JP4699893B2 - Packet analysis system, packet analysis program, packet analysis method, and packet acquisition device - Google Patents
Packet analysis system, packet analysis program, packet analysis method, and packet acquisition device Download PDFInfo
- Publication number
- JP4699893B2 JP4699893B2 JP2005364741A JP2005364741A JP4699893B2 JP 4699893 B2 JP4699893 B2 JP 4699893B2 JP 2005364741 A JP2005364741 A JP 2005364741A JP 2005364741 A JP2005364741 A JP 2005364741A JP 4699893 B2 JP4699893 B2 JP 4699893B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- unit
- file
- storage device
- file data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims description 233
- 238000000034 method Methods 0.000 claims description 39
- 238000012545 processing Methods 0.000 claims description 37
- 230000005540 biological transmission Effects 0.000 claims description 29
- 238000007906 compression Methods 0.000 claims description 26
- 230000006835 compression Effects 0.000 claims description 25
- 238000006243 chemical reaction Methods 0.000 claims description 17
- 238000004891 communication Methods 0.000 description 49
- 238000007726 management method Methods 0.000 description 25
- 230000006870 function Effects 0.000 description 18
- 238000010586 diagram Methods 0.000 description 17
- 238000011835 investigation Methods 0.000 description 7
- 230000004044 response Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000001404 mediated effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、例えば、ネットワークを流れる情報を解析する情報管理などに関するものである。 The present invention relates to information management for analyzing information flowing through a network, for example.
従来から、個人情報の漏えい、不正アクセスなどによる情報漏えいなどの情報事故を防止するため情報管理が行われている。例えば、従来は、Firewall、IDS(Intrusion Detection System)、コンテンツフィルタなどにより、情報事故の発生を防ぐシステムがある。
また、従来は、情報事故が発生した場合に、情報事故の内容を調査するために、端末のログを取得することが行われている。
Conventionally, when an information accident occurs, a terminal log is acquired in order to investigate the contents of the information accident.
従来の情報事故の発生を防ぐシステムなどを導入した場合であっても、完全に情報事故を防ぐことは困難である。そして、従来の情報事故が発生した場合の事後的な対応では、端末のログ情報などから調査できる情報は限られており、必要な情報を十分に得ることは難しいという課題があった。さらに、端末のログ情報などの調査をするには、相応の技術が必要であり、調査のため多くのコストが必要であるという課題があった。
本発明は、例えば、情報事故が発生した場合の調査に十分な情報を残すこと、および、簡単な操作で検索、閲覧ができることを目的とする。また、導入したシステムの設備の増強等を容易とすることを目的とする。
Even when a conventional system for preventing an information accident is introduced, it is difficult to completely prevent an information accident. In the ex-post response when a conventional information accident occurs, the information that can be investigated from the log information of the terminal is limited, and there is a problem that it is difficult to obtain sufficient information. Furthermore, in order to investigate the log information of the terminal, there is a problem that a corresponding technique is necessary, and a lot of cost is necessary for the investigation.
An object of the present invention is, for example, to leave sufficient information for investigation when an information accident occurs, and to be able to search and browse by a simple operation. It is also intended to facilitate the enhancement of the installed system facilities.
本発明の実施の形態にかかるパケット解析システムは、ネットワークを流れるパケットを取得し、パケットを解析するパケット解析システムにおいて、
ネットワークの所定の接続ポイントに接続され、蓄積装置と接続線を介して接続されるパケット取得装置と、蓄積装置と接続線を介して接続される解析装置とを備え、
パケット取得装置は、上記接続ポイントを流れるパケットを、通信装置を介して取得するパケット取得部と、上記パケット取得部が取得したパケットを蓄積装置へ通信装置を介して送信し、蓄積装置に記憶させる送信部とを有し、
解析装置は、蓄積装置により記憶されたパケットを、通信装置を介して読込むパケット読込部と、上記パケット読込部が読込んだパケットを処理装置により解析するパケット解析部とを有することを特徴とする。
A packet analysis system according to an embodiment of the present invention acquires a packet flowing through a network and analyzes the packet.
A packet acquisition device connected to a predetermined connection point of the network and connected to the storage device via a connection line; and an analysis device connected to the storage device via a connection line;
The packet acquisition device transmits a packet flowing through the connection point via a communication device, and transmits the packet acquired by the packet acquisition unit to the storage device via the communication device, and stores the packet in the storage device. A transmission unit,
The analysis device includes a packet reading unit that reads a packet stored by the storage device via a communication device, and a packet analysis unit that analyzes the packet read by the packet reading unit by the processing device. To do.
また、上記パケット取得装置は、第1ネットワークの所定の接続ポイントに接続され、上記送信部は、上記パケット取得部が取得したパケットを、第2ネットワークを介して蓄積装置へ送信し、上記パケット読込部は、蓄積装置により記憶されたパケットを、第3ネットワークを介して読込むことを特徴とする。 The packet acquisition device is connected to a predetermined connection point of the first network, and the transmission unit transmits the packet acquired by the packet acquisition unit to the storage device via the second network, and reads the packet. The unit reads the packet stored by the storage device via the third network.
また、上記パケット解析システムは、さらに、取得装置と蓄積装置と解析装置とへ指示をする管理端末を備え、管理端末とパケット取得装置と蓄積装置と解析装置とは第4ネットワークで接続されることを特徴とする。 The packet analysis system further includes a management terminal that gives instructions to the acquisition device, the storage device, and the analysis device, and the management terminal, the packet acquisition device, the storage device, and the analysis device are connected by a fourth network. It is characterized by.
また、上記パケット解析システムは、複数のパケット取得装置を備え、上記複数のパケット取得装置の各パケット取得装置は、それぞれ異なる接続ポイントに接続されることを特徴とする。 The packet analysis system includes a plurality of packet acquisition devices, and each packet acquisition device of the plurality of packet acquisition devices is connected to a different connection point.
また、上記パケット取得装置は、さらに、上記パケット取得部が取得したパケットにハッシュキーを付与して記憶装置に記憶するハッシュキー付与部を備え、上記送信部は、上記ハッシュキー付与部がハッシュキーを付与したパケットを蓄積装置へ送信し、蓄積装置に記憶させることを特徴とする。 The packet acquisition device further includes a hash key assignment unit that assigns a hash key to the packet acquired by the packet acquisition unit and stores the hash key in a storage device, and the transmission unit includes the hash key assignment unit. Is transmitted to the storage device and stored in the storage device.
また、上記パケット取得装置は、さらに、上記パケット取得部が取得したパケットに、パケットを取得した時刻を付与して記憶装置に記憶する時刻付与部を備え、上記送信部は、上記時刻付与部が時刻を付与したパケットを蓄積装置へ送信し、蓄積装置に記憶させることを特徴とする。 In addition, the packet acquisition device further includes a time grant unit that assigns a packet acquisition time to the packet acquired by the packet acquisition unit and stores the packet in a storage device, and the transmission unit includes the time grant unit. A packet with time is transmitted to a storage device and stored in the storage device.
また、上記パケット取得装置は、さらに、上記パケット取得部が取得したパケットに、パケット取得装置を識別する識別子を付与して記憶装置に記憶する識別子付与部を備え、上記送信部は、上記識別子付与部が識別子を付与したパケットを蓄積装置へ送信し、蓄積装置に記憶させることを特徴とする。 The packet acquisition device further includes an identifier adding unit that assigns an identifier for identifying the packet acquisition device to the packet acquired by the packet acquisition unit and stores the identifier in the storage device. The unit transmits the packet with the identifier to the storage device and stores the packet in the storage device.
また、上記識別子付与部は、識別子としてMAC(Media Access Control)アドレスを付与することを特徴とする。 The identifier assigning unit assigns a MAC (Media Access Control) address as an identifier.
また、上記パケット取得装置は、さらに、上記パケット取得部が取得したパケットを暗号化して記憶装置に記憶する暗号化部を備え、上記送信部は、上記暗号化部が暗号化したパケットを蓄積装置へ送信し、蓄積装置に記憶させることを特徴とする。 The packet acquisition device further includes an encryption unit that encrypts the packet acquired by the packet acquisition unit and stores the encrypted packet in a storage device, and the transmission unit stores the packet encrypted by the encryption unit. And stored in a storage device.
また、上記パケット読込部は、蓄積装置により記憶された暗号化されたパケットを読込み、上記解析装置は、さらに、上記パケット読込部が読込んだ暗号化されたパケットを復号して記憶装置に記憶する復号部を備え、上記パケット解析部は、上記復号部が復号したパケットを解析することを特徴とする。 The packet reading unit reads the encrypted packet stored by the storage device, and the analysis device further decrypts the encrypted packet read by the packet reading unit and stores it in the storage device. And the packet analysis unit analyzes the packet decoded by the decoding unit.
また、上記解析装置は、さらに、上記パケット解析部が解析したパケットへアクセスする操作を上記管理端末から指示をされた場合に、操作のログを取得して記憶装置に記憶するログ取得部を備えることを特徴とする。 The analysis device further includes a log acquisition unit that acquires an operation log and stores the operation log in a storage device when an instruction to access the packet analyzed by the packet analysis unit is given from the management terminal. It is characterized by that.
また、上記パケット取得装置は、さらに、上記パケット取得部が取得したパケットを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成して記憶装置に記憶する第1ファイル化部を備え、上記送信部は、上記第1ファイル化部がファイル化処理して生成した第1ファイルデータを蓄積装置へ送信し、蓄積装置に記憶させることを特徴とする。 In addition, the packet acquisition device further performs a filing process in which the packet acquired by the packet acquisition unit is converted into one file at a predetermined time unit, generates first file data, and stores the first file data in the storage device. One file conversion unit is provided, and the transmission unit transmits the first file data generated by the first file conversion unit as a file, and stores the first file data in the storage device.
また、上記パケット取得装置は、さらに、上記パケット取得部が取得したパケットを一時的にバッファメモリに記憶する一時記憶部と、上記バッファメモリの容量に基づき、パケットを1つのファイルとするファイル化処理を行い、第2ファイルデータを生成して記憶装置に記憶する第2ファイル化部を備え、上記第1ファイル化部は、上記第2ファイル化部がファイル化処理して生成した第2ファイルデータを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成することを特徴とする。 Further, the packet acquisition device further includes a temporary storage unit that temporarily stores the packet acquired by the packet acquisition unit in a buffer memory, and a filing process in which the packet is made into one file based on the capacity of the buffer memory. 2nd file data which generates 2nd file data and memorizes it in a storage device, The 1st file conversion part is the 2nd file data which the 2nd file conversion part generated by file conversion processing The first file data is generated by performing a filing process to make one file in a predetermined time unit.
