliary storage device, 904 communication device, 905 input / output interface.

Claims (12)

ファイルサーバを有するネットワークに接続された機器であるスイッチから、前記スイッチによって中継されたパケットを受信する通信部と、
受信されたパケットがファイル共有プロトコルに従って通信されたファイル共有パケットであるか判定する解析部と、
前記ファイルサーバで管理されている管理ファイルを1つ以上のファイル共有パケットを用いて復元する復元部と
を備えるファイル監視装置。 A communication unit that receives a packet relayed by the switch from a switch that is a device connected to a network having a file server;
An analysis unit that determines whether the received packet is a file sharing packet communicated according to a file sharing protocol;
A file monitoring apparatus comprising: a restoration unit that restores a management file managed by the file server using one or more file sharing packets. 復元された管理ファイルからテキストを抽出し、抽出されたテキストから監視情報を抽出する検査部
を備える請求項1に記載のファイル監視装置。 The file monitoring apparatus according to claim 1, further comprising: an inspection unit that extracts text from the restored management file and extracts monitoring information from the extracted text. 前記検査部は、抽出された監視情報がアラート条件を満たすか判定し、抽出された監視情報がアラート条件を満たす場合にアラートを通知する
請求項2に記載のファイル監視装置。 The file monitoring apparatus according to claim 2, wherein the inspection unit determines whether the extracted monitoring information satisfies an alert condition, and notifies the alert when the extracted monitoring information satisfies the alert condition. 復元された管理ファイルをファイル名とアクセス時刻とに対応付けて記憶する記憶部
を備える請求項1に記載のファイル監視装置。 The file monitoring apparatus according to claim 1, further comprising a storage unit that stores the restored management file in association with a file name and an access time. 指定ファイル名と指定期間とを受け付ける受付部と、
前記指定ファイル名と同じファイル名に対応付けられ、且つ、前記指定期間に含まれるアクセス時刻に対応付けられた管理ファイルを前記記憶部から見つける検索部と、
見つかった管理ファイルを出力する出力部と
を備える請求項4に記載のファイル監視装置。 A reception unit for receiving a specified file name and a specified period;
A search unit for finding a management file associated with the same file name as the specified file name and associated with an access time included in the specified period from the storage unit;
The file monitoring apparatus according to claim 4, further comprising an output unit that outputs the found management file. 指定期間を受け付ける受付部と、
指定期間に含まれるアクセス時刻に対応付けられた管理ファイルを前記記憶部から見つける検索部と、
見つかった管理ファイルを出力する出力部と
を備える請求項4に記載のファイル監視装置。 A reception unit that accepts a specified period;
A search unit for finding a management file associated with an access time included in the specified period from the storage unit;
The file monitoring apparatus according to claim 4, further comprising an output unit that outputs the found management file. 前記ファイル監視装置は、復元された管理ファイルを記憶する記憶部を備え、
前記解析部は、いずれかのファイル共有パケットからユーザ名を取得し、
前記記憶部は、前記復元された管理ファイルをファイル名と前記ユーザ名とに対応付けて記憶する
請求項1に記載のファイル監視装置。 The file monitoring device includes a storage unit for storing the restored management file,
The analysis unit obtains a user name from one of the file sharing packets,
The file monitoring apparatus according to claim 1, wherein the storage unit stores the restored management file in association with a file name and the user name. 指定ファイル名を受け付ける受付部と、
前記指定ファイル名と同じファイル名に対応付けられたユーザ名を前記記憶部から見つける検索部と、
見つかったユーザ名を出力する出力部と
を備える請求項7に記載のファイル監視装置。 A reception unit that accepts a specified file name;
A search unit for finding a user name associated with the same file name as the specified file name from the storage unit;
The file monitoring apparatus according to claim 7, further comprising: an output unit that outputs a found user name. 指定ユーザ名を受け付ける受付部と、
前記指定ユーザ名と同じユーザ名に対応付けられたファイル名を前記記憶部から見つける検索部と、
見つかったファイル名を出力する出力部と
を備える請求項7に記載のファイル監視装置。 A reception unit that accepts a specified user name;
A search unit for finding a file name associated with the same user name as the designated user name from the storage unit;
The file monitoring apparatus according to claim 7, further comprising: an output unit that outputs a found file name. ファイルサーバを有するネットワークに接続された機器であるスイッチから、前記スイッチによって中継されたパケットを受信する通信部と、
受信されたパケットがファイル共有プロトコルに従って通信されたファイル共有パケットであるか判定する解析部と、
前記ファイルサーバで管理されている管理ファイルを1つ以上のファイル共有パケットを用いて復元する復元部
としてコンピュータを機能させるためのファイル監視プログラム。 A communication unit that receives a packet relayed by the switch from a switch that is a device connected to a network having a file server;
An analysis unit that determines whether the received packet is a file sharing packet communicated according to a file sharing protocol;
A file monitoring program for causing a computer to function as a restoration unit that restores a management file managed by the file server using one or more file sharing packets. 保存装置に保存されたパケットがファイル共有プロトコルに従って通信されたファイル共有パケットであるか判定する解析部と、
ファイルサーバで管理されている管理ファイルを1つ以上のファイル共有パケットを用いて復元する復元部と
を備えるファイル監視装置。 An analysis unit that determines whether the packet stored in the storage device is a file sharing packet communicated according to a file sharing protocol;
A file monitoring apparatus comprising: a restoration unit that restores a management file managed by a file server using one or more file sharing packets. 保存装置に保存されたパケットがファイル共有プロトコルに従って通信されたファイル共有パケットであるか判定する解析部と、
ファイルサーバで管理されている管理ファイルを1つ以上のファイル共有パケットを用いて復元する復元部
としてコンピュータを機能させるためのファイル監視プログラム。 An analysis unit that determines whether the packet stored in the storage device is a file sharing packet communicated according to a file sharing protocol;
A file monitoring program for causing a computer to function as a restoration unit that restores a management file managed by a file server using one or more file sharing packets.
JP2017028943A 2017-02-20 2017-02-20 File monitoring device and file monitoring program Active JP6811639B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017028943A JP6811639B2 (en) 2017-02-20 2017-02-20 File monitoring device and file monitoring program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017028943A JP6811639B2 (en) 2017-02-20 2017-02-20 File monitoring device and file monitoring program