また、上記パケット取得装置は、さらに、上記第2ファイル化部がファイル化処理して生成した第2ファイルデータを圧縮し、圧縮ファイルを生成して記憶装置に記憶する圧縮部を備え、上記第1ファイル化部は、上記圧縮部が圧縮して生成した圧縮ファイルを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成することを特徴とする。 In addition, the packet acquisition device further includes a compression unit that compresses the second file data generated by the second file conversion unit and generates the compressed file and stores the compressed file in a storage device. The one-file conversion unit is characterized in that the first file data is generated by performing a file conversion process in which the compressed file generated by the compression unit is converted into one file in a predetermined time unit.
また、上記パケット取得装置は、さらに、上記第2ファイル化部がファイル化処理して生成した第2ファイルデータにハッシュキーを付与して記憶装置に記憶するハッシュキー付与部を備え、上記第1ファイル化部は、上記ハッシュキー付与部がハッシュキーを付与した第2ファイルデータを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成することを特徴とする。 Further, the packet acquisition device further includes a hash key assigning unit that assigns a hash key to the second file data generated by the second file generation unit as a file, and stores the hash key in a storage device. The filing unit performs the filing process by converting the second file data to which the hash key assigning unit has added the hash key into one file at a predetermined time unit, and generates the first file data. .
また、上記第1ファイル化部は、生成した第1ファイルデータのファイル名にパケット取得装置を一意に示す識別情報を含めることを特徴とする。 The first filing unit includes identification information that uniquely indicates the packet acquisition device in the file name of the generated first file data.
また、本発明の実施の形態にかかるパケット解析システムは、ネットワークを流れるパケットを取得し、パケットを解析するパケット解析システムにおいて、
ネットワークを流れるパケットを、通信装置を介して取得するパケット取得部と、上記パケット取得部が取得したパケットを記憶装置に記憶するパケット記憶部と、上記パケット記憶部が記憶したパケットを処理装置により解析するパケット解析部とを備え、上記パケット取得部と上記パケット記憶部と上記パケット解析部とはネットワークにより接続される複数の装置により備えられることを特徴とする。
Further, the packet analysis system according to the exemplary embodiment of the present invention acquires a packet flowing through a network and analyzes the packet.
A packet acquisition unit that acquires a packet flowing through a network via a communication device, a packet storage unit that stores the packet acquired by the packet acquisition unit in a storage device, and a packet that is stored in the packet storage unit is analyzed by a processing device A packet analyzer, and the packet acquisition unit, the packet storage unit, and the packet analyzer are provided by a plurality of devices connected by a network.
また、本発明の実施の形態にかかるパケット解析方法は、ネットワークを流れるパケットを取得し、パケットを解析するパケット解析システムのパケット解析方法において、
ネットワークの所定の接続ポイントに接続され、蓄積装置と接続線を介して接続されるパケット取得装置が実行するパケット取得処理と、蓄積装置と接続線を介して接続される解析装置が実行する解析処理とを備え、
パケット取得ステップは、上記接続ポイントを流れるパケットを、通信装置を介してパケット取得部が取得するパケット取得ステップと、上記パケット取得ステップで取得したパケットを蓄積装置へ通信装置を介して送信部が送信し、蓄積装置に記憶させる送信ステップとを有し、
解析ステップは、蓄積装置により記憶されたパケットを、通信装置を介してパケット読込部が読込むパケット読込ステップと、上記パケット読込ステップで読込んだパケットを処理装置によりパケット解析部が解析するパケット解析ステップとを有することを特徴とする。
A packet analysis method according to an embodiment of the present invention is a packet analysis method of a packet analysis system that acquires a packet flowing through a network and analyzes the packet.
Packet acquisition processing executed by a packet acquisition device connected to a predetermined connection point of the network and connected to the storage device via a connection line, and analysis processing executed by an analysis device connected to the storage device via the connection line And
The packet acquisition step includes a packet acquisition step in which a packet acquisition unit acquires a packet flowing through the connection point via a communication device, and a transmission unit transmits the packet acquired in the packet acquisition step to the storage device via the communication device. And storing in the storage device,
The analysis step includes a packet reading step in which the packet reading unit reads the packet stored by the storage device via the communication device, and a packet analysis in which the packet analysis unit analyzes the packet read in the packet reading step by the processing device. And a step.
また、本発明の実施の形態にかかるパケット解析プログラムは、ネットワークを流れるパケットを取得し、パケットを解析するパケット解析システムのパケット解析プログラムにおいて、
ネットワークの所定の接続ポイントに接続され、蓄積装置と接続線を介して接続されるパケット取得装置のパケット取得プログラムと、蓄積装置と接続線を介して接続される解析装置の解析プログラムとを備え、
パケット取得プログラムは、上記接続ポイントを流れるパケットを、通信装置を介してパケット取得部が取得するパケット取得ステップと、上記パケット取得ステップで取得したパケットを蓄積装置へ通信装置を介して送信部が送信し、蓄積装置に記憶させる送信ステップとをコンピュータに実行させ、
解析プログラムは、蓄積装置により記憶されたパケットを、通信装置を介してパケット読込部が読込むパケット読込ステップと、上記パケット読込ステップで読込んだパケットを処理装置によりパケット解析部が解析するパケット解析ステップとをコンピュータに実行させることを特徴とする。
A packet analysis program according to an embodiment of the present invention is a packet analysis program for a packet analysis system that acquires a packet flowing through a network and analyzes the packet.
A packet acquisition program of a packet acquisition device connected to a predetermined connection point of the network and connected to the storage device via a connection line; and an analysis program of an analysis device connected to the storage device via a connection line;
The packet acquisition program includes a packet acquisition step in which a packet acquisition unit acquires a packet flowing through the connection point via a communication device, and a transmission unit transmits the packet acquired in the packet acquisition step to the storage device via the communication device. And causing the computer to execute a transmission step to be stored in the storage device,
The analysis program includes a packet reading step in which the packet reading unit reads the packet stored by the storage device via the communication device, and a packet analysis in which the packet analysis unit analyzes the packet read in the packet reading step by the processing device. And causing the computer to execute the steps.
また、上記パケット取得プログラムは、さらに、上記パケット取得ステップで取得したパケットにハッシュキーをハッシュキー付与部が付与して記憶装置に記憶するハッシュキー付与ステップをコンピュータに実行させ、上記送信ステップでは、上記ハッシュキー付与ステップでハッシュキーを付与したパケットを蓄積装置へ送信し、蓄積装置に記憶させることを特徴とする。 The packet acquisition program further causes the computer to execute a hash key assigning step in which the hash key assigning unit assigns a hash key to the packet acquired in the packet acquiring step and stores the hash key in the storage device. The packet having the hash key assigned in the hash key assigning step is transmitted to the storage device and stored in the storage device.
また、上記パケット取得プログラムは、さらに、上記パケット取得ステップで取得したパケットに、パケット取得装置を識別する識別子を識別子付与部が付与して記憶装置に記憶する識別子付与ステップをコンピュータに実行させ、上記送信ステップでは、上記識別子付与ステップで識別子を付与したパケットを蓄積装置へ送信し、蓄積装置に記憶させることを特徴とする。 The packet acquisition program further causes the computer to execute an identifier assigning step in which the identifier assigning unit assigns an identifier for identifying the packet obtaining device to the packet obtained in the packet obtaining step and stores the identifier in the storage device. In the transmission step, the packet having the identifier added in the identifier adding step is transmitted to the storage device and stored in the storage device.
また、上記識別子付与ステップでは、識別子としてMACアドレスを付与することを特徴とする。 In the identifier assigning step, a MAC address is assigned as an identifier.
また、上記パケット取得プログラムは、さらに、上記パケット取得ステップで取得したパケットを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを第1ファイル化部が生成して記憶装置に記憶する第1ファイル化ステップをコンピュータに実行させ、上記送信ステップでは、上記第1ファイル化ステップでファイル化処理して生成した第1ファイルデータを蓄積装置へ送信し、蓄積装置に記憶させることを特徴とする。 In addition, the packet acquisition program further performs a filing process in which the packet acquired in the packet acquisition step is converted into one file in a predetermined time unit, and the first file data is generated by the first file generation unit. The first file generation step stored in the storage device is executed by the computer. In the transmission step, the first file data generated by the file processing in the first file generation step is transmitted to the storage device and stored in the storage device. It is characterized by making it.
また、上記パケット取得プログラムは、さらに、上記パケット取得ステップで取得したパケットを一時的にバッファメモリに一時記憶部が記憶する一時記憶ステップと、上記バッファのメモリの容量に基づき、パケットを1つのファイルとするファイル化処理を行い、第2ファイルデータを第2ファイル化部が生成して記憶装置に記憶する第2ファイル化ステップとをコンピュータに実行させ、上記第1ファイル化ステップでは、上記第2ファイル化ステップでファイル化処理して生成した第2ファイルデータを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成することを特徴とする。 The packet acquisition program further includes a temporary storage step in which the packet acquired in the packet acquisition step is temporarily stored in the buffer memory by the temporary storage unit, and the packet is stored in one file based on the memory capacity of the buffer. And the second filing step in which the second filing unit generates the second file data and stores it in the storage device. The second filing step causes the computer to execute the second filing step. The second file data generated by filing in the filing step is converted into one file in a predetermined time unit, and the first file data is generated.
また、上記パケット取得プログラムは、さらに、上記第2ファイル化ステップでファイル化処理して生成した第2ファイルデータを圧縮し、圧縮ファイルを圧縮部が生成して記憶装置に記憶する圧縮ステップをコンピュータに実行させ、上記第1ファイル化ステップでは、上記圧縮ステップで圧縮して生成した圧縮ファイルを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成することを特徴とする。 The packet acquisition program further includes a compression step of compressing the second file data generated by the file processing in the second file conversion step, and generating a compressed file by the compression unit and storing it in the storage device. In the first file conversion step, the first file data is generated by performing a file conversion process in which the compressed file generated by compression in the compression step is converted into one file in a predetermined time unit. Features.
また、上記パケット取得プログラムは、さらに、上記第2ファイル化ステップでファイル化処理して生成した第2ファイルデータにハッシュキーをハッシュキー付与部が付与して記憶装置に記憶するハッシュキー付与ステップをコンピュータに実行させ、上記第1ファイル化ステップでは、上記ハッシュキー付与ステップでハッシュキーを付与した第2ファイルデータを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成することを特徴とする。 Further, the packet acquisition program further includes a hash key assigning step in which a hash key assigning unit assigns a hash key to the second file data generated by filing in the second file forming step and stores the hash key in a storage device. In the first file conversion step, the second file data to which the hash key is assigned in the hash key assignment step is converted into one file at a predetermined time unit, and the first file data is obtained. Is generated.
本発明の実施の形態にかかるパケット解析システムは、ネットワークの所定の接続ポイントを流れるパケットを取得するパケット取得部と、パケット取得部が取得したパケットを蓄積装置へ送信し、蓄積装置に記憶させる送信部と、蓄積装置により記憶されたパケットを読込むパケット読込部と、パケット読込部が読込んだパケットを解析するパケット解析部とを備える。そのため、本発明の実施の形態にかかるパケット解析システムによれば、ネットワークの所定の接続ポイントを流れた情報をすべて記憶することが可能であり、その情報を解析することが可能である。 A packet analysis system according to an embodiment of the present invention includes a packet acquisition unit that acquires a packet flowing through a predetermined connection point of a network, and a transmission that transmits the packet acquired by the packet acquisition unit to the storage device and stores the packet in the storage device A packet reading unit that reads a packet stored by the storage device, and a packet analysis unit that analyzes the packet read by the packet reading unit. Therefore, according to the packet analysis system according to the embodiment of the present invention, it is possible to store all information flowing through a predetermined connection point of the network, and to analyze the information.
まず、実施の形態にかかるパケット解析システム1000のハードウェア構成の一例について図1、図2に基づき説明する。
First, an example of the hardware configuration of the
図1は、実施の形態にかかるパケット解析システム1000の外観の一例を示した図である。
図1において、パケット解析システム1000は、CRT(Cathode Ray Tube)表示装置901、キーボード(K/B)902、マウス903、コンパクトディスク装置(CDD)905、NAS(Network Attached Storage)908、システムユニット909、サーバA916、サーバB917を備え、これらはケーブルで接続されている。
さらに、パケット解析システム1000は、ローカルエリアネットワーク(LAN)942、ゲートウェイ941を介してインターネット940に接続されている。また、さらに、LAN942、L(Layer)2スイッチ943を介してサーバC918、サーバD919に接続されている。
ここで、CRT表示装置901は、表示装置の一例である。また、NAS908は、蓄積装置200の一例である。さらに、サーバA916は、パケット取得装置100の一例である。サーバB917は、解析装置300の一例である。また、さらに、管理端末400は、例えば、CRT表示装置901、K/B902、マウス903、CDD905、システムユニット909を備えていても構わない。管理端末400は、これに限られず、システムユニット909であっても構わない。また、サーバC918、サーバD919は、ファイルサーバ、WEBサーバなどのサーバである。
FIG. 1 is a diagram illustrating an example of an appearance of a
In FIG. 1, a
Further, the
Here, the
図2は、実施の形態におけるパケット取得装置100、蓄積装置200、解析装置300、管理端末400のハードウェア構成の一例を示す図である。
図2において、パケット取得装置100、蓄積装置200、解析装置300、管理端末400は、コンピュータであり、プログラムを実行するCPU(Central Processing Unit)911を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、CRT表示装置901、K/B902、マウス903、FDD(Flexible Disk)904、CDD905、磁気ディスク装置920と接続されている。
RAM914は、揮発性メモリの一例である。ROM913、磁気ディスク装置920は、不揮発性メモリの一例である。これらは、記憶装置982の一例である。
通信ボード915は、LAN942等に接続されている。通信ボード915は、通信装置986の一例である。
また、K/B902、マウス903などは、入力装置984の一例である。
また、CPU911は、処理装置980の一例である。
FIG. 2 is a diagram illustrating an example of a hardware configuration of the
In FIG. 2, a
The
The
The K /
The CPU 911 is an example of a
磁気ディスク装置920には、オペレーティングシステム(OS)921、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923は、CPU911、OS921、ウィンドウシステム922により実行される。
The
上記プログラム群923には、以下に述べる実施の形態の説明において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、以下に述べる実施の形態の説明において、「暗号キー」、「ハッシュキー」として説明するものが、「〜ファイル」として記憶されている。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータの入出力を示し、そのデータの入出力のためにデータは、磁気ディスク装置920、FD、光ディスク、CD、MD(ミニディスク)、DVD(Digital Versatile Disk)等のその他の記録媒体に記録される。あるいは、信号線やその他の伝送媒体により伝送される。
The
In the
Also, the arrows in the flowcharts described in the following description of the embodiments mainly indicate data input / output, and the data for the data input / output is the
また、以下に述べる実施の形態の説明において「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、ハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。
In addition, what is described as “unit” in the description of the embodiment described below may be realized by firmware stored in the
また、以下に述べる実施の形態を実施するプログラムは、また、磁気ディスク装置920、FD、光ディスク、CD、MD、DVD等のその他の記録媒体による記録装置を用いて記憶されても構わない。
In addition, a program that implements the embodiment described below may be stored using a recording device using another recording medium such as the
実施の形態1.
次に、実施の形態1について説明する。実施の形態1では、ネットワークの所定の接続ポイントを流れるパケットを取得して蓄積し、解析するパケット解析システム1000について説明する。
Embodiment 1 FIG.
Next, the first embodiment will be described. In the first embodiment, a
パケット解析システム1000は、例えば、ネットワークを媒介した情報事故が発生した場合に、その情報事故の影響範囲、発生原因などの調査を行うためなどに使用するものである。
The
ネットワークを媒介した情報事故とは、例えば、個人情報の漏えい、ウイルス、スパム、Dos(Denial of Services)などの攻撃、会社内システムなどを踏み台にした第三者への攻撃、掲示板サイトへの誹謗中傷や不利益な内容の投稿、メール、WEBメールなどによる秘密情報の発信、ネットオークション、出会い系サイトなどネットワークの私的な利用、不注意でアクセスしたサイトからの不当な請求、会社名を偽った攻撃などがある。 Information accidents mediated by networks include, for example, personal information leaks, viruses, spam, attacks such as Dos (Denial of Services), attacks on third parties based on company systems, and attacks on bulletin board sites. Posting slander or unfavorable content, sending confidential information by e-mail, WEB mail, etc., private use of networks such as Internet auctions and dating sites, unjust charges from sites that were inadvertently accessed, falsely assuming the company name There are other attacks.
Firewall、IDS、コンテンツフィルタなどのシステムにより、このような情報事故が起きないようにする事前対策がとられる。しかし、上記システムなどを導入した場合であっても、情報事故を完全に防ぐことは困難である。そこで、情報事故が起こってしまった場合に、その被害を最小にする事後対策がとられる。ここで、被害とは、例えば、信用の失墜などである。事後対策は、例えば、端末のログを取得するソフトウェアなどを導入することが考えられる。 Prior measures are taken to prevent such information accidents by systems such as Firewall, IDS, and content filters. However, even when the above system is introduced, it is difficult to completely prevent information accidents. Therefore, in the event of an information accident, post-action measures are taken to minimize the damage. Here, the damage is, for example, a loss of trust. As a post-measure, for example, it is conceivable to introduce software that acquires a log of the terminal.
図3に基づき情報事故が発生した場合の対応の一例について説明する。図3は、情報事故が発生した場合の対応の一例を示す図である。ここでは、例えば、事後対策として端末のログを取得するソフトウェアなどが導入されているとする。
情報事故が発生した場合(1)、それが事実であるか否か、いつ、誰が、どこで、何を、どういう方法で行った結果なのかなどを調査し、顧客、ユーザ等に説明しなければならない(2)。この説明の質などにより、信用の失墜を防止できるか否かに影響する。そこで、例えば、端末のログを取得するソフトウェアなどにより取得されたログを解析するためにSE(System Engineer)を投入し、時間をかけて調査を実施する(3)。しかし、ログが散在しており、またログには必要な情報が十分に蓄積されていないため(4)、十分な調査が行えないことがある(5)。そのため、満足な説明ができないことがある(6)。その結果企業、団体等の信用を失墜させてしまうことがある(7)。
An example of a response when an information accident occurs will be described with reference to FIG. FIG. 3 is a diagram illustrating an example of a response when an information accident occurs. Here, for example, it is assumed that software for acquiring a log of the terminal is introduced as a post countermeasure.
When an information accident occurs (1), it is necessary to investigate whether it is a fact, when, who, where, what, and how it is done, and to explain to customers, users, etc. Do not become (2). The quality of this explanation affects whether or not the loss of trust can be prevented. Therefore, for example, SE (System Engineer) is introduced in order to analyze the log acquired by the software for acquiring the log of the terminal and the investigation is performed over time (3). However, since logs are scattered and necessary information is not sufficiently accumulated in the logs (4), sufficient investigation may not be performed (5). Therefore, there are cases where a satisfactory explanation cannot be made (6). As a result, the trust of companies, organizations, etc. may be lost (7).
ここで、ログには必要な情報が十分に蓄積されていないということについて、図4に基づき通常のメールサーバの通信ログを一例に説明をする。図4は、通常のメールサーバの通信ログの一例を示す図である。
図4に示すように、通常のメールサーバの通信ログでは、通信日時情報、From句、To句、Subject句などが記憶されている。ここで、例えば、個人情報の漏えいが発生した場合には、漏えいした個人情報の具体的内容を調査する必要がある。しかし、個人情報が記載されているのは、通常、メール本文、又は添付ファイルなどである。したがって、図4に示すような、通常のメールサーバの通信ログでは調査できない。
Here, the fact that necessary information is not sufficiently accumulated in the log will be described with reference to FIG. 4 as an example of a communication log of a normal mail server. FIG. 4 is a diagram illustrating an example of a communication log of a normal mail server.
As shown in FIG. 4, in a communication log of a normal mail server, communication date / time information, a From phrase, a To phrase, a Subject phrase, and the like are stored. Here, for example, when leakage of personal information occurs, it is necessary to investigate the specific content of the leaked personal information. However, personal information is usually written in the mail text or attached file. Therefore, it cannot be investigated with a communication log of a normal mail server as shown in FIG.