Publications (2)

Publication Number Publication Date
JP2018136610A true JP2018136610A (en) 2018-08-30
JP6811639B2 JP6811639B2 (en) 2021-01-13

Family

ID=63365554

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017028943A Active JP6811639B2 (en) 2017-02-20 2017-02-20 File monitoring device and file monitoring program

Country Status (1)

Country Link
JP (1) JP6811639B2 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100468372B1 (en) * 2004-04-09 2005-01-31 주식회사 잉카인터넷 Apparatus and method for intercepting and detecting network virus using monitoring SMB/CIFS
US20060215298A1 (en) * 2005-03-25 2006-09-28 International Business Machines Corporation Information presentation apparatus, and information presentation method and program for use therein
JP2007034535A (en) * 2005-07-25 2007-02-08 Fuji Xerox Co Ltd Access controller
JP2012073878A (en) * 2010-09-29 2012-04-12 Mitsubishi Space Software Kk Access analysis device, access analysis method and access analysis program
JP2013191188A (en) * 2012-02-14 2013-09-26 Nippon Telegr & Teleph Corp <Ntt> Log management device, log storage method, log retrieval method, importance determination method and program
WO2016185922A1 (en) * 2015-05-15 2016-11-24 株式会社野村総合研究所 Access management device, access management method, and computer program

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100468372B1 (en) * 2004-04-09 2005-01-31 주식회사 잉카인터넷 Apparatus and method for intercepting and detecting network virus using monitoring SMB/CIFS
US20060215298A1 (en) * 2005-03-25 2006-09-28 International Business Machines Corporation Information presentation apparatus, and information presentation method and program for use therein
JP2006268751A (en) * 2005-03-25 2006-10-05 Ibm Japan Ltd Information presenting apparatus and method, and program
JP2007034535A (en) * 2005-07-25 2007-02-08 Fuji Xerox Co Ltd Access controller
JP2012073878A (en) * 2010-09-29 2012-04-12 Mitsubishi Space Software Kk Access analysis device, access analysis method and access analysis program
JP2013191188A (en) * 2012-02-14 2013-09-26 Nippon Telegr & Teleph Corp <Ntt> Log management device, log storage method, log retrieval method, importance determination method and program
WO2016185922A1 (en) * 2015-05-15 2016-11-24 株式会社野村総合研究所 Access management device, access management method, and computer program

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
有元 伯治: ""検証で学ぶWindowsネットワークの基礎 [最終回]ファイル共有の仕組みをひも解く(後編) セキュ", 日経WINDOWSプロ NO.103, JPN6020046515, 1 October 2005 (2005-10-01), pages 104 - 111, ISSN: 0004401143 *

Also Published As

Publication number Publication date
JP6811639B2 (en) 2021-01-13

Similar Documents

Publication Publication Date Title
US10122746B1 (en) Correlation and consolidation of analytic data for holistic view of malware attack
US9882924B2 (en) Systems and methods for malware analysis of network traffic
US10073971B2 (en) Traffic processing for network performance and security
US9325726B2 (en) Method and system for virtual asset assisted extrusion and intrusion detection in a cloud computing environment
US20150222653A1 (en) Method and system for extrusion and intrusion detection in a cloud computing environment
US11216584B2 (en) Management server, data viewing system, and non-transitory computer readable medium
CN110519265B (en) Method and device for defending attack
US20150215327A1 (en) Method and system for extrusion and intrusion detection in a cloud computing environment using network communications devices
US8910269B2 (en) System, method, and computer program product for preventing communication of unwanted network traffic by holding only a last portion of the network traffic
CN108683668A (en) Resource checksum method, apparatus, storage medium and equipment in content distributing network
US9749295B2 (en) Systems and methods for internet traffic analysis
US8590002B1 (en) System, method and computer program product for maintaining a confidentiality of data on a network
CN113542274A (en) Cross-domain data transmission method, device, server and storage medium
US20140289532A1 (en) Validity determination method and validity determination apparatus
US10387663B2 (en) System, a method and a computer readable medium for transmitting an electronic file
CN113065165A (en) Certificate security detection method and device and storage medium
CN109714337B (en) Data encryption transmission method and equipment
JP6811639B2 (en) File monitoring device and file monitoring program
US8095980B2 (en) Detecting malicious behavior in data transmission of a de-duplication system
US8438637B1 (en) System, method, and computer program product for performing an analysis on a plurality of portions of potentially unwanted data each requested from a different device
CN108605039B (en) Detecting malware on SPDY connections
JP6476530B2 (en) Information processing apparatus, method, and program
JP6023738B2 (en) Transmission packet analysis system, transmission packet analysis device, and transmission packet analysis program
JP6878451B2 (en) Asynchronous analysis of data stream
WO2017047087A1 (en) Data inspection system, data inspection method, and storage medium storing program therefor

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201030

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201208

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201215

R150 Certificate of patent or registration of utility model

Ref document number: 6811639

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250