そこで、実施の形態1にかかるパケット解析システム1000では、図5に示すように、メール本文や添付ファイルなどを含む、通信したデータ全体を記憶する。図5は、パケット解析システム1000が記憶するデータの一例である。実施の形態1にかかるパケット解析システム1000では、通信したデータがすべて記憶されており、再現することが可能である。したがって、実施の形態1にかかるパケット解析システム1000によれば、メール本文や添付ファイル、又はその他の部分から個人情報が漏えいしたような場合であっても調査することが可能である。
Therefore, in the
次に、図6、図7に基づき実施の形態1にかかるパケット解析システム1000の概要について説明する。
図6は、パケット解析システム1000の動作の概要を示す図である。パケット解析システム1000は、ネットワークの所定の接続ポイントに接続される。パケット解析システム1000は、接続ポイントを流れるパケットを取得し、蓄積する。そして、パケット解析システム1000は、必要なときに蓄積されているパケットを復号し、データを再現して、検索、表示を行う。
図7は、パケット解析システム1000のパケット取得の概要を示す図である。パケット解析システム1000は、上述したようにネットワークの所定の接続ポイントに接続される。接続ポイントでは、パケット解析システム1000は、例えば、L2スイッチ943などにより接続される。パケット解析システム1000は、接続ポイントを流れるパケットをスイッチハブなどのポートミラー機能やリピータハブを使用して、ネットワーク上を流れるパケットの複製を作成し、複製したパケットが流れ込むように配線する。パケット解析システム1000は、パケットを中継することや、既存ネットワークに対してパケットを送出することを行わないので、既存システムに影響を与えることがない。
Next, an outline of the
FIG. 6 is a diagram showing an outline of the operation of the
FIG. 7 is a diagram showing an outline of packet acquisition of the
次に、図8、図9に基づき実施の形態1にかかるパケット解析システム1000の接続ポイントについて説明する。
図8は、パケット解析システム1000をインターネット940との接続ポイントに設置した例である。パケット解析システム1000をインターネット940との接続ポイントに設置することで、情報漏えいや社内から社外への攻撃などの外部への発信情報、ネットワークの私的利用、社外から社内への攻撃などが監視できる。また、ここでのトラフィックのほとんどは、SMTP(Simple Mail Transfer Protocol)とHTTP(HyperText Transfer Protocol)である。
図9は、パケット解析システム1000を共有サーバへの接続ポイントに設置した例である。パケット解析システム1000を共有サーバへの接続ポイントに設置することで、秘密情報へアクセスする情報の持ち出しやサーバへの不正アクセスなどを監視できる。ここでのトラフィックは、Windows(登録商標)ファイル共有の情報、HTTP、SMTP、POP(Post Office Protocol)、IMAP(Internet Message Access Protocol)、SQL(Structured Query Language)などの情報が流れ、多種多様なプロトコルが流れる。
Next, connection points of the
FIG. 8 shows an example in which the
FIG. 9 shows an example in which the
次に、図10に基づき実施の形態1にかかるパケット解析システム1000で解析するプロトコルについて説明する。図10は、パケット解析システム1000で解析するプロトコルの一例を示した図である。
パケット解析システム1000では、アプリケーション層、プレゼンテーション層、セッション層に該当するHTTP、SMTP、FTP(File Transfer Protocol)、POPや、トランスポート層に該当するTCP(Transmission Control Protocol)や、ネットワーク層に該当するIP(Internet Protocol)や、データリンク層に該当するETHERNET(登録商標)などを解析する。しかし、これに限られるわけではなく、パケット解析システム1000は、他のプロトコルも解析する。
Next, a protocol analyzed by the
The
次に、図11に基づきパケット解析システム1000のデータフローについて説明する。図11は、実施の形態1にかかるパケット解析システム1000のデータフローの一例を示す図である。
ここでは、パケット解析システム1000は、パケット取得装置100、蓄積装置200、解析装置300とを備える。ここでは、パケット取得装置100、蓄積装置200、解析装置300とは、それぞれ別の筐体であるとする。
パケット取得装置100は、図8、図9で説明したような接続ポイントでネットワークに接続されている。ここで、パケット取得装置100が接続されているネットワークは、第1ネットワーク10の一例である。パケット取得装置100は、接続ポイントを流れるパケットを取得し、記憶装置982に一時的に保管する。そして、パケット取得装置100は、一定量又は一定時間の単位でパケットをまとめて暗号化などしてアーカイブとして蓄積装置200へ送信する。
蓄積装置200は、パケット取得装置100と専用線(第2ネットワーク20の一例)などにより接続される。つまり、蓄積装置200は、パケット取得装置100がパケットを取得するネットワークとは別の接続線により接続される。蓄積装置200は、パケット取得装置100から受信した暗号化などされたパケットをNAS908などに備えられた記憶装置982に記憶する。また、蓄積装置200は、バックアップ装置などと接続され、記憶装置982に記憶したアーカイブデータをバックアップすることも可能である。
解析装置300は、蓄積装置200と専用線(第3ネットワーク30の一例)などにより接続される。つまり、解析装置300は、パケット取得装置100がパケットを取得するネットワークやパケット取得装置100と蓄積装置200とが接続される接続線とは別の接続線により接続される。解析装置300は、蓄積装置200が記憶装置982に記憶したアーカイブデータを読込む。次に、解析装置300は、アーカイブデータを解凍し、パケットを生成する。次に、解析装置300は、パケットを解析して復号することにより通信データを再現する。解析装置300は、再現した通信データを記憶装置982に記憶し、調査を行う際の検索対象とする。
パケット解析システム1000は、さらに、管理端末400を備えていても構わない。
管理端末400は、パケット取得装置100と蓄積装置200と解析装置300と接続される。管理端末400は、パケット取得装置100がパケットを取得するネットワークやパケット取得装置100と蓄積装置200とが接続される接続線や蓄積装置200と解析装置300とが接続される接続線とは別の接続線(第4ネットワーク40の一例)により接続される。管理端末400は、パケット取得装置100、蓄積装置200、解析装置300の管理をする。また、管理端末400は、解析装置300が記憶装置982に記憶した再現した通信データを検索し、WEBブラウザなどでデータを閲覧する。パケット解析システム1000は、例えば、管理端末400でのみ解析装置300が記憶装置982に記憶した再現した通信データの閲覧が可能であるとしても構わない。
Next, the data flow of the
Here, the
The
The
The
The
The
次に、図12に基づき実施の形態1にかかるパケット解析システム1000の機能について説明する。図12は、実施の形態1にかかるパケット解析システム1000の機能を示す機能ブロック図である。
Next, functions of the
パケット解析システム1000は、パケット取得装置100、蓄積装置200、解析装置300、管理端末400を備える。パケット取得装置100は第1ネットワーク10の接続ポイントに接続される。また、パケット取得装置100と蓄積装置200とは接続線(第2ネットワーク20の一例)により接続される。さらに、蓄積装置200と解析装置300とは接続線(第3ネットワーク30の一例)により接続される。また、さらに、管理端末400は、パケット取得装置100と蓄積装置200と解析装置300と接続線(第4ネットワーク40の一例)により接続される。
The
パケット取得装置100は、通信部110、情報付与部120、ファイル化部130、記憶部140、処理装置980、記憶装置982、通信装置986を備える。
通信部110は、パケット取得部112、送信部114を備える。パケット取得部112は、接続ポイントを流れるパケットを、通信装置986を介して取得する。パケット取得部112は、接続ポイントを流れるパケットをすべて取得しても、所定のプロトコルなどに限定して取得しても構わない。送信部114は、パケット取得部112が取得したパケットを蓄積装置200へ通信装置986を介して送信し、蓄積装置200に記憶させる。送信部114は、パケット取得装置100が備える以下の各機能が処理をした後のデータを蓄積装置200へ送信し、蓄積装置200に記憶させても構わない。
情報付与部120は、ハッシュキー付与部122、時刻付与部124を備える。ハッシュキー付与部122は、パケット取得部112が取得したパケットにハッシュキーを付与して記憶装置982に記憶する。ハッシュキー付与部122は、例えば、後述する第2ファイル化部134がファイル化した後の第2ファイルデータにハッシュキーを付与しても構わない。また、ハッシュキー付与部122は、入力データに対してハッシュキーを付与するものであって、入力データは何であっても構わない。時刻付与部124は、パケット取得部112が取得したパケットに、パケットを取得した時刻を付与して記憶装置982に記憶する。また、時刻付与部124は、入力データに対して時刻を付与するものであって、入力データは何であっても構わない。
ファイル化部130は、第1ファイル化部132、第2ファイル化部134、暗号化部136、圧縮部138を備える。第1ファイル化部132は、パケット取得部112が取得したパケットを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成して記憶装置982に記憶する。ここでは、第1ファイル化部132は、例えば、後述する第2ファイル化部134がファイル化処理して生成した第2ファイルデータを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成する。ここで所定の時間とは、例えば1分などである。また、第1ファイル化部132は、入力データを所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成するものであって、入力データは何であっても構わない。さらに、第1ファイル化部132は、ファイル化に伴って、圧縮処理を行っても構わない。第2ファイル化部134は、後述する一時記憶部142がパケットなどを記憶するバッファメモリの容量に基づき、パケットを1つのファイルとするファイル化処理を行い、第2ファイルデータを生成して記憶装置982に記憶する。第2ファイル化部134は、例えば、バッファメモリの容量がいっぱいになった場合に、記憶しているパケットを1ファイルとしてファイル化処理を行い、第2ファイルデータを生成する。また、第2ファイル化部134は、入力データをバッファメモリの容量に基づき1つのファイルとするファイル化処理を行い、第2ファイルデータを生成するものであって、入力データは何であっても構わない。暗号化部136は、パケット取得部112が取得したパケットを暗号化して記憶装置982に記憶する。暗号化部136は、第1ファイル化部132または第2ファイル化部134がファイル化した後の第1ファイルデータまたは第2ファイルデータを暗号化して記憶装置982に記憶しても構わない。また、暗号化部136は、入力データを暗号化するものであって、入力データは何であっても構わない。圧縮部138は、第2ファイル化部134がファイル化処理して生成した第2ファイルデータを圧縮し、圧縮ファイルを生成して記憶装置982に記憶する。また、圧縮部138は、入力データを圧縮するものであって、入力データは何であっても構わない。
記憶部140は、一時記憶部142を備える。一時記憶部142は、パケット取得部112が取得したパケットを一時的にバッファメモリに記憶する。バッファメモリは、記憶装置982の一例である。上記では、パケット取得装置100が備える各機能がそれぞれ生成物を記憶装置982に記憶したが、これに限られるわけではなく、一時記憶部142は、パケット取得装置100が備える各機能が生成した生成物を記憶装置982に記憶しても構わない。
The
The
The
The
The
蓄積装置200は、受信部210、パケット記憶部220、処理装置980、記憶装置982、通信装置986を備える。
受信部210は、送信部114が送信したデータを、通信装置986を介して受信する。
パケット記憶部220は、受信部210が受信したデータを記憶装置982に記憶する。
The
The
The
解析装置300は、パケット読込部310、復号部320、パケット解析部330、処理装置980、記憶装置982、入力装置984、通信装置986を備える。
パケット読込部310は、パケット記憶部220が記憶したパケットを、通信装置986を介して読込む。つまり、パケット読込部310は、パケット取得装置100の各機能が処理した後のデータを蓄積装置200から読込み記憶装置982に記憶する。
復号部320は、パケット読込部310が読込んだデータが暗号化されている場合、暗号化されたデータであるパケットを復号して記憶装置982に記憶する。
パケット解析部330は、パケット読込部310が読込んだパケットを処理装置980により解析する。パケット解析部330は、パケット読込部310が読込んだデータが暗号化されている場合、復号部320が復号したデータを解析する。ここで、解析するとは、例えば、パケットとして記憶されるデータを通信データとして再現することをいう。つまり、解析するとは、パケット単位に切られているデータを元の通信データに再現する一連の処理をいう。したがって、パケット単位に切られている状態では内容がわからないものが、解析することにより、内容を判別可能なデータとなる。パケット解析部330は、解析したデータを記憶装置982に記憶する。
The
The
When the data read by the
The
管理端末400は、パケット取得装置100、蓄積装置200、解析装置300の管理をする。また、管理端末400は、解析装置300が記憶装置982に記憶した再現した通信データを検索し、WEBブラウザなどでデータを表示装置に表示する。
The
次に、図13に基づき実施の形態1にかかるパケット解析システム1000の動作について説明する。図13は、実施の形態1にかかるパケット解析システム1000の動作を示すフローチャートである。
Next, the operation of the
まず、パケット取得装置100が実行するパケット取得処理において、初めに、パケット取得ステップ(S101)では、パケット取得部112は、パケット取得装置100が接続された接続ポイントを流れるパケットを取得する。一時記憶部142は、取得したパケットを記憶装置982に記憶する(一時記憶ステップ)。次に、時刻付与ステップ(S102)では、時刻付与部124は、パケットを取得した時刻をパケットに付与する。次に、第2ファイル化ステップ(S103)では、第2ファイル化部134は、バッファメモリの容量に基づき、パケットを1つのファイルにまとめるファイル化処理を行い、第2ファイルデータを生成する。次に、ハッシュキー付与ステップ(S104)では、ハッシュキー付与部122は、第2ファイルデータにハッシュキーを付与する。次に、圧縮ステップ(S105)では、圧縮部138は、ハッシュキーが付与された第2ファイルデータを圧縮し、圧縮ファイルを生成する。次に、暗号化ステップ(S106)では、暗号化部136は、圧縮ファイルを暗号化する。次に、第1ファイル化ステップ(S107)では、第1ファイル化部132は、暗号化されたデータを、所定の時間単位にさらに1つのファイルにまとめるファイル化処理を行い、第1ファイルデータを生成する。第1ファイル化部132は、ファイル化とともに、圧縮処理を行っても構わない。そして、送信ステップ(S108)では、送信部114は、第1ファイルデータを蓄積装置200へ送信する。
First, in the packet acquisition process executed by the
次に、蓄積装置200が実行する蓄積処理において、初めに、受信ステップ(S109)では、受信部210は、送信部114が送信した第1ファイルデータを受信する。そして、パケット記憶ステップ(S110)では、パケット記憶部220は、受信した第1ファイルデータをNAS908などが備える記憶装置982に記憶する。
Next, in the storage process executed by the
次に、解析装置300が実行する解析処理において、初めに、パケット読込ステップ(S111)では、パケット読込部310は、パケット記憶部220が記憶装置982に記憶した第1ファイルデータを読込む。次に、復号ステップ(S112)では、復号部320は、読込んだ第1ファイルデータからファイルを抽出し、暗号化されたデータを復号する。次に復号化ファイルを解凍する。そして、解析ステップ(S113)では、パケット解析部330は、復号したパケットを解析する。
Next, in the analysis process executed by the
上記パケット取得処理において、(S102)から(S107)までの処理は、上記順序に限定されるものではなく、どのような順序で実行しても構わない。例えば、(S102)から(S107)までを、(S102)、(S103)、(S107)、(S104)、(S106)、(S105)の順序としても構わない。
しかし、上記順序によれば、ハッシュキー付与部122は、第2ファイルデータにハッシュキーを付与する。したがって、小さい単位のデータに対してハッシュキーを付与することができる。そのため、データの改ざんを小さい単位で確認することができる。また、ハッシュキー付与部122は、パケット取得部112が取得したパケットに対して、処理を加える前のデータに対してハッシュキーを付与している。したがって、パケット取得装置100の内部処理による改ざんの可能性もない。つまり、ハッシュキー付与部122は、パケット取得部112が取得したパケットに対してハッシュキーを付与しても構わない。
さらに、圧縮部138は、暗号化される前のデータを圧縮している。これにより、暗号化された後に圧縮するよりも、圧縮率が高くなり、圧縮の効果が期待できる。
In the packet acquisition process, the processes from (S102) to (S107) are not limited to the above order, and may be executed in any order. For example, (S102) to (S107) may be in the order of (S102), (S103), (S107), (S104), (S106), and (S105).
However, according to the above order, the hash
Further, the
実施の形態1にかかるパケット解析システム1000によれば、所定の接続ポイントを流れるデータをすべて、又は所定の条件に基づき取得し、記憶し、解析することが可能である。したがって、実施の形態1にかかるパケット解析システム1000によれば、情報事故が起こった場合に調査をするのに必要かつ十分なデータを得ることが可能である。例えば、実施の形態1にかかるパケット解析システム1000によれば、通常のメールだけでなく、HTMLメールについても再現可能である。
According to the
また、実施の形態1にかかるパケット解析システム1000によれば、ハッシュキー付与部122が取得したデータにハッシュキーを付与することで、改ざんの有無を後から検証できる。さらに、実施の形態1にかかるパケット解析システム1000によれば、時刻付与部124がパケットを取得した時刻をパケットに付与することで、その時刻にデータが存在したことを示すことができる。したがって、実施の形態1にかかるパケット解析システム1000によれば、原本性と時刻保証がされているため、記憶したデータを法廷で証拠とできるほど確かな方法で管理可能である。つまり、実施の形態1にかかるパケット解析システム1000は、コンピュータフォレンジックとして利用可能であり、いわゆるフォレンジックサーバ、または、フォレンジックシステムである。
Further, according to the
また、実施の形態1にかかるパケット解析システム1000によれば、パケット取得装置100と蓄積装置200と解析装置300との筐体が分けられている。したがって、蓄積装置200については、特別に用意することなく、既存のNAS908などを使用することができる。そのため、実施の形態1にかかるパケット解析システム1000によれば、すべての機能を1つの筐体に備えている場合と比べ、コストの節約が可能である。また、記憶容量の拡張をすることも容易にできる。また、大量のデータを保存することが容易となり、データの長期間の保存が可能である。したがって、実施の形態1にかかるパケット解析システム1000によれば、情報事故の事後対策において、事故発覚後に、数ヶ月、数年といった過去に遡って調査することができる。
Further, according to the
また、実施の形態1にかかるパケット解析システム1000によれば、暗号化部136がデータを暗号化し、送信部114が暗号化されたデータを送信する。したがって、実施の形態1にかかるパケット解析システム1000によれば、パケット取得装置100と蓄積装置200との間の通信を傍受された場合などであっても、データの内容は秘匿される。さらに、実施の形態1において、パケット取得装置100と蓄積装置200との間の接続線は専用線としているため、パケット取得装置100と蓄積装置200との間の通信が傍受されることを防止できる。
ここで、実施の形態1にかかるパケット解析システム1000は、情報事故対策などに使用されるが、機密情報が含まれた情報を記録するシステムであるため、実施の形態1にかかるパケット解析システム1000自身が情報漏えいの源になる可能性がある。しかし、蓄積装置200は、暗号化されたデータを記憶する。したがって、蓄積装置200のデータを持ち出しされた場合などでも、不正に内容を閲覧することはできない。したがって、実施の形態1にかかるパケット解析システム1000が情報漏えいの源になることを防止できる。
さらに、暗号化に使用する暗号鍵をUSB(Universal Serial Bus)キーに記憶させておいても構わない。この場合、USBキーを削除することにより、データのリテンション(削除)も簡単、確実に行うことができる。
また、暗号化処理では、共通鍵暗号化方式および公開鍵暗号化方式により行うことも可能である。上記のようにUSBキーに暗号化、復号の鍵を記憶させ、処理を行う場合、公開鍵暗号化方式を用いる場合に比べ処理性能が優れている。
Further, according to the
Here, although the
Furthermore, an encryption key used for encryption may be stored in a USB (Universal Serial Bus) key. In this case, data retention (deletion) can be easily and reliably performed by deleting the USB key.
Further, the encryption process can be performed by a common key encryption method and a public key encryption method. As described above, when the encryption and decryption keys are stored in the USB key and processing is performed, the processing performance is superior to the case where the public key encryption method is used.
実施の形態2.
次に、実施の形態2について説明する。実施の形態1では、パケット解析システム1000は、パケット取得装置100と蓄積装置200と解析装置300との筐体が分けられているとした。実施の形態2では、パケット解析システム1000の他の筐体の分け方について説明する。
Embodiment 2. FIG.
Next, a second embodiment will be described. In the first embodiment, the
図14、図15、図16に基づき実施の形態2にかかるパケット解析システム1000の筐体の分け方の一例について説明する。
図14は、パケット取得装置100を第1筐体とし、蓄積装置200と解析装置300とを第2筐体とした例である。図15は、パケット取得装置100と蓄積装置200とを第1筐体とし、解析装置300を第2筐体とした例である。図16は、解析装置300を、再現装置350と検索装置360とに筐体を分け、筐体をパケット取得装置100と蓄積装置200と再現装置350と検索装置360との4つとした例である。
上記の筐体の分け方に限定されるわけではなく、その他の筐体の分け方でも構わない。
An example of how to divide the casing of the
FIG. 14 shows an example in which the
It is not necessarily limited to the above-described method of dividing the case, and other methods of dividing the case may be used.
実施の形態2にかかるパケット解析システム1000によれば、筐体が分割されているため、設備の増強などが容易に行える。つまり、実施の形態2にかかるパケット解析システム1000によれば、例えば、記憶容量を増やす可能性がある場合には、蓄積装置200を別筐体とすることで、蓄積装置200のみを増強することが可能である。また、複数箇所からパケットを取得したい場合には、パケット取得装置100を別筐体とすることで、パケット取得装置100のみを複数台にすることが可能である。
According to the
また、実施の形態2にかかるパケット解析システム1000によれば、図16に示すように、解析装置300を再現装置350と検索装置360とに分けることで、検索処理の増強を図りたい場合などには、検索装置360のみを複数台にすることが可能である。
Further, according to the
したがって、実施の形態2にかかるパケット解析システム1000によれば、設備の増強などをコストを抑えて行うことが可能である。
Therefore, according to the
実施の形態3.
次に、実施の形態3について説明する。実施の形態3では、複数のパケット取得装置100を備えるパケット解析システム1000について説明する。
Embodiment 3 FIG.
Next, Embodiment 3 will be described. In Embodiment 3, a
図17に基づき実施の形態3にかかるパケット解析システム1000の概要を説明する。図17は、実施の形態3にかかる複数のパケット取得装置100を備えるパケット解析システム1000の概要を示す図である。
図17において、パケット解析システム1000は、セグメント1に接続されているパケット取得装置A100Aと、セグメント2に接続されているパケット取得装置B100Bとを備える。その他、パケット解析システム1000は、蓄積装置200と解析装置300とを備える。
The outline of the
17, the
パケット取得装置A100Aとパケット取得装置B100Bとを異なるセグメントに接続することで、各セグメントを流れるパケットを取得することができる。例えば、図8、図9に示すように、インターネット940との接続ポイントと、共有サーバへの接続ポイントとのそれぞれにパケット取得装置100を接続することで、両方の接続ポイントを通るパケットを取得することができる。つまり、パケット取得装置100が複数存在する場合、各パケット取得装置100を異なる接続ポイントに接続することで、各接続ポイントを通ったデータを取得することができる。
また、実施の形態3にかかるパケット解析システム1000は、各パケット取得装置100が取得したパケットに、パケットを取得したパケット取得装置100を示す識別子を付与することで、蓄積装置200に記憶されている情報がどの接続ポイントを通った情報であるかを判別することが可能である。
By connecting the packet acquisition device A100A and the packet acquisition device B100B to different segments, packets flowing through each segment can be acquired. For example, as shown in FIGS. 8 and 9, a packet passing through both connection points is acquired by connecting the
Further, the
次に、図18に基づき実施の形態3にかかるパケット解析システム1000の機能について説明する。図18は、実施の形態3にかかるパケット解析システム1000の機能を示す機能ブロック図である。ここでは、実施の形態1にかかるパケット解析システム1000の機能と異なる部分についてのみ説明する。
Next, functions of the
実施の形態3にかかるパケット取得装置100の情報付与部120は、さらに、識別子付与部126を備える。識別子付与部126は、パケット取得部112が取得したパケットに、パケット取得装置100を識別する識別子を付与して記憶装置982に記憶する。つまり、識別子付与部126は、パケット取得部112が取得したパケットに、そのパケット取得部112を備えるパケット取得装置100の識別子を付与することで、蓄積装置200が記憶した情報がどのパケット取得装置100が取得したものであるかを判別できるようにしている。したがって、この場合、蓄積装置200が記憶した情報がどの接続ポイントを通った情報であるかを判別できる。また、識別子付与部126は、識別子として、例えばMACアドレスなどを付与する。
The
次に、図19に基づき実施の形態3にかかるパケット解析システム1000の動作について説明する。図19は、実施の形態3にかかるパケット解析システム1000の動作を示すフローチャートである。ここでは、実施の形態3にかかるパケット解析システム1000の動作と異なる部分についてのみ説明する。
Next, the operation of the
(S201)から(S203)までは、それぞれ、実施の形態1の(S101)から(S103)までと同様である。
識別子付与ステップ(S204)では、識別子付与部126は、パケット取得部112が取得したパケットに、パケット取得装置100を識別する識別子を付与する。ここでは、識別子付与部126は、第2ファイルデータに識別子を付与する。
(S205)から(S214)までは、それぞれ、実施の形態1の(S104)から(S113)までと同様である。
(S201) to (S203) are the same as (S101) to (S103) in the first embodiment, respectively.
In the identifier assigning step (S204), the
(S205) to (S214) are the same as (S104) to (S113) in the first embodiment, respectively.
ここで、識別子付与ステップ(S204)は上記順序で実行されることに限られるわけではなく、(S208)の後に実行されるなど、他の順序でも構わない。 Here, the identifier assigning step (S204) is not limited to being executed in the above order, but may be in another order such as being executed after (S208).
実施の形態3にかかるパケット解析システム1000によれば、複数の接続ポイントを流れるパケットを取得し、1つの蓄積装置200に記憶することができる。したがって、新たな接続ポイントを流れる情報を記憶したい場合に、パケット取得装置100のみを追加することで対応できる。また、セグメント毎にパケット取得装置100を分けることで、パケット取得装置100への負荷が軽減される。
According to the
また、実施の形態3にかかるパケット解析システム1000によれば、取得したパケットにパケット取得装置100の識別子を付与するため、調査をする際に、対象とするデータを、調査したい接続ポイントによって絞込みすることができる。
Further, according to the
実施の形態4.
次に、実施の形態4について説明する。実施の形態4では、管理端末400がパケットを検索などする動作などのログを取得するパケット解析システム1000について説明する。
Embodiment 4 FIG.
Next, a fourth embodiment will be described. In the fourth embodiment, a description will be given of a
図20に基づき実施の形態4にかかるパケット解析システム1000の機能について説明する。図20は、実施の形態4にかかるパケット解析システム1000の機能を示す機能ブロック図である。ここでは、実施の形態1にかかるパケット解析システム1000の機能と異なる部分についてのみ説明する。
Based on FIG. 20, functions of the
解析装置300は、さらに、ログ取得部340を備える。ログ取得部340は、パケット解析部330が解析したパケットへアクセスする操作を管理端末400から指示をされた場合に、操作のログを取得して記憶装置982に記憶する。ログ取得部340は、パケット解析部330が解析したパケットへアクセスするというデータの閲覧以外の操作についてもログを取得しても構わない。
The
パケット解析システム1000は、情報事故の対策などのために情報を記憶するものである。しかし、パケット解析システム1000は、多くの情報を記憶しているため、逆にパケット解析システム1000のデータを利用して情報事故が発生する可能性がある。そこで、実施の形態4にかかるパケット解析システム1000によれば、パケット解析システム1000のデータへのアクセスなどについてもログを取得することで、パケット解析システム1000のデータへのアクセスなどについても調査を行うことができる。
The
さらに、パケット解析システム1000は、パケット解析システム1000を使用するユーザに対して権限を付与する権限付与部を備えていても構わない。パケット解析システム1000は、例えば、システムの設定や権限の割当てなどを行うシステム管理者権限、パケット解析部330が解析したパケットを閲覧するデータ閲覧権限、ログ取得部340が取得したログを調査するログ監査権限などの権限を有し、権限付与部が各ユーザに割当てる。この場合に、例えば、1ユーザに対して1権限のみを与えるなどし、さらにセキュリティを高めることが可能である。
Furthermore, the
上記実施の形態にかかるパケット解析システム1000は、蓄積装置200の記憶装置982がいっぱいになってしまった場合には、古いデータから削除して新しいデータを記憶するディスクローテーションを行うものとしても構わない。
When the
さらに、上記実施の形態にかかるパケット解析システム1000は、ネットワークを介してデータを管理するが、必要なサービス以外のサービスを停止する等の設定をおこなっても構わない。また、管理端末400からの操作は、HTTPS(Hypertext Transfer Protocol Security)による暗号化通信としても構わない。
Furthermore, although the
また、さらに、パケット取得装置100のパケット取得ポートにステルス性を持たせることにより、サーバスキャンやホストスキャンなどに反応せず、存在を隠蔽するようにしても構わない。
Further, by providing stealth to the packet acquisition port of the
また、上記実施の形態にかかるパケット解析システム1000の解析装置300は、蓄積装置200が記憶したメール(SMTP及びPOP)データを、例えば、期間、クライアントのIPアドレス、クライアントのMACアドレス、サーバのIPアドレス、サーバのMACアドレス、サーバのポート、FROM句、TO句、RECEIVED句、MAILFROM句、RCPTTO句、CC句、SUBJECT句、添付ファイル名、メールサイズなどにより検索できるようにしても構わない。また、上記実施の形態にかかるパケット解析システム1000の解析装置300は、SMTPヘッダ、本文及び添付ファイルに対し、フリーキーワードによる全文検索をできるようにしても構わない。添付ファイルについては、添付ファイルの中身について検索することも可能であるとしても構わない。
Further, the
さらに、上記実施の形態にかかるパケット解析システム1000の解析装置300は、HTTP通信されているWEBデータはもちろん、ZIP圧縮され通信されているWEBデータについてもデータを再現できるようにしても構わない。また、POSTやGETなどによるデータのアップロードがあった場合、これらについても再現できるようにしても構わない。つまり、この場合、ファイルのアップロードについても再現することができるため、上述したWEBメールやオンラインストレージへのデータの送信についても再現することができる。
Furthermore, the
また、さらに、上記実施の形態にかかるパケット解析システム1000の解析装置300は、蓄積装置200が記憶したWEB(HTTP)データを、例えば、クライアントのIPアドレス、クライアントのMACアドレス、サーバのIPアドレス、サーバのMACアドレス、サーバのポート、URL(Uniform Resource Locator)、サイズなどにより検索できるようにしても構わない。また、上記実施の形態にかかるパケット解析システム1000の解析装置300は、HTTPヘッダ、本文及び添付ファイルに対し、フリーキーワードによる全文検索をできるようにしても構わない。添付ファイルについては、添付ファイルの中身について検索することも可能であるとしても構わない。
Further, the
また、上記実施の形態にかかるパケット解析システム1000の解析装置300は、TCP/IPによるFTP通信を再現できる。つまり上記実施の形態にかかるパケット解析システム1000の解析装置300は、転送されたファイルをも再現することができる。また、上記実施の形態にかかるパケット解析システム1000の解析装置300は、蓄積装置200が記憶したFTPデータを、例えば、期間、クライアントのIPアドレス、クライアントのMACアドレス、サーバのIPアドレス、サーバのMACアドレス、サーバのポート、サイズなどにより検索できるようにしても構わない。また、上記実施の形態にかかるパケット解析システム1000の解析装置300は、FTP通信に対し、フリーキーワードによる全文検索をできるようにしても構わない。さらに、上記実施の形態にかかるパケット解析システム1000の解析装置300は、検索の際、文字コードの判別を行うようにしても構わない。
Further, the
さらに、上記実施の形態にかかるパケット解析システム1000の解析装置300は、TCPストリームへの復号を行うようにしても構わない。また、TELNETなどの平分通信の内容を確認することができるようにしても構わない。さらに、FTPなどの複数セッションを使う通信では、個別のセッション毎に管理するようにしても構わない。また、さらに、HTTPSなどの暗号化通信は、通信日時、クライアント/サーバのIPアドレス、ポート、MACアドレスなどを閲覧可能としても構わない。さらに、HTTPSなどの暗号化通信の場合、本文は暗号化されているため、データを記録し、表示しても内容を判別できないようにしても、できるようにしても構わない。また、さらに、最適化されたデータベースを使用することにより、高速な検索を実現可能である。また、検索には、n−gram方式などのインターネット検索などで使用される高速、大量の検索処理を用いても構わない。
Furthermore, the
10 第1ネットワーク、20 第2ネットワーク、30 第3ネットワーク、40 第4ネットワーク、100 パケット取得装置、110 通信部、112 パケット取得部、114 送信部、120 情報付与部、122 ハッシュキー付与部、124 時刻付与部、126 識別子付与部、130 ファイル化部、132 第1ファイル化部、134 第2ファイル化部、136 暗号化部、138 圧縮部、140 記憶部、142 一時記憶部、200 蓄積装置、210 受信部、220 パケット記憶部、300 解析装置、310 パケット読込部、320 復号部、330 パケット解析部、340 ログ取得部、400 管理端末、901 CRT表示装置、902 K/B、903 マウス、904 FDD、905 CDD、908 NAS、909 システムユニット、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、916 サーバA、917 サーバB、918 サーバC、919 サーバD、920 磁気ディスク装置、921 OS、922 ウィンドウシステム、923 プログラム群、924 ファイル群、931 電話器、932 FAX機、940 インターネット、941 ゲートウェイ、942 LAN、980 処理装置、982 記憶装置、984 入力装置、986 通信装置。 10 first network, 20 second network, 30 third network, 40 fourth network, 100 packet acquisition device, 110 communication unit, 112 packet acquisition unit, 114 transmission unit, 120 information adding unit, 122 hash key adding unit, 124 Time giving unit, 126 identifier giving unit, 130 filing unit, 132 first filing unit, 134 second filing unit, 136 encryption unit, 138 compression unit, 140 storage unit, 142 temporary storage unit, 200 storage device, 210 reception unit, 220 packet storage unit, 300 analysis device, 310 packet reading unit, 320 decoding unit, 330 packet analysis unit, 340 log acquisition unit, 400 management terminal, 901 CRT display device, 902 K / B, 903 mouse, 904 FDD, 905 CDD, 908 N S, 909 system unit, 911 CPU, 912 bus, 913 ROM, 914 RAM, 915 communication board, 916 server A, 917 server B, 918 server C, 919 server D, 920 magnetic disk unit, 921 OS, 922 window system, 923 program group, 924 file group, 931 telephone, 932 FAX machine, 940 Internet, 941 gateway, 942 LAN, 980 processing device, 982 storage device, 984 input device, 986 communication device.
Claims (16)
ネットワークの所定の接続ポイントに接続されるとともに、蓄積装置と接続線を介して接続されるパケット取得装置と、蓄積装置と接続線を介して接続される解析装置とを備え、
パケット取得装置は、
上記接続ポイントを流れるパケットを取得するパケット取得部と、
上記パケット取得部が取得したパケットに、パケットを取得した時刻を付与する時刻付与部と、
上記時刻付与部が時刻を付与したパケットを所定のサイズ単位に1つのファイルとするファイル化処理を行い、第2ファイルデータを生成する第2ファイル化部と、
上記第2ファイル化部がファイル化処理して生成した第2ファイルデータにハッシュキーを付与するハッシュキー付与部と、
上記ハッシュキー付与部がハッシュキーを付与した第2ファイルデータを圧縮する圧縮部と、
上記圧縮部が圧縮した第2ファイルデータを暗号化する暗号化部と、
上記暗号化部が暗号化した第2ファイルデータを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成する第1ファイル化部と、
上記第1ファイル化部がファイル化処理して生成した第1ファイルデータを蓄積装置へ送信し、蓄積装置に記憶させる送信部とを備え、
解析装置は、
蓄積装置により記憶された第1ファイルデータを読込むパケット読込部と、
上記パケット読込部が読込んだ第1ファイルデータを解析するパケット解析部と
を備えることを特徴とするパケット解析システム。 In a packet analysis system that acquires packets flowing through the network and analyzes the packets,
Comprising Rutotomoni connected to a predetermined connection points of the network, a storage device and a packet acquisition device connected via a connection line, the analyzer and which is connected via a storage device and the connection line,
The packet acquisition device
A packet acquisition unit that get the packets flowing through the connection point,
A time giving unit for giving the packet acquisition time to the packet acquired by the packet acquisition unit;
A second filing unit for generating a second file data by performing a filing process in which the time giving unit assigns the packet to which the time is given to one file in a predetermined size unit;
A hash key assigning unit for assigning a hash key to the second file data generated by the second file generating unit by filing;
A compression unit that compresses the second file data to which the hash key assigning unit assigns the hash key;
An encryption unit for encrypting the second file data compressed by the compression unit;
A first filing unit that performs filing processing of the second file data encrypted by the encryption unit as one file at a predetermined time unit, and generates first file data;
The first filing unit sends the first file data generated by processing a file of the storage device, and a transmission unit to be stored in the storage device,
The analysis device
A packet reading unit for reading the first file data stored by the storage device;
Packet analysis system characterized Rukoto a packet analysis unit for the packet reading unit analyzes the first file data I read.
上記送信部は、上記パケット取得部が取得したパケットを、第2ネットワークを介して蓄積装置へ送信し、
上記パケット読込部は、蓄積装置により記憶されたパケットを、第3ネットワークを介して読込む
ことを特徴とする請求項1記載のパケット解析システム。 The packet acquisition device is connected to a predetermined connection point of the first network,
The transmission unit transmits the packet acquired by the packet acquisition unit to the storage device via the second network,
The packet analysis system according to claim 1, wherein the packet reading unit reads a packet stored by the storage device via a third network.
取得装置と蓄積装置と解析装置とへ指示をする管理端末を備え、
管理端末とパケット取得装置と蓄積装置と解析装置とは第4ネットワークで接続されることを特徴とする請求項2記載のパケット解析システム。 The packet analysis system further includes:
It has a management terminal that gives instructions to the acquisition device, storage device, and analysis device,
3. The packet analysis system according to claim 2, wherein the management terminal, the packet acquisition device, the storage device, and the analysis device are connected by a fourth network.
上記パケット解析部が解析したパケットへアクセスする操作を上記管理端末から指示をされた場合に、操作のログを取得して記憶装置に記憶するログ取得部
を備えることを特徴とする請求項3記載のパケット解析システム。 The analysis device further includes:
4. A log acquisition unit that acquires an operation log and stores it in a storage device when an instruction to access a packet analyzed by the packet analysis unit is given from the management terminal. Packet analysis system.
上記複数のパケット取得装置の各パケット取得装置は、それぞれ異なる接続ポイントに接続される
ことを特徴とする請求項1記載のパケット解析システム。 The packet analysis system includes a plurality of packet acquisition devices,
The packet analysis system according to claim 1, wherein each of the plurality of packet acquisition devices is connected to a different connection point.
上記パケット取得部が取得したパケットに、パケット取得装置を識別する識別子を付与する識別子付与部を備え、
上記第2ファイル化部は、上記時刻付与部が時刻を付与し、上記識別子付与部が識別子を付与したパケットを所定のサイズ単位に1つのファイルとするファイル化処理を行い、第2ファイルデータを生成する
ことを特徴とする請求項5記載のパケット解析システム。 The packet acquisition device further includes:
A packet the packet acquisition unit has acquired, with the identifier assignment part you grant identifiers identifying the packet acquisition device,
The second filing unit performs a filing process in which the time assigning unit assigns the time and the identifier assigning unit assigns the identifier to one file in a predetermined size unit. The packet analysis system according to claim 5 , wherein the packet analysis system is generated .
ことを特徴とする請求項6記載のパケット解析システム。 The packet analysis system according to claim 6 , wherein the identifier assigning unit assigns a MAC (Media Access Control) address as an identifier.
上記パケット取得部が取得したパケットを一時的にバッファメモリに記憶する一時記憶部を備え、
上記第2ファイル化部は、上記バッファメモリの容量単位に、パケットを1つのファイルとするファイル化処理を行い、第2ファイルデータを生成する
ことを特徴とする請求項1記載のパケット解析システム。 The packet acquisition device further includes:
A temporary storage unit that temporarily stores the packet acquired by the packet acquisition unit in a buffer memory;
2. The packet analysis system according to claim 1, wherein the second filing unit performs a filing process using a packet as one file in units of the capacity of the buffer memory to generate second file data.
ことを特徴とする請求項1記載のパケット解析システム。 The packet analysis system according to claim 1, wherein the first file conversion unit includes identification information that uniquely indicates a packet acquisition device in a file name of the generated first file data.
ネットワークの所定の接続ポイントに接続されるとともに、蓄積装置と接続線を介して接続されるパケット取得装置のパケット取得プログラムと、蓄積装置と接続線を介して接続される解析装置の解析プログラムとを備え、
パケット取得プログラムは、
上記接続ポイントを流れるパケットを取得するパケット取得ステップと、
上記パケット取得ステップで取得したパケットに、パケットを取得した時刻を付与する時刻付与ステップと、
時刻付与ステップで時刻を付与したパケットを所定のサイズ単位に1つのファイルとするファイル化処理を行い、第2ファイルデータを生成する第2ファイル化ステップと、
上記第2ファイル化ステップでファイル化処理して生成した第2ファイルデータにハッシュキーを付与するハッシュキー付与ステップと、
上記ハッシュキー付与ステップでハッシュキーを付与した第2ファイルデータを圧縮する圧縮ステップと、
上記圧縮ステップで圧縮した第2ファイルデータを暗号化する暗号化ステップと、
上記暗号化ステップで暗号化した第2ファイルデータを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成する第1ファイル化ステップと、
上記第1ファイル化ステップでファイル化処理して生成した第1ファイルデータを蓄積装置へ送信し、蓄積装置に記憶させる送信ステップとをコンピュータに実行させ、
解析プログラムは、
蓄積装置により記憶された第1ファイルデータを読込むパケット読込ステップと、
上記パケット読込ステップで読込んだ第1ファイルデータを解析するパケット解析ステップと
をコンピュータに実行させることを特徴とするパケット解析プログラム。 In the packet analysis program of the packet analysis system that acquires packets flowing through the network and analyzes the packets,
It is connected to the predetermined connection points in the network Rutotomoni, a packet acquisition program of the packet acquisition device connected via the storage device and the connection line, and an analysis program for analyzing device connected via the connecting line and the storage device Prepared,
The packet acquisition program
A packet acquisition step get the packets flowing through the connection point,
A time granting step for giving the packet acquisition time to the packet acquired in the packet acquisition step;
A second file forming step for generating a second file data by performing a filing process in which the packet to which time is given in the time giving step is made into one file in a predetermined size unit;
A hash key assigning step for assigning a hash key to the second file data generated by filing in the second file creation step;
A compression step of compressing the second file data to which the hash key is assigned in the hash key assignment step;
An encryption step for encrypting the second file data compressed in the compression step;
A first file conversion step for generating a first file data by performing a file conversion process in which the second file data encrypted in the encryption step is converted into a single file in a predetermined time unit;
Sends the first file data generated by processing filed in the first file of the step to the storage device, to execute a transmission step of storing in the storage device to the computer,
The analysis program is
A packet reading step for reading the first file data stored by the storage device;
A packet analysis program for causing a computer to execute a packet analysis step of analyzing the first file data read in the packet reading step.
上記パケット取得ステップで取得したパケットに、パケット取得装置を識別する識別子を付与する識別子付与ステップをコンピュータに実行させ、
上記第2ファイル化ステップでは、上記時刻付与ステップで時刻を付与し、上記識別子付与ステップで識別子を付与したパケットを所定のサイズ単位に1つのファイルとするファイル化処理を行い、第2ファイルデータを生成する
ことを特徴とする請求項10記載のパケット解析プログラム。 The packet acquisition program further includes:
Causing the computer to execute an identifier giving step for giving an identifier for identifying the packet acquisition device to the packet acquired in the packet acquisition step;
In the second filing step, a filing process is performed in which the time is given in the time giving step, the packet to which the identifier is given in the identifier giving step is made into one file in a predetermined size unit, and the second file data is The packet analysis program according to claim 10 , wherein the packet analysis program is generated .
ことを特徴とする請求項11記載のパケット解析プログラム。 12. The packet analysis program according to claim 11 , wherein, in the identifier assigning step, a MAC (Media Access Control) address is assigned as an identifier.
上記パケット取得ステップで取得したパケットを一時的にバッファメモリに記憶する一時記憶ステップと、
上記第2ファイル化ステップでは、上記バッファメモリの容量単位に、パケットを1つのファイルとするファイル化処理を行い、第2ファイルデータを生成する
ことを特徴とする請求項10記載のパケット解析プログラム。 The packet acquisition program further includes:
A temporary storage step of temporarily storing the packet acquired in the packet acquisition step in a buffer memory;
11. The packet analysis program according to claim 10, wherein, in the second file creation step, file processing is performed with a packet as one file for each capacity unit of the buffer memory to generate second file data.
ことを特徴とする請求項13記載のパケット解析プログラム。The packet analysis program according to claim 13.
ネットワークの所定の接続ポイントに接続されるとともに、蓄積装置と接続線を介して接続されるパケット取得装置が実行するパケット取得処理と、蓄積装置と接続線を介して接続される解析装置が実行する解析処理とを備え、
パケット取得処理は、
上記接続ポイントを流れるパケットを取得するパケット取得ステップと、
上記パケット取得ステップで取得したパケットに、パケットを取得した時刻を付与する時刻付与ステップと、
時刻付与ステップで時刻を付与したパケットを所定のサイズ単位に1つのファイルとするファイル化処理を行い、第2ファイルデータを生成する第2ファイル化ステップと、
上記第2ファイル化ステップでファイル化処理して生成した第2ファイルデータにハッシュキーを付与するハッシュキー付与ステップと、
上記ハッシュキー付与ステップでハッシュキーを付与した第2ファイルデータを圧縮する圧縮ステップと、
上記圧縮ステップで圧縮した第2ファイルデータを暗号化する暗号化ステップと、
上記暗号化ステップで暗号化した第2ファイルデータを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成する第1ファイル化ステップと、
上記第1ファイル化ステップでファイル化処理して生成した第1ファイルデータを蓄積装置へ送信し、蓄積装置に記憶させる送信ステップとを備え、
解析処理は、
蓄積装置により記憶された第1ファイルデータを読込むパケット読込ステップと、
上記パケット読込ステップで読込んだ第1ファイルデータを解析するパケット解析ステップと
を備えることを特徴とするパケット解析方法。 In the packet analysis method of the packet analysis system that acquires packets flowing through the network and analyzes the packets,
Is connected to the predetermined connection points in the network Rutotomoni, a storage device and a packet acquisition processing packet acquisition unit executes connected via a connection line, the analysis device connected via the storage device and the connection line to be executed With analysis processing,
The packet acquisition process
A packet acquisition step of acquiring a packet flowing through the connection point;
A time granting step for giving the packet acquisition time to the packet acquired in the packet acquisition step;
A second file forming step for generating a second file data by performing a filing process in which the packet to which time is given in the time giving step is made into one file in a predetermined size unit;
A hash key assigning step for assigning a hash key to the second file data generated by filing in the second file creation step;
A compression step of compressing the second file data to which the hash key is assigned in the hash key assignment step;
An encryption step for encrypting the second file data compressed in the compression step;
A first file conversion step for generating a first file data by performing a file conversion process in which the second file data encrypted in the encryption step is converted into a single file in a predetermined time unit;
Sends the first file data generated by processing filed in the first file of the step to the storage device, and a transmission step of storing in the storage device,
The analysis process
A packet reading step for reading the first file data stored by the storage device;
Packet analysis method comprising Rukoto a packet analysis step of analyzing the first file data I read in the packet reading step.
上記接続ポイントを流れるパケットを取得するパケット取得部と、A packet acquisition unit for acquiring a packet flowing through the connection point;
上記パケット取得部が取得したパケットに、パケットを取得した時刻を付与する時刻付与部と、A time giving unit for giving the packet acquisition time to the packet acquired by the packet acquisition unit;
上記時刻付与部が時刻を付与したパケットを所定のサイズ単位に1つのファイルとするファイル化処理を行い、第2ファイルデータを生成する第2ファイル化部と、A second filing unit for generating a second file data by performing a filing process in which the time giving unit assigns the packet to which the time is given to one file in a predetermined size unit;
上記第2ファイル化部がファイル化処理して生成した第2ファイルデータにハッシュキーを付与するハッシュキー付与部と、A hash key assigning unit for assigning a hash key to the second file data generated by the second file generating unit by filing;
上記ハッシュキー付与部がハッシュキーを付与した第2ファイルデータを圧縮する圧縮部と、A compression unit that compresses the second file data to which the hash key assigning unit assigns the hash key;
上記圧縮部が圧縮した第2ファイルデータを暗号化する暗号化部と、An encryption unit for encrypting the second file data compressed by the compression unit;
上記暗号化部が暗号化した第2ファイルデータを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成する第1ファイル化部と、A first filing unit that performs filing processing of the second file data encrypted by the encryption unit as one file at a predetermined time unit, and generates first file data;
上記第1ファイル化部がファイル化処理して生成した第1ファイルデータを蓄積装置へ送信し、蓄積装置に記憶させる送信部とA transmission unit configured to transmit the first file data generated by the first filing unit to the storage device and store the first file data in the storage device;
を備えることを特徴とするパケット取得装置。A packet acquisition apparatus comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005364741A JP4699893B2 (en) | 2005-12-19 | 2005-12-19 | Packet analysis system, packet analysis program, packet analysis method, and packet acquisition device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005364741A JP4699893B2 (en) | 2005-12-19 | 2005-12-19 | Packet analysis system, packet analysis program, packet analysis method, and packet acquisition device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007173931A JP2007173931A (en) | 2007-07-05 |
JP4699893B2 true JP4699893B2 (en) | 2011-06-15 |
Family
ID=38299965
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005364741A Active JP4699893B2 (en) | 2005-12-19 | 2005-12-19 | Packet analysis system, packet analysis program, packet analysis method, and packet acquisition device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4699893B2 (en) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5014199B2 (en) * | 2008-02-29 | 2012-08-29 | 三菱電機株式会社 | Communication recording apparatus, communication data processing method, and communication data processing program |
JP5991908B2 (en) * | 2012-12-11 | 2016-09-14 | 東日本電信電話株式会社 | Log generator |
KR101836016B1 (en) * | 2013-11-06 | 2018-03-07 | 맥아피, 엘엘씨 | Context-aware network forensics |
WO2015198600A1 (en) | 2014-06-26 | 2015-12-30 | 日本電気株式会社 | Analysis device, analysis method, and storage medium in which analysis program is recorded |
JP6451359B2 (en) * | 2015-02-03 | 2019-01-16 | 富士通株式会社 | Communication recording apparatus, communication recording system, communication recording program, and communication recording method |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11163942A (en) * | 1997-09-19 | 1999-06-18 | Hitachi Ltd | Method and device for connection switch network control |
JP2000216779A (en) * | 1999-01-20 | 2000-08-04 | Nec Corp | Transfer system for management system data in data communication network |
JP2001094602A (en) * | 1999-09-24 | 2001-04-06 | Mitsubishi Electric Corp | Illegal access detector |
JP2002111667A (en) * | 2000-10-02 | 2002-04-12 | Yokogawa Electric Corp | Log storage unit |
JP2004086880A (en) * | 2002-06-28 | 2004-03-18 | Oki Electric Ind Co Ltd | Warning system, wide range network protection system, illegal access track method, illegal access detection system, security management method and attack protection method |
JP2004208235A (en) * | 2002-12-26 | 2004-07-22 | Matsushita Electric Ind Co Ltd | Remote monitoring control system, device under monitor, monitoring device, and data collecting method for device information |
JP2005318222A (en) * | 2004-04-28 | 2005-11-10 | Mitsubishi Electric Corp | System and method for packet transmission |
JP2005323322A (en) * | 2004-04-08 | 2005-11-17 | Hitachi Ltd | System for storing and analyzing log information |
-
2005
- 2005-12-19 JP JP2005364741A patent/JP4699893B2/en active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11163942A (en) * | 1997-09-19 | 1999-06-18 | Hitachi Ltd | Method and device for connection switch network control |
JP2000216779A (en) * | 1999-01-20 | 2000-08-04 | Nec Corp | Transfer system for management system data in data communication network |
JP2001094602A (en) * | 1999-09-24 | 2001-04-06 | Mitsubishi Electric Corp | Illegal access detector |
JP2002111667A (en) * | 2000-10-02 | 2002-04-12 | Yokogawa Electric Corp | Log storage unit |
JP2004086880A (en) * | 2002-06-28 | 2004-03-18 | Oki Electric Ind Co Ltd | Warning system, wide range network protection system, illegal access track method, illegal access detection system, security management method and attack protection method |
JP2004208235A (en) * | 2002-12-26 | 2004-07-22 | Matsushita Electric Ind Co Ltd | Remote monitoring control system, device under monitor, monitoring device, and data collecting method for device information |
JP2005323322A (en) * | 2004-04-08 | 2005-11-17 | Hitachi Ltd | System for storing and analyzing log information |
JP2005318222A (en) * | 2004-04-28 | 2005-11-10 | Mitsubishi Electric Corp | System and method for packet transmission |
Also Published As
Publication number | Publication date |
---|---|
JP2007173931A (en) | 2007-07-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11989323B1 (en) | Information security implementations with extended capabilities | |
US8504681B1 (en) | Method, system, and storage medium for adaptive monitoring and filtering traffic to and from social networking sites | |
US9043587B1 (en) | Computer security threat data collection and aggregation with user privacy protection | |
US20200052983A1 (en) | Data leakage protection in cloud applications | |
JP5598547B2 (en) | Access restriction device, access restriction program, and access restriction method | |
US20080098237A1 (en) | Secure e-mail services system and methods implementing inversion of security control | |
EP1854243B1 (en) | Mapping an encrypted https network packet to a specific url name and other data without decryption outside of a secure web server | |
US20090287788A1 (en) | Network asset tracker | |
US20030204741A1 (en) | Secure PKI proxy and method for instant messaging clients | |
US20060010322A1 (en) | Record management of secured email | |
JP2008299617A (en) | Information processing device, and information processing system | |
CN111030963B (en) | Document tracking method, gateway equipment and server | |
US10298401B1 (en) | Network content search system and method | |
WO2020036024A1 (en) | System and method for secret sharing of files | |
JP4699893B2 (en) | Packet analysis system, packet analysis program, packet analysis method, and packet acquisition device | |
CN111241104A (en) | Operation auditing method and device, electronic equipment and computer-readable storage medium | |
Sharma et al. | A comprehensive review on encryption based open source cyber security tools | |
US20160212082A1 (en) | System and method for securing electronic messages | |
JP2008219742A (en) | Attached file encryption method and mail server implementing the same method | |
Sahoo et al. | Research issues on windows event log | |
Akinbi et al. | Forensic analysis of open-source XMPP/Jabber multi-client instant messaging apps on Android smartphones | |
CN112104590B (en) | Method and system for detecting private connection of network equipment in private network to public network | |
JP4660658B1 (en) | Communication information analysis system | |
Hopkins et al. | Redefining privacy and security in the electronic communication age: A lawyer's ethical duty in the virtual world of the Internet | |
US7752657B2 (en) | Data processing system and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081216 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101015 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101026 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101221 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110301 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110303 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4699893 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |