JP4699893B2 - Packet analysis system, packet analysis program, packet analysis method, and packet acquisition device - Google Patents

Packet analysis system, packet analysis program, packet analysis method, and packet acquisition device Download PDF

Info

Publication number
JP4699893B2
JP4699893B2 JP2005364741A JP2005364741A JP4699893B2 JP 4699893 B2 JP4699893 B2 JP 4699893B2 JP 2005364741 A JP2005364741 A JP 2005364741A JP 2005364741 A JP2005364741 A JP 2005364741A JP 4699893 B2 JP4699893 B2 JP 4699893B2
Authority
JP
Japan
Prior art keywords
packet
unit
file
storage device
file data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005364741A
Other languages
Japanese (ja)
Other versions
JP2007173931A (en
Inventor
十郎 鷲尾
康 池上
漱仁 坂本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Space Software Co Ltd
Original Assignee
Mitsubishi Space Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Space Software Co Ltd filed Critical Mitsubishi Space Software Co Ltd
Priority to JP2005364741A priority Critical patent/JP4699893B2/en
Publication of JP2007173931A publication Critical patent/JP2007173931A/en
Application granted granted Critical
Publication of JP4699893B2 publication Critical patent/JP4699893B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、例えば、ネットワークを流れる情報を解析する情報管理などに関するものである。   The present invention relates to information management for analyzing information flowing through a network, for example.

従来から、個人情報の漏えい、不正アクセスなどによる情報漏えいなどの情報事故を防止するため情報管理が行われている。例えば、従来は、Firewall、IDS(Intrusion Detection System)、コンテンツフィルタなどにより、情報事故の発生を防ぐシステムがある。
また、従来は、情報事故が発生した場合に、情報事故の内容を調査するために、端末のログを取得することが行われている。
特開2004−140618号公報
Conventionally, information management has been performed to prevent information accidents such as leakage of personal information and information leakage due to unauthorized access. For example, conventionally, there are systems that prevent the occurrence of information accidents by using Firewall, IDS (Intrusion Detection System), content filters, and the like.
Conventionally, when an information accident occurs, a terminal log is acquired in order to investigate the contents of the information accident.
Japanese Patent Laid-Open No. 2004-140618

従来の情報事故の発生を防ぐシステムなどを導入した場合であっても、完全に情報事故を防ぐことは困難である。そして、従来の情報事故が発生した場合の事後的な対応では、端末のログ情報などから調査できる情報は限られており、必要な情報を十分に得ることは難しいという課題があった。さらに、端末のログ情報などの調査をするには、相応の技術が必要であり、調査のため多くのコストが必要であるという課題があった。
本発明は、例えば、情報事故が発生した場合の調査に十分な情報を残すこと、および、簡単な操作で検索、閲覧ができることを目的とする。また、導入したシステムの設備の増強等を容易とすることを目的とする。
Even when a conventional system for preventing an information accident is introduced, it is difficult to completely prevent an information accident. In the ex-post response when a conventional information accident occurs, the information that can be investigated from the log information of the terminal is limited, and there is a problem that it is difficult to obtain sufficient information. Furthermore, in order to investigate the log information of the terminal, there is a problem that a corresponding technique is necessary, and a lot of cost is necessary for the investigation.
An object of the present invention is, for example, to leave sufficient information for investigation when an information accident occurs, and to be able to search and browse by a simple operation. It is also intended to facilitate the enhancement of the installed system facilities.

本発明の実施の形態にかかるパケット解析システムは、ネットワークを流れるパケットを取得し、パケットを解析するパケット解析システムにおいて、
ネットワークの所定の接続ポイントに接続され、蓄積装置と接続線を介して接続されるパケット取得装置と、蓄積装置と接続線を介して接続される解析装置とを備え、
パケット取得装置は、上記接続ポイントを流れるパケットを、通信装置を介して取得するパケット取得部と、上記パケット取得部が取得したパケットを蓄積装置へ通信装置を介して送信し、蓄積装置に記憶させる送信部とを有し、
解析装置は、蓄積装置により記憶されたパケットを、通信装置を介して読込むパケット読込部と、上記パケット読込部が読込んだパケットを処理装置により解析するパケット解析部とを有することを特徴とする。
A packet analysis system according to an embodiment of the present invention acquires a packet flowing through a network and analyzes the packet.
A packet acquisition device connected to a predetermined connection point of the network and connected to the storage device via a connection line; and an analysis device connected to the storage device via a connection line;
The packet acquisition device transmits a packet flowing through the connection point via a communication device, and transmits the packet acquired by the packet acquisition unit to the storage device via the communication device, and stores the packet in the storage device. A transmission unit,
The analysis device includes a packet reading unit that reads a packet stored by the storage device via a communication device, and a packet analysis unit that analyzes the packet read by the packet reading unit by the processing device. To do.

また、上記パケット取得装置は、第1ネットワークの所定の接続ポイントに接続され、上記送信部は、上記パケット取得部が取得したパケットを、第2ネットワークを介して蓄積装置へ送信し、上記パケット読込部は、蓄積装置により記憶されたパケットを、第3ネットワークを介して読込むことを特徴とする。   The packet acquisition device is connected to a predetermined connection point of the first network, and the transmission unit transmits the packet acquired by the packet acquisition unit to the storage device via the second network, and reads the packet. The unit reads the packet stored by the storage device via the third network.

また、上記パケット解析システムは、さらに、取得装置と蓄積装置と解析装置とへ指示をする管理端末を備え、管理端末とパケット取得装置と蓄積装置と解析装置とは第4ネットワークで接続されることを特徴とする。   The packet analysis system further includes a management terminal that gives instructions to the acquisition device, the storage device, and the analysis device, and the management terminal, the packet acquisition device, the storage device, and the analysis device are connected by a fourth network. It is characterized by.

また、上記パケット解析システムは、複数のパケット取得装置を備え、上記複数のパケット取得装置の各パケット取得装置は、それぞれ異なる接続ポイントに接続されることを特徴とする。   The packet analysis system includes a plurality of packet acquisition devices, and each packet acquisition device of the plurality of packet acquisition devices is connected to a different connection point.

また、上記パケット取得装置は、さらに、上記パケット取得部が取得したパケットにハッシュキーを付与して記憶装置に記憶するハッシュキー付与部を備え、上記送信部は、上記ハッシュキー付与部がハッシュキーを付与したパケットを蓄積装置へ送信し、蓄積装置に記憶させることを特徴とする。   The packet acquisition device further includes a hash key assignment unit that assigns a hash key to the packet acquired by the packet acquisition unit and stores the hash key in a storage device, and the transmission unit includes the hash key assignment unit. Is transmitted to the storage device and stored in the storage device.

また、上記パケット取得装置は、さらに、上記パケット取得部が取得したパケットに、パケットを取得した時刻を付与して記憶装置に記憶する時刻付与部を備え、上記送信部は、上記時刻付与部が時刻を付与したパケットを蓄積装置へ送信し、蓄積装置に記憶させることを特徴とする。   In addition, the packet acquisition device further includes a time grant unit that assigns a packet acquisition time to the packet acquired by the packet acquisition unit and stores the packet in a storage device, and the transmission unit includes the time grant unit. A packet with time is transmitted to a storage device and stored in the storage device.

また、上記パケット取得装置は、さらに、上記パケット取得部が取得したパケットに、パケット取得装置を識別する識別子を付与して記憶装置に記憶する識別子付与部を備え、上記送信部は、上記識別子付与部が識別子を付与したパケットを蓄積装置へ送信し、蓄積装置に記憶させることを特徴とする。   The packet acquisition device further includes an identifier adding unit that assigns an identifier for identifying the packet acquisition device to the packet acquired by the packet acquisition unit and stores the identifier in the storage device. The unit transmits the packet with the identifier to the storage device and stores the packet in the storage device.

また、上記識別子付与部は、識別子としてMAC(Media Access Control)アドレスを付与することを特徴とする。   The identifier assigning unit assigns a MAC (Media Access Control) address as an identifier.

また、上記パケット取得装置は、さらに、上記パケット取得部が取得したパケットを暗号化して記憶装置に記憶する暗号化部を備え、上記送信部は、上記暗号化部が暗号化したパケットを蓄積装置へ送信し、蓄積装置に記憶させることを特徴とする。   The packet acquisition device further includes an encryption unit that encrypts the packet acquired by the packet acquisition unit and stores the encrypted packet in a storage device, and the transmission unit stores the packet encrypted by the encryption unit. And stored in a storage device.

また、上記パケット読込部は、蓄積装置により記憶された暗号化されたパケットを読込み、上記解析装置は、さらに、上記パケット読込部が読込んだ暗号化されたパケットを復号して記憶装置に記憶する復号部を備え、上記パケット解析部は、上記復号部が復号したパケットを解析することを特徴とする。   The packet reading unit reads the encrypted packet stored by the storage device, and the analysis device further decrypts the encrypted packet read by the packet reading unit and stores it in the storage device. And the packet analysis unit analyzes the packet decoded by the decoding unit.

また、上記解析装置は、さらに、上記パケット解析部が解析したパケットへアクセスする操作を上記管理端末から指示をされた場合に、操作のログを取得して記憶装置に記憶するログ取得部を備えることを特徴とする。   The analysis device further includes a log acquisition unit that acquires an operation log and stores the operation log in a storage device when an instruction to access the packet analyzed by the packet analysis unit is given from the management terminal. It is characterized by that.

また、上記パケット取得装置は、さらに、上記パケット取得部が取得したパケットを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成して記憶装置に記憶する第1ファイル化部を備え、上記送信部は、上記第1ファイル化部がファイル化処理して生成した第1ファイルデータを蓄積装置へ送信し、蓄積装置に記憶させることを特徴とする。   In addition, the packet acquisition device further performs a filing process in which the packet acquired by the packet acquisition unit is converted into one file at a predetermined time unit, generates first file data, and stores the first file data in the storage device. One file conversion unit is provided, and the transmission unit transmits the first file data generated by the first file conversion unit as a file, and stores the first file data in the storage device.

また、上記パケット取得装置は、さらに、上記パケット取得部が取得したパケットを一時的にバッファメモリに記憶する一時記憶部と、上記バッファメモリの容量に基づき、パケットを1つのファイルとするファイル化処理を行い、第2ファイルデータを生成して記憶装置に記憶する第2ファイル化部を備え、上記第1ファイル化部は、上記第2ファイル化部がファイル化処理して生成した第2ファイルデータを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成することを特徴とする。   Further, the packet acquisition device further includes a temporary storage unit that temporarily stores the packet acquired by the packet acquisition unit in a buffer memory, and a filing process in which the packet is made into one file based on the capacity of the buffer memory. 2nd file data which generates 2nd file data and memorizes it in a storage device, The 1st file conversion part is the 2nd file data which the 2nd file conversion part generated by file conversion processing The first file data is generated by performing a filing process to make one file in a predetermined time unit.

また、上記パケット取得装置は、さらに、上記第2ファイル化部がファイル化処理して生成した第2ファイルデータを圧縮し、圧縮ファイルを生成して記憶装置に記憶する圧縮部を備え、上記第1ファイル化部は、上記圧縮部が圧縮して生成した圧縮ファイルを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成することを特徴とする。   In addition, the packet acquisition device further includes a compression unit that compresses the second file data generated by the second file conversion unit and generates the compressed file and stores the compressed file in a storage device. The one-file conversion unit is characterized in that the first file data is generated by performing a file conversion process in which the compressed file generated by the compression unit is converted into one file in a predetermined time unit.

また、上記パケット取得装置は、さらに、上記第2ファイル化部がファイル化処理して生成した第2ファイルデータにハッシュキーを付与して記憶装置に記憶するハッシュキー付与部を備え、上記第1ファイル化部は、上記ハッシュキー付与部がハッシュキーを付与した第2ファイルデータを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成することを特徴とする。   Further, the packet acquisition device further includes a hash key assigning unit that assigns a hash key to the second file data generated by the second file generation unit as a file, and stores the hash key in a storage device. The filing unit performs the filing process by converting the second file data to which the hash key assigning unit has added the hash key into one file at a predetermined time unit, and generates the first file data. .

また、上記第1ファイル化部は、生成した第1ファイルデータのファイル名にパケット取得装置を一意に示す識別情報を含めることを特徴とする。   The first filing unit includes identification information that uniquely indicates the packet acquisition device in the file name of the generated first file data.

また、本発明の実施の形態にかかるパケット解析システムは、ネットワークを流れるパケットを取得し、パケットを解析するパケット解析システムにおいて、
ネットワークを流れるパケットを、通信装置を介して取得するパケット取得部と、上記パケット取得部が取得したパケットを記憶装置に記憶するパケット記憶部と、上記パケット記憶部が記憶したパケットを処理装置により解析するパケット解析部とを備え、上記パケット取得部と上記パケット記憶部と上記パケット解析部とはネットワークにより接続される複数の装置により備えられることを特徴とする。
Further, the packet analysis system according to the exemplary embodiment of the present invention acquires a packet flowing through a network and analyzes the packet.
A packet acquisition unit that acquires a packet flowing through a network via a communication device, a packet storage unit that stores the packet acquired by the packet acquisition unit in a storage device, and a packet that is stored in the packet storage unit is analyzed by a processing device A packet analyzer, and the packet acquisition unit, the packet storage unit, and the packet analyzer are provided by a plurality of devices connected by a network.

また、本発明の実施の形態にかかるパケット解析方法は、ネットワークを流れるパケットを取得し、パケットを解析するパケット解析システムのパケット解析方法において、
ネットワークの所定の接続ポイントに接続され、蓄積装置と接続線を介して接続されるパケット取得装置が実行するパケット取得処理と、蓄積装置と接続線を介して接続される解析装置が実行する解析処理とを備え、
パケット取得ステップは、上記接続ポイントを流れるパケットを、通信装置を介してパケット取得部が取得するパケット取得ステップと、上記パケット取得ステップで取得したパケットを蓄積装置へ通信装置を介して送信部が送信し、蓄積装置に記憶させる送信ステップとを有し、
解析ステップは、蓄積装置により記憶されたパケットを、通信装置を介してパケット読込部が読込むパケット読込ステップと、上記パケット読込ステップで読込んだパケットを処理装置によりパケット解析部が解析するパケット解析ステップとを有することを特徴とする。
A packet analysis method according to an embodiment of the present invention is a packet analysis method of a packet analysis system that acquires a packet flowing through a network and analyzes the packet.
Packet acquisition processing executed by a packet acquisition device connected to a predetermined connection point of the network and connected to the storage device via a connection line, and analysis processing executed by an analysis device connected to the storage device via the connection line And
The packet acquisition step includes a packet acquisition step in which a packet acquisition unit acquires a packet flowing through the connection point via a communication device, and a transmission unit transmits the packet acquired in the packet acquisition step to the storage device via the communication device. And storing in the storage device,
The analysis step includes a packet reading step in which the packet reading unit reads the packet stored by the storage device via the communication device, and a packet analysis in which the packet analysis unit analyzes the packet read in the packet reading step by the processing device. And a step.

また、本発明の実施の形態にかかるパケット解析プログラムは、ネットワークを流れるパケットを取得し、パケットを解析するパケット解析システムのパケット解析プログラムにおいて、
ネットワークの所定の接続ポイントに接続され、蓄積装置と接続線を介して接続されるパケット取得装置のパケット取得プログラムと、蓄積装置と接続線を介して接続される解析装置の解析プログラムとを備え、
パケット取得プログラムは、上記接続ポイントを流れるパケットを、通信装置を介してパケット取得部が取得するパケット取得ステップと、上記パケット取得ステップで取得したパケットを蓄積装置へ通信装置を介して送信部が送信し、蓄積装置に記憶させる送信ステップとをコンピュータに実行させ、
解析プログラムは、蓄積装置により記憶されたパケットを、通信装置を介してパケット読込部が読込むパケット読込ステップと、上記パケット読込ステップで読込んだパケットを処理装置によりパケット解析部が解析するパケット解析ステップとをコンピュータに実行させることを特徴とする。
A packet analysis program according to an embodiment of the present invention is a packet analysis program for a packet analysis system that acquires a packet flowing through a network and analyzes the packet.
A packet acquisition program of a packet acquisition device connected to a predetermined connection point of the network and connected to the storage device via a connection line; and an analysis program of an analysis device connected to the storage device via a connection line;
The packet acquisition program includes a packet acquisition step in which a packet acquisition unit acquires a packet flowing through the connection point via a communication device, and a transmission unit transmits the packet acquired in the packet acquisition step to the storage device via the communication device. And causing the computer to execute a transmission step to be stored in the storage device,
The analysis program includes a packet reading step in which the packet reading unit reads the packet stored by the storage device via the communication device, and a packet analysis in which the packet analysis unit analyzes the packet read in the packet reading step by the processing device. And causing the computer to execute the steps.

また、上記パケット取得プログラムは、さらに、上記パケット取得ステップで取得したパケットにハッシュキーをハッシュキー付与部が付与して記憶装置に記憶するハッシュキー付与ステップをコンピュータに実行させ、上記送信ステップでは、上記ハッシュキー付与ステップでハッシュキーを付与したパケットを蓄積装置へ送信し、蓄積装置に記憶させることを特徴とする。   The packet acquisition program further causes the computer to execute a hash key assigning step in which the hash key assigning unit assigns a hash key to the packet acquired in the packet acquiring step and stores the hash key in the storage device. The packet having the hash key assigned in the hash key assigning step is transmitted to the storage device and stored in the storage device.

また、上記パケット取得プログラムは、さらに、上記パケット取得ステップで取得したパケットに、パケット取得装置を識別する識別子を識別子付与部が付与して記憶装置に記憶する識別子付与ステップをコンピュータに実行させ、上記送信ステップでは、上記識別子付与ステップで識別子を付与したパケットを蓄積装置へ送信し、蓄積装置に記憶させることを特徴とする。   The packet acquisition program further causes the computer to execute an identifier assigning step in which the identifier assigning unit assigns an identifier for identifying the packet obtaining device to the packet obtained in the packet obtaining step and stores the identifier in the storage device. In the transmission step, the packet having the identifier added in the identifier adding step is transmitted to the storage device and stored in the storage device.

また、上記識別子付与ステップでは、識別子としてMACアドレスを付与することを特徴とする。   In the identifier assigning step, a MAC address is assigned as an identifier.

また、上記パケット取得プログラムは、さらに、上記パケット取得ステップで取得したパケットを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを第1ファイル化部が生成して記憶装置に記憶する第1ファイル化ステップをコンピュータに実行させ、上記送信ステップでは、上記第1ファイル化ステップでファイル化処理して生成した第1ファイルデータを蓄積装置へ送信し、蓄積装置に記憶させることを特徴とする。   In addition, the packet acquisition program further performs a filing process in which the packet acquired in the packet acquisition step is converted into one file in a predetermined time unit, and the first file data is generated by the first file generation unit. The first file generation step stored in the storage device is executed by the computer. In the transmission step, the first file data generated by the file processing in the first file generation step is transmitted to the storage device and stored in the storage device. It is characterized by making it.

また、上記パケット取得プログラムは、さらに、上記パケット取得ステップで取得したパケットを一時的にバッファメモリに一時記憶部が記憶する一時記憶ステップと、上記バッファのメモリの容量に基づき、パケットを1つのファイルとするファイル化処理を行い、第2ファイルデータを第2ファイル化部が生成して記憶装置に記憶する第2ファイル化ステップとをコンピュータに実行させ、上記第1ファイル化ステップでは、上記第2ファイル化ステップでファイル化処理して生成した第2ファイルデータを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成することを特徴とする。   The packet acquisition program further includes a temporary storage step in which the packet acquired in the packet acquisition step is temporarily stored in the buffer memory by the temporary storage unit, and the packet is stored in one file based on the memory capacity of the buffer. And the second filing step in which the second filing unit generates the second file data and stores it in the storage device. The second filing step causes the computer to execute the second filing step. The second file data generated by filing in the filing step is converted into one file in a predetermined time unit, and the first file data is generated.

また、上記パケット取得プログラムは、さらに、上記第2ファイル化ステップでファイル化処理して生成した第2ファイルデータを圧縮し、圧縮ファイルを圧縮部が生成して記憶装置に記憶する圧縮ステップをコンピュータに実行させ、上記第1ファイル化ステップでは、上記圧縮ステップで圧縮して生成した圧縮ファイルを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成することを特徴とする。   The packet acquisition program further includes a compression step of compressing the second file data generated by the file processing in the second file conversion step, and generating a compressed file by the compression unit and storing it in the storage device. In the first file conversion step, the first file data is generated by performing a file conversion process in which the compressed file generated by compression in the compression step is converted into one file in a predetermined time unit. Features.

また、上記パケット取得プログラムは、さらに、上記第2ファイル化ステップでファイル化処理して生成した第2ファイルデータにハッシュキーをハッシュキー付与部が付与して記憶装置に記憶するハッシュキー付与ステップをコンピュータに実行させ、上記第1ファイル化ステップでは、上記ハッシュキー付与ステップでハッシュキーを付与した第2ファイルデータを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成することを特徴とする。   Further, the packet acquisition program further includes a hash key assigning step in which a hash key assigning unit assigns a hash key to the second file data generated by filing in the second file forming step and stores the hash key in a storage device. In the first file conversion step, the second file data to which the hash key is assigned in the hash key assignment step is converted into one file at a predetermined time unit, and the first file data is obtained. Is generated.

本発明の実施の形態にかかるパケット解析システムは、ネットワークの所定の接続ポイントを流れるパケットを取得するパケット取得部と、パケット取得部が取得したパケットを蓄積装置へ送信し、蓄積装置に記憶させる送信部と、蓄積装置により記憶されたパケットを読込むパケット読込部と、パケット読込部が読込んだパケットを解析するパケット解析部とを備える。そのため、本発明の実施の形態にかかるパケット解析システムによれば、ネットワークの所定の接続ポイントを流れた情報をすべて記憶することが可能であり、その情報を解析することが可能である。   A packet analysis system according to an embodiment of the present invention includes a packet acquisition unit that acquires a packet flowing through a predetermined connection point of a network, and a transmission that transmits the packet acquired by the packet acquisition unit to the storage device and stores the packet in the storage device A packet reading unit that reads a packet stored by the storage device, and a packet analysis unit that analyzes the packet read by the packet reading unit. Therefore, according to the packet analysis system according to the embodiment of the present invention, it is possible to store all information flowing through a predetermined connection point of the network, and to analyze the information.

まず、実施の形態にかかるパケット解析システム1000のハードウェア構成の一例について図1、図2に基づき説明する。   First, an example of the hardware configuration of the packet analysis system 1000 according to the embodiment will be described with reference to FIGS.

図1は、実施の形態にかかるパケット解析システム1000の外観の一例を示した図である。
図1において、パケット解析システム1000は、CRT(Cathode Ray Tube)表示装置901、キーボード(K/B)902、マウス903、コンパクトディスク装置(CDD)905、NAS(Network Attached Storage)908、システムユニット909、サーバA916、サーバB917を備え、これらはケーブルで接続されている。
さらに、パケット解析システム1000は、ローカルエリアネットワーク(LAN)942、ゲートウェイ941を介してインターネット940に接続されている。また、さらに、LAN942、L(Layer)2スイッチ943を介してサーバC918、サーバD919に接続されている。
ここで、CRT表示装置901は、表示装置の一例である。また、NAS908は、蓄積装置200の一例である。さらに、サーバA916は、パケット取得装置100の一例である。サーバB917は、解析装置300の一例である。また、さらに、管理端末400は、例えば、CRT表示装置901、K/B902、マウス903、CDD905、システムユニット909を備えていても構わない。管理端末400は、これに限られず、システムユニット909であっても構わない。また、サーバC918、サーバD919は、ファイルサーバ、WEBサーバなどのサーバである。
FIG. 1 is a diagram illustrating an example of an appearance of a packet analysis system 1000 according to the embodiment.
In FIG. 1, a packet analysis system 1000 includes a CRT (Cathode Ray Tube) display device 901, a keyboard (K / B) 902, a mouse 903, a compact disk device (CDD) 905, a NAS (Network Attached Storage) 908, and a system unit 909. , Server A916 and server B917, which are connected by a cable.
Further, the packet analysis system 1000 is connected to the Internet 940 via a local area network (LAN) 942 and a gateway 941. Further, the server C 918 and the server D 919 are connected via a LAN 942 and an L (Layer) 2 switch 943.
Here, the CRT display device 901 is an example of a display device. The NAS 908 is an example of the storage device 200. Further, the server A 916 is an example of the packet acquisition device 100. The server B 917 is an example of the analysis apparatus 300. Further, the management terminal 400 may include a CRT display device 901, a K / B 902, a mouse 903, a CDD 905, and a system unit 909, for example. The management terminal 400 is not limited to this, and may be the system unit 909. The server C918 and the server D919 are servers such as a file server and a WEB server.

図2は、実施の形態におけるパケット取得装置100、蓄積装置200、解析装置300、管理端末400のハードウェア構成の一例を示す図である。
図2において、パケット取得装置100、蓄積装置200、解析装置300、管理端末400は、コンピュータであり、プログラムを実行するCPU(Central Processing Unit)911を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、CRT表示装置901、K/B902、マウス903、FDD(Flexible Disk)904、CDD905、磁気ディスク装置920と接続されている。
RAM914は、揮発性メモリの一例である。ROM913、磁気ディスク装置920は、不揮発性メモリの一例である。これらは、記憶装置982の一例である。
通信ボード915は、LAN942等に接続されている。通信ボード915は、通信装置986の一例である。
また、K/B902、マウス903などは、入力装置984の一例である。
また、CPU911は、処理装置980の一例である。
FIG. 2 is a diagram illustrating an example of a hardware configuration of the packet acquisition device 100, the storage device 200, the analysis device 300, and the management terminal 400 in the embodiment.
In FIG. 2, a packet acquisition device 100, a storage device 200, an analysis device 300, and a management terminal 400 are computers, and include a CPU (Central Processing Unit) 911 that executes a program. The CPU 911 is connected to a ROM 913, a RAM 914, a communication board 915, a CRT display device 901, a K / B 902, a mouse 903, an FDD (Flexible Disk) 904, a CDD 905, and a magnetic disk device 920 via a bus 912.
The RAM 914 is an example of a volatile memory. The ROM 913 and the magnetic disk device 920 are examples of a nonvolatile memory. These are examples of the storage device 982.
The communication board 915 is connected to the LAN 942 or the like. The communication board 915 is an example of the communication device 986.
The K / B 902, the mouse 903, and the like are examples of the input device 984.
The CPU 911 is an example of a processing device 980.

磁気ディスク装置920には、オペレーティングシステム(OS)921、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923は、CPU911、OS921、ウィンドウシステム922により実行される。   The magnetic disk device 920 stores an operating system (OS) 921, a window system 922, a program group 923, and a file group 924. The program group 923 is executed by the CPU 911, the OS 921, and the window system 922.

上記プログラム群923には、以下に述べる実施の形態の説明において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、以下に述べる実施の形態の説明において、「暗号キー」、「ハッシュキー」として説明するものが、「〜ファイル」として記憶されている。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータの入出力を示し、そのデータの入出力のためにデータは、磁気ディスク装置920、FD、光ディスク、CD、MD(ミニディスク)、DVD(Digital Versatile Disk)等のその他の記録媒体に記録される。あるいは、信号線やその他の伝送媒体により伝送される。
The program group 923 stores a program for executing a function described as “˜unit” in the description of the embodiment described below. The program is read and executed by the CPU 911.
In the file group 924, what is described as “encryption key” and “hash key” in the description of the embodiment described below is stored as “˜file”.
Also, the arrows in the flowcharts described in the following description of the embodiments mainly indicate data input / output, and the data for the data input / output is the magnetic disk device 920, FD, optical disk, CD, MD. (Mini disc), DVD (Digital Versatile Disk) and other recording media. Alternatively, it is transmitted through a signal line or other transmission medium.

また、以下に述べる実施の形態の説明において「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、ハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。   In addition, what is described as “unit” in the description of the embodiment described below may be realized by firmware stored in the ROM 913. Alternatively, it may be implemented by software alone, hardware alone, a combination of software and hardware, or a combination of firmware.

また、以下に述べる実施の形態を実施するプログラムは、また、磁気ディスク装置920、FD、光ディスク、CD、MD、DVD等のその他の記録媒体による記録装置を用いて記憶されても構わない。   In addition, a program that implements the embodiment described below may be stored using a recording device using another recording medium such as the magnetic disk device 920, FD, optical disk, CD, MD, DVD, or the like.

実施の形態1.
次に、実施の形態1について説明する。実施の形態1では、ネットワークの所定の接続ポイントを流れるパケットを取得して蓄積し、解析するパケット解析システム1000について説明する。
Embodiment 1 FIG.
Next, the first embodiment will be described. In the first embodiment, a packet analysis system 1000 that acquires, accumulates, and analyzes packets flowing through a predetermined connection point of a network will be described.

パケット解析システム1000は、例えば、ネットワークを媒介した情報事故が発生した場合に、その情報事故の影響範囲、発生原因などの調査を行うためなどに使用するものである。   The packet analysis system 1000 is used for, for example, investigating the range of influence of an information accident and the cause of the occurrence of an information accident through a network.

ネットワークを媒介した情報事故とは、例えば、個人情報の漏えい、ウイルス、スパム、Dos(Denial of Services)などの攻撃、会社内システムなどを踏み台にした第三者への攻撃、掲示板サイトへの誹謗中傷や不利益な内容の投稿、メール、WEBメールなどによる秘密情報の発信、ネットオークション、出会い系サイトなどネットワークの私的な利用、不注意でアクセスしたサイトからの不当な請求、会社名を偽った攻撃などがある。   Information accidents mediated by networks include, for example, personal information leaks, viruses, spam, attacks such as Dos (Denial of Services), attacks on third parties based on company systems, and attacks on bulletin board sites. Posting slander or unfavorable content, sending confidential information by e-mail, WEB mail, etc., private use of networks such as Internet auctions and dating sites, unjust charges from sites that were inadvertently accessed, falsely assuming the company name There are other attacks.

Firewall、IDS、コンテンツフィルタなどのシステムにより、このような情報事故が起きないようにする事前対策がとられる。しかし、上記システムなどを導入した場合であっても、情報事故を完全に防ぐことは困難である。そこで、情報事故が起こってしまった場合に、その被害を最小にする事後対策がとられる。ここで、被害とは、例えば、信用の失墜などである。事後対策は、例えば、端末のログを取得するソフトウェアなどを導入することが考えられる。   Prior measures are taken to prevent such information accidents by systems such as Firewall, IDS, and content filters. However, even when the above system is introduced, it is difficult to completely prevent information accidents. Therefore, in the event of an information accident, post-action measures are taken to minimize the damage. Here, the damage is, for example, a loss of trust. As a post-measure, for example, it is conceivable to introduce software that acquires a log of the terminal.

図3に基づき情報事故が発生した場合の対応の一例について説明する。図3は、情報事故が発生した場合の対応の一例を示す図である。ここでは、例えば、事後対策として端末のログを取得するソフトウェアなどが導入されているとする。
情報事故が発生した場合(1)、それが事実であるか否か、いつ、誰が、どこで、何を、どういう方法で行った結果なのかなどを調査し、顧客、ユーザ等に説明しなければならない(2)。この説明の質などにより、信用の失墜を防止できるか否かに影響する。そこで、例えば、端末のログを取得するソフトウェアなどにより取得されたログを解析するためにSE(System Engineer)を投入し、時間をかけて調査を実施する(3)。しかし、ログが散在しており、またログには必要な情報が十分に蓄積されていないため(4)、十分な調査が行えないことがある(5)。そのため、満足な説明ができないことがある(6)。その結果企業、団体等の信用を失墜させてしまうことがある(7)。
An example of a response when an information accident occurs will be described with reference to FIG. FIG. 3 is a diagram illustrating an example of a response when an information accident occurs. Here, for example, it is assumed that software for acquiring a log of the terminal is introduced as a post countermeasure.
When an information accident occurs (1), it is necessary to investigate whether it is a fact, when, who, where, what, and how it is done, and to explain to customers, users, etc. Do not become (2). The quality of this explanation affects whether or not the loss of trust can be prevented. Therefore, for example, SE (System Engineer) is introduced in order to analyze the log acquired by the software for acquiring the log of the terminal and the investigation is performed over time (3). However, since logs are scattered and necessary information is not sufficiently accumulated in the logs (4), sufficient investigation may not be performed (5). Therefore, there are cases where a satisfactory explanation cannot be made (6). As a result, the trust of companies, organizations, etc. may be lost (7).

ここで、ログには必要な情報が十分に蓄積されていないということについて、図4に基づき通常のメールサーバの通信ログを一例に説明をする。図4は、通常のメールサーバの通信ログの一例を示す図である。
図4に示すように、通常のメールサーバの通信ログでは、通信日時情報、From句、To句、Subject句などが記憶されている。ここで、例えば、個人情報の漏えいが発生した場合には、漏えいした個人情報の具体的内容を調査する必要がある。しかし、個人情報が記載されているのは、通常、メール本文、又は添付ファイルなどである。したがって、図4に示すような、通常のメールサーバの通信ログでは調査できない。
Here, the fact that necessary information is not sufficiently accumulated in the log will be described with reference to FIG. 4 as an example of a communication log of a normal mail server. FIG. 4 is a diagram illustrating an example of a communication log of a normal mail server.
As shown in FIG. 4, in a communication log of a normal mail server, communication date / time information, a From phrase, a To phrase, a Subject phrase, and the like are stored. Here, for example, when leakage of personal information occurs, it is necessary to investigate the specific content of the leaked personal information. However, personal information is usually written in the mail text or attached file. Therefore, it cannot be investigated with a communication log of a normal mail server as shown in FIG.

そこで、実施の形態1にかかるパケット解析システム1000では、図5に示すように、メール本文や添付ファイルなどを含む、通信したデータ全体を記憶する。図5は、パケット解析システム1000が記憶するデータの一例である。実施の形態1にかかるパケット解析システム1000では、通信したデータがすべて記憶されており、再現することが可能である。したがって、実施の形態1にかかるパケット解析システム1000によれば、メール本文や添付ファイル、又はその他の部分から個人情報が漏えいしたような場合であっても調査することが可能である。   Therefore, in the packet analysis system 1000 according to the first embodiment, as shown in FIG. 5, the entire communicated data including the mail text and the attached file is stored. FIG. 5 is an example of data stored in the packet analysis system 1000. In the packet analysis system 1000 according to the first embodiment, all the communicated data is stored and can be reproduced. Therefore, according to the packet analysis system 1000 according to the first embodiment, it is possible to investigate even when personal information is leaked from the mail text, the attached file, or other parts.

次に、図6、図7に基づき実施の形態1にかかるパケット解析システム1000の概要について説明する。
図6は、パケット解析システム1000の動作の概要を示す図である。パケット解析システム1000は、ネットワークの所定の接続ポイントに接続される。パケット解析システム1000は、接続ポイントを流れるパケットを取得し、蓄積する。そして、パケット解析システム1000は、必要なときに蓄積されているパケットを復号し、データを再現して、検索、表示を行う。
図7は、パケット解析システム1000のパケット取得の概要を示す図である。パケット解析システム1000は、上述したようにネットワークの所定の接続ポイントに接続される。接続ポイントでは、パケット解析システム1000は、例えば、L2スイッチ943などにより接続される。パケット解析システム1000は、接続ポイントを流れるパケットをスイッチハブなどのポートミラー機能やリピータハブを使用して、ネットワーク上を流れるパケットの複製を作成し、複製したパケットが流れ込むように配線する。パケット解析システム1000は、パケットを中継することや、既存ネットワークに対してパケットを送出することを行わないので、既存システムに影響を与えることがない。
Next, an outline of the packet analysis system 1000 according to the first embodiment will be described based on FIGS. 6 and 7.
FIG. 6 is a diagram showing an outline of the operation of the packet analysis system 1000. The packet analysis system 1000 is connected to a predetermined connection point of the network. The packet analysis system 1000 acquires and accumulates packets flowing through the connection points. Then, the packet analysis system 1000 decodes the accumulated packets when necessary, reproduces the data, and performs search and display.
FIG. 7 is a diagram showing an outline of packet acquisition of the packet analysis system 1000. The packet analysis system 1000 is connected to a predetermined connection point of the network as described above. At the connection point, the packet analysis system 1000 is connected by, for example, an L2 switch 943. The packet analysis system 1000 uses a port mirror function such as a switch hub or a repeater hub to create a copy of the packet flowing on the network, and wire the copied packet to flow. The packet analysis system 1000 does not relay the packet or send the packet to the existing network, so that the existing system is not affected.

次に、図8、図9に基づき実施の形態1にかかるパケット解析システム1000の接続ポイントについて説明する。
図8は、パケット解析システム1000をインターネット940との接続ポイントに設置した例である。パケット解析システム1000をインターネット940との接続ポイントに設置することで、情報漏えいや社内から社外への攻撃などの外部への発信情報、ネットワークの私的利用、社外から社内への攻撃などが監視できる。また、ここでのトラフィックのほとんどは、SMTP(Simple Mail Transfer Protocol)とHTTP(HyperText Transfer Protocol)である。
図9は、パケット解析システム1000を共有サーバへの接続ポイントに設置した例である。パケット解析システム1000を共有サーバへの接続ポイントに設置することで、秘密情報へアクセスする情報の持ち出しやサーバへの不正アクセスなどを監視できる。ここでのトラフィックは、Windows(登録商標)ファイル共有の情報、HTTP、SMTP、POP(Post Office Protocol)、IMAP(Internet Message Access Protocol)、SQL(Structured Query Language)などの情報が流れ、多種多様なプロトコルが流れる。
Next, connection points of the packet analysis system 1000 according to the first embodiment will be described with reference to FIGS.
FIG. 8 shows an example in which the packet analysis system 1000 is installed at a connection point with the Internet 940. By installing the packet analysis system 1000 at the connection point with the Internet 940, it is possible to monitor information leaks, outgoing information such as internal attacks from outside the company, private use of the network, attacks from outside the company, etc. . Also, most of the traffic here is SMTP (Simple Mail Transfer Protocol) and HTTP (HyperText Transfer Protocol).
FIG. 9 shows an example in which the packet analysis system 1000 is installed at a connection point to the shared server. By installing the packet analysis system 1000 at the connection point to the shared server, it is possible to monitor the taking out of information for accessing confidential information and unauthorized access to the server. The traffic here includes various information such as Windows (registered trademark) file sharing information, HTTP, SMTP, POP (Post Office Protocol), IMAP (Internet Message Access Protocol), and SQL (Structured Query Language). Protocol flows.

次に、図10に基づき実施の形態1にかかるパケット解析システム1000で解析するプロトコルについて説明する。図10は、パケット解析システム1000で解析するプロトコルの一例を示した図である。
パケット解析システム1000では、アプリケーション層、プレゼンテーション層、セッション層に該当するHTTP、SMTP、FTP(File Transfer Protocol)、POPや、トランスポート層に該当するTCP(Transmission Control Protocol)や、ネットワーク層に該当するIP(Internet Protocol)や、データリンク層に該当するETHERNET(登録商標)などを解析する。しかし、これに限られるわけではなく、パケット解析システム1000は、他のプロトコルも解析する。
Next, a protocol analyzed by the packet analysis system 1000 according to the first embodiment will be described with reference to FIG. FIG. 10 is a diagram illustrating an example of a protocol analyzed by the packet analysis system 1000.
The packet analysis system 1000 corresponds to HTTP, SMTP, FTP (File Transfer Protocol) corresponding to the application layer, presentation layer, and session layer, POP, TCP (Transmission Control Protocol) corresponding to the transport layer, and the network layer. Analyzes IP (Internet Protocol), ETHERNET (registered trademark) corresponding to the data link layer, and the like. However, the present invention is not limited to this, and the packet analysis system 1000 also analyzes other protocols.

次に、図11に基づきパケット解析システム1000のデータフローについて説明する。図11は、実施の形態1にかかるパケット解析システム1000のデータフローの一例を示す図である。
ここでは、パケット解析システム1000は、パケット取得装置100、蓄積装置200、解析装置300とを備える。ここでは、パケット取得装置100、蓄積装置200、解析装置300とは、それぞれ別の筐体であるとする。
パケット取得装置100は、図8、図9で説明したような接続ポイントでネットワークに接続されている。ここで、パケット取得装置100が接続されているネットワークは、第1ネットワーク10の一例である。パケット取得装置100は、接続ポイントを流れるパケットを取得し、記憶装置982に一時的に保管する。そして、パケット取得装置100は、一定量又は一定時間の単位でパケットをまとめて暗号化などしてアーカイブとして蓄積装置200へ送信する。
蓄積装置200は、パケット取得装置100と専用線(第2ネットワーク20の一例)などにより接続される。つまり、蓄積装置200は、パケット取得装置100がパケットを取得するネットワークとは別の接続線により接続される。蓄積装置200は、パケット取得装置100から受信した暗号化などされたパケットをNAS908などに備えられた記憶装置982に記憶する。また、蓄積装置200は、バックアップ装置などと接続され、記憶装置982に記憶したアーカイブデータをバックアップすることも可能である。
解析装置300は、蓄積装置200と専用線(第3ネットワーク30の一例)などにより接続される。つまり、解析装置300は、パケット取得装置100がパケットを取得するネットワークやパケット取得装置100と蓄積装置200とが接続される接続線とは別の接続線により接続される。解析装置300は、蓄積装置200が記憶装置982に記憶したアーカイブデータを読込む。次に、解析装置300は、アーカイブデータを解凍し、パケットを生成する。次に、解析装置300は、パケットを解析して復号することにより通信データを再現する。解析装置300は、再現した通信データを記憶装置982に記憶し、調査を行う際の検索対象とする。
パケット解析システム1000は、さらに、管理端末400を備えていても構わない。
管理端末400は、パケット取得装置100と蓄積装置200と解析装置300と接続される。管理端末400は、パケット取得装置100がパケットを取得するネットワークやパケット取得装置100と蓄積装置200とが接続される接続線や蓄積装置200と解析装置300とが接続される接続線とは別の接続線(第4ネットワーク40の一例)により接続される。管理端末400は、パケット取得装置100、蓄積装置200、解析装置300の管理をする。また、管理端末400は、解析装置300が記憶装置982に記憶した再現した通信データを検索し、WEBブラウザなどでデータを閲覧する。パケット解析システム1000は、例えば、管理端末400でのみ解析装置300が記憶装置982に記憶した再現した通信データの閲覧が可能であるとしても構わない。
Next, the data flow of the packet analysis system 1000 will be described with reference to FIG. FIG. 11 is a diagram illustrating an example of a data flow of the packet analysis system 1000 according to the first embodiment.
Here, the packet analysis system 1000 includes a packet acquisition device 100, a storage device 200, and an analysis device 300. Here, it is assumed that the packet acquisition device 100, the storage device 200, and the analysis device 300 are separate cases.
The packet acquisition apparatus 100 is connected to the network at the connection point described with reference to FIGS. Here, the network to which the packet acquisition device 100 is connected is an example of the first network 10. The packet acquisition device 100 acquires a packet flowing through the connection point and temporarily stores it in the storage device 982. Then, the packet acquisition apparatus 100 collectively encrypts the packets in units of a fixed amount or a fixed time, and transmits them to the storage apparatus 200 as an archive.
The storage device 200 is connected to the packet acquisition device 100 through a dedicated line (an example of the second network 20). That is, the storage device 200 is connected by a connection line different from the network from which the packet acquisition device 100 acquires packets. The storage device 200 stores the encrypted packet received from the packet acquisition device 100 in the storage device 982 provided in the NAS 908 or the like. In addition, the storage device 200 is connected to a backup device or the like, and can back up archive data stored in the storage device 982.
The analysis device 300 is connected to the storage device 200 via a dedicated line (an example of the third network 30). That is, the analysis apparatus 300 is connected by a connection line that is different from the network from which the packet acquisition apparatus 100 acquires packets and the connection line to which the packet acquisition apparatus 100 and the storage apparatus 200 are connected. The analysis device 300 reads the archive data stored in the storage device 982 by the storage device 200. Next, the analysis device 300 decompresses the archive data and generates a packet. Next, the analysis device 300 reproduces the communication data by analyzing and decoding the packet. The analysis device 300 stores the reproduced communication data in the storage device 982 and sets it as a search target when conducting an investigation.
The packet analysis system 1000 may further include a management terminal 400.
The management terminal 400 is connected to the packet acquisition device 100, the storage device 200, and the analysis device 300. The management terminal 400 is different from a network in which the packet acquisition device 100 acquires packets, a connection line that connects the packet acquisition device 100 and the storage device 200, and a connection line that connects the storage device 200 and the analysis device 300. They are connected by a connection line (an example of the fourth network 40). The management terminal 400 manages the packet acquisition device 100, the storage device 200, and the analysis device 300. In addition, the management terminal 400 searches the reproduced communication data stored in the storage device 982 by the analysis device 300 and browses the data using a WEB browser or the like. For example, the packet analysis system 1000 may be able to browse the reproduced communication data stored in the storage device 982 by the analysis device 300 only at the management terminal 400.

次に、図12に基づき実施の形態1にかかるパケット解析システム1000の機能について説明する。図12は、実施の形態1にかかるパケット解析システム1000の機能を示す機能ブロック図である。   Next, functions of the packet analysis system 1000 according to the first exemplary embodiment will be described with reference to FIG. FIG. 12 is a functional block diagram illustrating functions of the packet analysis system 1000 according to the first embodiment.

パケット解析システム1000は、パケット取得装置100、蓄積装置200、解析装置300、管理端末400を備える。パケット取得装置100は第1ネットワーク10の接続ポイントに接続される。また、パケット取得装置100と蓄積装置200とは接続線(第2ネットワーク20の一例)により接続される。さらに、蓄積装置200と解析装置300とは接続線(第3ネットワーク30の一例)により接続される。また、さらに、管理端末400は、パケット取得装置100と蓄積装置200と解析装置300と接続線(第4ネットワーク40の一例)により接続される。   The packet analysis system 1000 includes a packet acquisition device 100, a storage device 200, an analysis device 300, and a management terminal 400. The packet acquisition device 100 is connected to a connection point of the first network 10. The packet acquisition device 100 and the storage device 200 are connected by a connection line (an example of the second network 20). Furthermore, the storage device 200 and the analysis device 300 are connected by a connection line (an example of the third network 30). Furthermore, the management terminal 400 is connected to the packet acquisition device 100, the storage device 200, and the analysis device 300 by a connection line (an example of the fourth network 40).

パケット取得装置100は、通信部110、情報付与部120、ファイル化部130、記憶部140、処理装置980、記憶装置982、通信装置986を備える。
通信部110は、パケット取得部112、送信部114を備える。パケット取得部112は、接続ポイントを流れるパケットを、通信装置986を介して取得する。パケット取得部112は、接続ポイントを流れるパケットをすべて取得しても、所定のプロトコルなどに限定して取得しても構わない。送信部114は、パケット取得部112が取得したパケットを蓄積装置200へ通信装置986を介して送信し、蓄積装置200に記憶させる。送信部114は、パケット取得装置100が備える以下の各機能が処理をした後のデータを蓄積装置200へ送信し、蓄積装置200に記憶させても構わない。
情報付与部120は、ハッシュキー付与部122、時刻付与部124を備える。ハッシュキー付与部122は、パケット取得部112が取得したパケットにハッシュキーを付与して記憶装置982に記憶する。ハッシュキー付与部122は、例えば、後述する第2ファイル化部134がファイル化した後の第2ファイルデータにハッシュキーを付与しても構わない。また、ハッシュキー付与部122は、入力データに対してハッシュキーを付与するものであって、入力データは何であっても構わない。時刻付与部124は、パケット取得部112が取得したパケットに、パケットを取得した時刻を付与して記憶装置982に記憶する。また、時刻付与部124は、入力データに対して時刻を付与するものであって、入力データは何であっても構わない。
ファイル化部130は、第1ファイル化部132、第2ファイル化部134、暗号化部136、圧縮部138を備える。第1ファイル化部132は、パケット取得部112が取得したパケットを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成して記憶装置982に記憶する。ここでは、第1ファイル化部132は、例えば、後述する第2ファイル化部134がファイル化処理して生成した第2ファイルデータを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成する。ここで所定の時間とは、例えば1分などである。また、第1ファイル化部132は、入力データを所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成するものであって、入力データは何であっても構わない。さらに、第1ファイル化部132は、ファイル化に伴って、圧縮処理を行っても構わない。第2ファイル化部134は、後述する一時記憶部142がパケットなどを記憶するバッファメモリの容量に基づき、パケットを1つのファイルとするファイル化処理を行い、第2ファイルデータを生成して記憶装置982に記憶する。第2ファイル化部134は、例えば、バッファメモリの容量がいっぱいになった場合に、記憶しているパケットを1ファイルとしてファイル化処理を行い、第2ファイルデータを生成する。また、第2ファイル化部134は、入力データをバッファメモリの容量に基づき1つのファイルとするファイル化処理を行い、第2ファイルデータを生成するものであって、入力データは何であっても構わない。暗号化部136は、パケット取得部112が取得したパケットを暗号化して記憶装置982に記憶する。暗号化部136は、第1ファイル化部132または第2ファイル化部134がファイル化した後の第1ファイルデータまたは第2ファイルデータを暗号化して記憶装置982に記憶しても構わない。また、暗号化部136は、入力データを暗号化するものであって、入力データは何であっても構わない。圧縮部138は、第2ファイル化部134がファイル化処理して生成した第2ファイルデータを圧縮し、圧縮ファイルを生成して記憶装置982に記憶する。また、圧縮部138は、入力データを圧縮するものであって、入力データは何であっても構わない。
記憶部140は、一時記憶部142を備える。一時記憶部142は、パケット取得部112が取得したパケットを一時的にバッファメモリに記憶する。バッファメモリは、記憶装置982の一例である。上記では、パケット取得装置100が備える各機能がそれぞれ生成物を記憶装置982に記憶したが、これに限られるわけではなく、一時記憶部142は、パケット取得装置100が備える各機能が生成した生成物を記憶装置982に記憶しても構わない。
The packet acquisition device 100 includes a communication unit 110, an information addition unit 120, a filing unit 130, a storage unit 140, a processing device 980, a storage device 982, and a communication device 986.
The communication unit 110 includes a packet acquisition unit 112 and a transmission unit 114. The packet acquisition unit 112 acquires a packet flowing through the connection point via the communication device 986. The packet acquisition unit 112 may acquire all the packets flowing through the connection point, or may acquire only the predetermined protocol. The transmission unit 114 transmits the packet acquired by the packet acquisition unit 112 to the storage device 200 via the communication device 986 and stores the packet in the storage device 200. The transmission unit 114 may transmit the data after the following functions included in the packet acquisition device 100 have been processed to the storage device 200 and store the data in the storage device 200.
The information giving unit 120 includes a hash key giving unit 122 and a time giving unit 124. The hash key assigning unit 122 assigns a hash key to the packet acquired by the packet acquiring unit 112 and stores it in the storage device 982. For example, the hash key assigning unit 122 may assign a hash key to the second file data after the second file forming unit 134 (to be described later) converts the file. The hash key assigning unit 122 assigns a hash key to the input data, and the input data may be anything. The time giving unit 124 gives the packet acquisition time to the packet acquired by the packet acquisition unit 112 and stores it in the storage device 982. The time giving unit 124 gives time to the input data, and the input data may be anything.
The filing unit 130 includes a first filing unit 132, a second filing unit 134, an encryption unit 136, and a compression unit 138. The first filing unit 132 performs filing processing of the packet acquired by the packet acquisition unit 112 as one file in a predetermined time unit, generates first file data, and stores the first file data in the storage device 982. Here, the first filing unit 132 performs, for example, a filing process in which second file data generated by filing processing by the second filing unit 134 (to be described later) is converted into one file at a predetermined time unit. First file data is generated. Here, the predetermined time is, for example, one minute. The first filing unit 132 performs filing processing of input data as a single file in a predetermined time unit, and generates first file data. The input data may be anything. . Furthermore, the first filing unit 132 may perform a compression process in accordance with filing. The second filing unit 134 performs filing processing with the packet as one file based on the capacity of the buffer memory in which the temporary storage unit 142, which will be described later, stores the packet, and generates second file data to store the data 982. For example, when the capacity of the buffer memory becomes full, the second filing unit 134 performs filing processing with the stored packet as one file, and generates second file data. Further, the second filing unit 134 performs a filing process in which the input data is converted into one file based on the capacity of the buffer memory, and generates the second file data. The input data may be anything. Absent. The encryption unit 136 encrypts the packet acquired by the packet acquisition unit 112 and stores it in the storage device 982. The encryption unit 136 may encrypt the first file data or the second file data that has been filed by the first file forming unit 132 or the second file forming unit 134 and store the encrypted data in the storage device 982. The encryption unit 136 encrypts input data, and the input data may be anything. The compressing unit 138 compresses the second file data generated by the file processing by the second filing unit 134, generates a compressed file, and stores the compressed file in the storage device 982. The compression unit 138 compresses input data, and the input data may be anything.
The storage unit 140 includes a temporary storage unit 142. The temporary storage unit 142 temporarily stores the packet acquired by the packet acquisition unit 112 in the buffer memory. The buffer memory is an example of the storage device 982. In the above description, each function included in the packet acquisition device 100 stores the product in the storage device 982, but the present invention is not limited to this, and the temporary storage unit 142 generates data generated by each function included in the packet acquisition device 100. An object may be stored in the storage device 982.

蓄積装置200は、受信部210、パケット記憶部220、処理装置980、記憶装置982、通信装置986を備える。
受信部210は、送信部114が送信したデータを、通信装置986を介して受信する。
パケット記憶部220は、受信部210が受信したデータを記憶装置982に記憶する。
The storage device 200 includes a receiving unit 210, a packet storage unit 220, a processing device 980, a storage device 982, and a communication device 986.
The reception unit 210 receives the data transmitted from the transmission unit 114 via the communication device 986.
The packet storage unit 220 stores the data received by the reception unit 210 in the storage device 982.

解析装置300は、パケット読込部310、復号部320、パケット解析部330、処理装置980、記憶装置982、入力装置984、通信装置986を備える。
パケット読込部310は、パケット記憶部220が記憶したパケットを、通信装置986を介して読込む。つまり、パケット読込部310は、パケット取得装置100の各機能が処理した後のデータを蓄積装置200から読込み記憶装置982に記憶する。
復号部320は、パケット読込部310が読込んだデータが暗号化されている場合、暗号化されたデータであるパケットを復号して記憶装置982に記憶する。
パケット解析部330は、パケット読込部310が読込んだパケットを処理装置980により解析する。パケット解析部330は、パケット読込部310が読込んだデータが暗号化されている場合、復号部320が復号したデータを解析する。ここで、解析するとは、例えば、パケットとして記憶されるデータを通信データとして再現することをいう。つまり、解析するとは、パケット単位に切られているデータを元の通信データに再現する一連の処理をいう。したがって、パケット単位に切られている状態では内容がわからないものが、解析することにより、内容を判別可能なデータとなる。パケット解析部330は、解析したデータを記憶装置982に記憶する。
The analysis device 300 includes a packet reading unit 310, a decoding unit 320, a packet analysis unit 330, a processing device 980, a storage device 982, an input device 984, and a communication device 986.
The packet reading unit 310 reads the packet stored in the packet storage unit 220 via the communication device 986. That is, the packet reading unit 310 reads the data after processing by each function of the packet acquisition device 100 from the storage device 200 and stores it in the storage device 982.
When the data read by the packet reading unit 310 is encrypted, the decryption unit 320 decrypts the packet that is the encrypted data and stores the decrypted packet in the storage device 982.
The packet analysis unit 330 analyzes the packet read by the packet reading unit 310 by the processing device 980. When the data read by the packet reading unit 310 is encrypted, the packet analysis unit 330 analyzes the data decrypted by the decryption unit 320. Here, analyzing means, for example, reproducing data stored as a packet as communication data. In other words, analyzing means a series of processes for reproducing data cut in packet units into original communication data. Accordingly, data whose contents are not known in a state where it is cut in units of packets becomes data whose contents can be determined by analysis. The packet analysis unit 330 stores the analyzed data in the storage device 982.

管理端末400は、パケット取得装置100、蓄積装置200、解析装置300の管理をする。また、管理端末400は、解析装置300が記憶装置982に記憶した再現した通信データを検索し、WEBブラウザなどでデータを表示装置に表示する。   The management terminal 400 manages the packet acquisition device 100, the storage device 200, and the analysis device 300. In addition, the management terminal 400 searches the reproduced communication data stored in the storage device 982 by the analysis device 300 and displays the data on a display device using a WEB browser or the like.

次に、図13に基づき実施の形態1にかかるパケット解析システム1000の動作について説明する。図13は、実施の形態1にかかるパケット解析システム1000の動作を示すフローチャートである。   Next, the operation of the packet analysis system 1000 according to the first exemplary embodiment will be described based on FIG. FIG. 13 is a flowchart of the operation of the packet analysis system 1000 according to the first embodiment.

まず、パケット取得装置100が実行するパケット取得処理において、初めに、パケット取得ステップ(S101)では、パケット取得部112は、パケット取得装置100が接続された接続ポイントを流れるパケットを取得する。一時記憶部142は、取得したパケットを記憶装置982に記憶する(一時記憶ステップ)。次に、時刻付与ステップ(S102)では、時刻付与部124は、パケットを取得した時刻をパケットに付与する。次に、第2ファイル化ステップ(S103)では、第2ファイル化部134は、バッファメモリの容量に基づき、パケットを1つのファイルにまとめるファイル化処理を行い、第2ファイルデータを生成する。次に、ハッシュキー付与ステップ(S104)では、ハッシュキー付与部122は、第2ファイルデータにハッシュキーを付与する。次に、圧縮ステップ(S105)では、圧縮部138は、ハッシュキーが付与された第2ファイルデータを圧縮し、圧縮ファイルを生成する。次に、暗号化ステップ(S106)では、暗号化部136は、圧縮ファイルを暗号化する。次に、第1ファイル化ステップ(S107)では、第1ファイル化部132は、暗号化されたデータを、所定の時間単位にさらに1つのファイルにまとめるファイル化処理を行い、第1ファイルデータを生成する。第1ファイル化部132は、ファイル化とともに、圧縮処理を行っても構わない。そして、送信ステップ(S108)では、送信部114は、第1ファイルデータを蓄積装置200へ送信する。   First, in the packet acquisition process executed by the packet acquisition device 100, first, in the packet acquisition step (S101), the packet acquisition unit 112 acquires a packet flowing through the connection point to which the packet acquisition device 100 is connected. Temporary storage unit 142 stores the acquired packet in storage device 982 (temporary storage step). Next, in the time giving step (S102), the time giving unit 124 gives the packet acquisition time to the packet. Next, in the second filing step (S103), the second filing unit 134 performs a filing process for collecting packets into one file based on the capacity of the buffer memory, and generates second file data. Next, in the hash key assigning step (S104), the hash key assigning unit 122 assigns a hash key to the second file data. Next, in the compression step (S105), the compression unit 138 compresses the second file data to which the hash key is assigned, and generates a compressed file. Next, in the encryption step (S106), the encryption unit 136 encrypts the compressed file. Next, in the first filing step (S107), the first filing unit 132 performs a filing process for further combining the encrypted data into one file in a predetermined time unit, and the first file data is converted into the first file data. Generate. The first filing unit 132 may perform compression processing together with filing. In the transmission step (S108), the transmission unit 114 transmits the first file data to the storage device 200.

次に、蓄積装置200が実行する蓄積処理において、初めに、受信ステップ(S109)では、受信部210は、送信部114が送信した第1ファイルデータを受信する。そして、パケット記憶ステップ(S110)では、パケット記憶部220は、受信した第1ファイルデータをNAS908などが備える記憶装置982に記憶する。   Next, in the storage process executed by the storage device 200, first, in the reception step (S109), the reception unit 210 receives the first file data transmitted by the transmission unit 114. In the packet storage step (S110), the packet storage unit 220 stores the received first file data in the storage device 982 provided in the NAS 908 or the like.

次に、解析装置300が実行する解析処理において、初めに、パケット読込ステップ(S111)では、パケット読込部310は、パケット記憶部220が記憶装置982に記憶した第1ファイルデータを読込む。次に、復号ステップ(S112)では、復号部320は、読込んだ第1ファイルデータからファイルを抽出し、暗号化されたデータを復号する。次に復号化ファイルを解凍する。そして、解析ステップ(S113)では、パケット解析部330は、復号したパケットを解析する。   Next, in the analysis process executed by the analysis device 300, first, in the packet reading step (S111), the packet reading unit 310 reads the first file data stored in the storage device 982 by the packet storage unit 220. Next, in the decrypting step (S112), the decrypting unit 320 extracts a file from the read first file data and decrypts the encrypted data. Next, the decrypted file is decompressed. In the analysis step (S113), the packet analysis unit 330 analyzes the decoded packet.

上記パケット取得処理において、(S102)から(S107)までの処理は、上記順序に限定されるものではなく、どのような順序で実行しても構わない。例えば、(S102)から(S107)までを、(S102)、(S103)、(S107)、(S104)、(S106)、(S105)の順序としても構わない。
しかし、上記順序によれば、ハッシュキー付与部122は、第2ファイルデータにハッシュキーを付与する。したがって、小さい単位のデータに対してハッシュキーを付与することができる。そのため、データの改ざんを小さい単位で確認することができる。また、ハッシュキー付与部122は、パケット取得部112が取得したパケットに対して、処理を加える前のデータに対してハッシュキーを付与している。したがって、パケット取得装置100の内部処理による改ざんの可能性もない。つまり、ハッシュキー付与部122は、パケット取得部112が取得したパケットに対してハッシュキーを付与しても構わない。
さらに、圧縮部138は、暗号化される前のデータを圧縮している。これにより、暗号化された後に圧縮するよりも、圧縮率が高くなり、圧縮の効果が期待できる。
In the packet acquisition process, the processes from (S102) to (S107) are not limited to the above order, and may be executed in any order. For example, (S102) to (S107) may be in the order of (S102), (S103), (S107), (S104), (S106), and (S105).
However, according to the above order, the hash key assigning unit 122 assigns a hash key to the second file data. Therefore, a hash key can be assigned to a small unit of data. Therefore, data alteration can be confirmed in small units. Further, the hash key assigning unit 122 assigns a hash key to the data before the processing is performed on the packet acquired by the packet acquiring unit 112. Therefore, there is no possibility of falsification due to internal processing of the packet acquisition device 100. That is, the hash key assigning unit 122 may assign a hash key to the packet acquired by the packet acquiring unit 112.
Further, the compression unit 138 compresses the data before being encrypted. As a result, the compression rate is higher than the compression after encryption, and the compression effect can be expected.

実施の形態1にかかるパケット解析システム1000によれば、所定の接続ポイントを流れるデータをすべて、又は所定の条件に基づき取得し、記憶し、解析することが可能である。したがって、実施の形態1にかかるパケット解析システム1000によれば、情報事故が起こった場合に調査をするのに必要かつ十分なデータを得ることが可能である。例えば、実施の形態1にかかるパケット解析システム1000によれば、通常のメールだけでなく、HTMLメールについても再現可能である。   According to the packet analysis system 1000 according to the first embodiment, it is possible to acquire, store, and analyze all data flowing through a predetermined connection point or based on a predetermined condition. Therefore, according to the packet analysis system 1000 according to the first embodiment, it is possible to obtain data necessary and sufficient for investigation when an information accident occurs. For example, the packet analysis system 1000 according to the first embodiment can reproduce not only normal mail but also HTML mail.

また、実施の形態1にかかるパケット解析システム1000によれば、ハッシュキー付与部122が取得したデータにハッシュキーを付与することで、改ざんの有無を後から検証できる。さらに、実施の形態1にかかるパケット解析システム1000によれば、時刻付与部124がパケットを取得した時刻をパケットに付与することで、その時刻にデータが存在したことを示すことができる。したがって、実施の形態1にかかるパケット解析システム1000によれば、原本性と時刻保証がされているため、記憶したデータを法廷で証拠とできるほど確かな方法で管理可能である。つまり、実施の形態1にかかるパケット解析システム1000は、コンピュータフォレンジックとして利用可能であり、いわゆるフォレンジックサーバ、または、フォレンジックシステムである。   Further, according to the packet analysis system 1000 according to the first exemplary embodiment, the presence / absence of falsification can be verified later by assigning a hash key to the data acquired by the hash key assigning unit 122. Furthermore, according to the packet analysis system 1000 according to the first exemplary embodiment, it is possible to indicate that data existed at the time by giving the time when the time giving unit 124 acquired the packet to the packet. Therefore, according to the packet analysis system 1000 according to the first embodiment, since the originality and the time are guaranteed, the stored data can be managed by a method that is as reliable as possible as evidence in the courtroom. That is, the packet analysis system 1000 according to the first embodiment can be used as computer forensics, and is a so-called forensic server or forensic system.

また、実施の形態1にかかるパケット解析システム1000によれば、パケット取得装置100と蓄積装置200と解析装置300との筐体が分けられている。したがって、蓄積装置200については、特別に用意することなく、既存のNAS908などを使用することができる。そのため、実施の形態1にかかるパケット解析システム1000によれば、すべての機能を1つの筐体に備えている場合と比べ、コストの節約が可能である。また、記憶容量の拡張をすることも容易にできる。また、大量のデータを保存することが容易となり、データの長期間の保存が可能である。したがって、実施の形態1にかかるパケット解析システム1000によれば、情報事故の事後対策において、事故発覚後に、数ヶ月、数年といった過去に遡って調査することができる。   Further, according to the packet analysis system 1000 according to the first exemplary embodiment, the packet acquisition device 100, the storage device 200, and the analysis device 300 are separated from each other. Therefore, the existing NAS 908 or the like can be used for the storage device 200 without special preparation. Therefore, according to the packet analysis system 1000 according to the first exemplary embodiment, cost can be saved as compared with a case where all functions are provided in one housing. In addition, the storage capacity can be easily expanded. In addition, it becomes easy to store a large amount of data, and data can be stored for a long period of time. Therefore, according to the packet analysis system 1000 according to the first exemplary embodiment, it is possible to conduct a retrospective investigation such as months or years after the accident is detected in the post-measures for the information accident.

また、実施の形態1にかかるパケット解析システム1000によれば、暗号化部136がデータを暗号化し、送信部114が暗号化されたデータを送信する。したがって、実施の形態1にかかるパケット解析システム1000によれば、パケット取得装置100と蓄積装置200との間の通信を傍受された場合などであっても、データの内容は秘匿される。さらに、実施の形態1において、パケット取得装置100と蓄積装置200との間の接続線は専用線としているため、パケット取得装置100と蓄積装置200との間の通信が傍受されることを防止できる。
ここで、実施の形態1にかかるパケット解析システム1000は、情報事故対策などに使用されるが、機密情報が含まれた情報を記録するシステムであるため、実施の形態1にかかるパケット解析システム1000自身が情報漏えいの源になる可能性がある。しかし、蓄積装置200は、暗号化されたデータを記憶する。したがって、蓄積装置200のデータを持ち出しされた場合などでも、不正に内容を閲覧することはできない。したがって、実施の形態1にかかるパケット解析システム1000が情報漏えいの源になることを防止できる。
さらに、暗号化に使用する暗号鍵をUSB(Universal Serial Bus)キーに記憶させておいても構わない。この場合、USBキーを削除することにより、データのリテンション(削除)も簡単、確実に行うことができる。
また、暗号化処理では、共通鍵暗号化方式および公開鍵暗号化方式により行うことも可能である。上記のようにUSBキーに暗号化、復号の鍵を記憶させ、処理を行う場合、公開鍵暗号化方式を用いる場合に比べ処理性能が優れている。
Further, according to the packet analysis system 1000 according to the first embodiment, the encryption unit 136 encrypts data, and the transmission unit 114 transmits the encrypted data. Therefore, according to the packet analysis system 1000 according to the first exemplary embodiment, the content of data is kept secret even when the communication between the packet acquisition device 100 and the storage device 200 is intercepted. Furthermore, in Embodiment 1, since the connection line between the packet acquisition device 100 and the storage device 200 is a dedicated line, it is possible to prevent the communication between the packet acquisition device 100 and the storage device 200 from being intercepted. .
Here, although the packet analysis system 1000 according to the first embodiment is used for countermeasures against information accidents, etc., it is a system that records information including confidential information, so the packet analysis system 1000 according to the first embodiment. It can be a source of information leakage. However, the storage device 200 stores the encrypted data. Therefore, even when data in the storage device 200 is taken out, the contents cannot be browsed illegally. Therefore, the packet analysis system 1000 according to the first embodiment can be prevented from becoming a source of information leakage.
Furthermore, an encryption key used for encryption may be stored in a USB (Universal Serial Bus) key. In this case, data retention (deletion) can be easily and reliably performed by deleting the USB key.
Further, the encryption process can be performed by a common key encryption method and a public key encryption method. As described above, when the encryption and decryption keys are stored in the USB key and processing is performed, the processing performance is superior to the case where the public key encryption method is used.

実施の形態2.
次に、実施の形態2について説明する。実施の形態1では、パケット解析システム1000は、パケット取得装置100と蓄積装置200と解析装置300との筐体が分けられているとした。実施の形態2では、パケット解析システム1000の他の筐体の分け方について説明する。
Embodiment 2. FIG.
Next, a second embodiment will be described. In the first embodiment, the packet analysis system 1000 is configured such that the packet acquisition device 100, the storage device 200, and the analysis device 300 are separated from each other. In the second embodiment, another method of dividing the packet analysis system 1000 will be described.

図14、図15、図16に基づき実施の形態2にかかるパケット解析システム1000の筐体の分け方の一例について説明する。
図14は、パケット取得装置100を第1筐体とし、蓄積装置200と解析装置300とを第2筐体とした例である。図15は、パケット取得装置100と蓄積装置200とを第1筐体とし、解析装置300を第2筐体とした例である。図16は、解析装置300を、再現装置350と検索装置360とに筐体を分け、筐体をパケット取得装置100と蓄積装置200と再現装置350と検索装置360との4つとした例である。
上記の筐体の分け方に限定されるわけではなく、その他の筐体の分け方でも構わない。
An example of how to divide the casing of the packet analysis system 1000 according to the second exemplary embodiment will be described with reference to FIGS. 14, 15, and 16.
FIG. 14 shows an example in which the packet acquisition device 100 is a first housing, and the storage device 200 and the analysis device 300 are second housings. FIG. 15 shows an example in which the packet acquisition device 100 and the storage device 200 are the first housing and the analysis device 300 is the second housing. FIG. 16 shows an example in which the analysis device 300 is divided into a reproduction device 350 and a search device 360, and the case includes four packets acquisition device 100, storage device 200, reproduction device 350, and search device 360. .
It is not necessarily limited to the above-described method of dividing the case, and other methods of dividing the case may be used.

実施の形態2にかかるパケット解析システム1000によれば、筐体が分割されているため、設備の増強などが容易に行える。つまり、実施の形態2にかかるパケット解析システム1000によれば、例えば、記憶容量を増やす可能性がある場合には、蓄積装置200を別筐体とすることで、蓄積装置200のみを増強することが可能である。また、複数箇所からパケットを取得したい場合には、パケット取得装置100を別筐体とすることで、パケット取得装置100のみを複数台にすることが可能である。   According to the packet analysis system 1000 according to the second exemplary embodiment, since the casing is divided, facilities can be easily enhanced. In other words, according to the packet analysis system 1000 according to the second embodiment, for example, when there is a possibility of increasing the storage capacity, only the storage device 200 is enhanced by using the storage device 200 as a separate housing. Is possible. Further, when it is desired to acquire packets from a plurality of locations, it is possible to make only a plurality of packet acquisition devices 100 by using the packet acquisition device 100 as a separate housing.

また、実施の形態2にかかるパケット解析システム1000によれば、図16に示すように、解析装置300を再現装置350と検索装置360とに分けることで、検索処理の増強を図りたい場合などには、検索装置360のみを複数台にすることが可能である。   Further, according to the packet analysis system 1000 according to the second embodiment, as shown in FIG. 16, when the analysis device 300 is divided into a reproduction device 350 and a search device 360, the search processing is enhanced. Can have a plurality of search devices 360 alone.

したがって、実施の形態2にかかるパケット解析システム1000によれば、設備の増強などをコストを抑えて行うことが可能である。   Therefore, according to the packet analysis system 1000 according to the second embodiment, it is possible to increase facilities and the like at a reduced cost.

実施の形態3.
次に、実施の形態3について説明する。実施の形態3では、複数のパケット取得装置100を備えるパケット解析システム1000について説明する。
Embodiment 3 FIG.
Next, Embodiment 3 will be described. In Embodiment 3, a packet analysis system 1000 including a plurality of packet acquisition devices 100 will be described.

図17に基づき実施の形態3にかかるパケット解析システム1000の概要を説明する。図17は、実施の形態3にかかる複数のパケット取得装置100を備えるパケット解析システム1000の概要を示す図である。
図17において、パケット解析システム1000は、セグメント1に接続されているパケット取得装置A100Aと、セグメント2に接続されているパケット取得装置B100Bとを備える。その他、パケット解析システム1000は、蓄積装置200と解析装置300とを備える。
The outline of the packet analysis system 1000 according to the third embodiment will be described with reference to FIG. FIG. 17 is a diagram illustrating an outline of a packet analysis system 1000 including a plurality of packet acquisition devices 100 according to the third embodiment.
17, the packet analysis system 1000 includes a packet acquisition device A100A connected to the segment 1 and a packet acquisition device B100B connected to the segment 2. In addition, the packet analysis system 1000 includes a storage device 200 and an analysis device 300.

パケット取得装置A100Aとパケット取得装置B100Bとを異なるセグメントに接続することで、各セグメントを流れるパケットを取得することができる。例えば、図8、図9に示すように、インターネット940との接続ポイントと、共有サーバへの接続ポイントとのそれぞれにパケット取得装置100を接続することで、両方の接続ポイントを通るパケットを取得することができる。つまり、パケット取得装置100が複数存在する場合、各パケット取得装置100を異なる接続ポイントに接続することで、各接続ポイントを通ったデータを取得することができる。
また、実施の形態3にかかるパケット解析システム1000は、各パケット取得装置100が取得したパケットに、パケットを取得したパケット取得装置100を示す識別子を付与することで、蓄積装置200に記憶されている情報がどの接続ポイントを通った情報であるかを判別することが可能である。
By connecting the packet acquisition device A100A and the packet acquisition device B100B to different segments, packets flowing through each segment can be acquired. For example, as shown in FIGS. 8 and 9, a packet passing through both connection points is acquired by connecting the packet acquisition device 100 to each of a connection point to the Internet 940 and a connection point to the shared server. be able to. That is, when there are a plurality of packet acquisition devices 100, data passing through each connection point can be acquired by connecting each packet acquisition device 100 to a different connection point.
Further, the packet analysis system 1000 according to the third exemplary embodiment stores the packet acquired by each packet acquisition device 100 by adding an identifier indicating the packet acquisition device 100 that acquired the packet to the storage device 200. It is possible to determine which connection point the information passes through.

次に、図18に基づき実施の形態3にかかるパケット解析システム1000の機能について説明する。図18は、実施の形態3にかかるパケット解析システム1000の機能を示す機能ブロック図である。ここでは、実施の形態1にかかるパケット解析システム1000の機能と異なる部分についてのみ説明する。   Next, functions of the packet analysis system 1000 according to the third exemplary embodiment will be described with reference to FIG. FIG. 18 is a functional block diagram illustrating functions of the packet analysis system 1000 according to the third embodiment. Here, only parts different from the functions of the packet analysis system 1000 according to the first embodiment will be described.

実施の形態3にかかるパケット取得装置100の情報付与部120は、さらに、識別子付与部126を備える。識別子付与部126は、パケット取得部112が取得したパケットに、パケット取得装置100を識別する識別子を付与して記憶装置982に記憶する。つまり、識別子付与部126は、パケット取得部112が取得したパケットに、そのパケット取得部112を備えるパケット取得装置100の識別子を付与することで、蓄積装置200が記憶した情報がどのパケット取得装置100が取得したものであるかを判別できるようにしている。したがって、この場合、蓄積装置200が記憶した情報がどの接続ポイントを通った情報であるかを判別できる。また、識別子付与部126は、識別子として、例えばMACアドレスなどを付与する。   The information adding unit 120 of the packet acquisition apparatus 100 according to the third embodiment further includes an identifier adding unit 126. The identifier assigning unit 126 assigns an identifier for identifying the packet obtaining device 100 to the packet obtained by the packet obtaining unit 112 and stores it in the storage device 982. In other words, the identifier assigning unit 126 assigns the identifier of the packet acquisition device 100 including the packet acquisition unit 112 to the packet acquired by the packet acquisition unit 112, which packet acquisition device 100 has the information stored in the storage device 200. It is possible to determine whether or not it is acquired. Therefore, in this case, it is possible to determine which connection point the information stored in the storage device 200 passes through. The identifier assigning unit 126 assigns, for example, a MAC address as an identifier.

次に、図19に基づき実施の形態3にかかるパケット解析システム1000の動作について説明する。図19は、実施の形態3にかかるパケット解析システム1000の動作を示すフローチャートである。ここでは、実施の形態3にかかるパケット解析システム1000の動作と異なる部分についてのみ説明する。   Next, the operation of the packet analysis system 1000 according to the third exemplary embodiment will be described based on FIG. FIG. 19 is a flowchart of the operation of the packet analysis system 1000 according to the third embodiment. Here, only the parts different from the operation of the packet analysis system 1000 according to the third embodiment will be described.

(S201)から(S203)までは、それぞれ、実施の形態1の(S101)から(S103)までと同様である。
識別子付与ステップ(S204)では、識別子付与部126は、パケット取得部112が取得したパケットに、パケット取得装置100を識別する識別子を付与する。ここでは、識別子付与部126は、第2ファイルデータに識別子を付与する。
(S205)から(S214)までは、それぞれ、実施の形態1の(S104)から(S113)までと同様である。
(S201) to (S203) are the same as (S101) to (S103) in the first embodiment, respectively.
In the identifier assigning step (S204), the identifier assigning unit 126 assigns an identifier for identifying the packet obtaining device 100 to the packet obtained by the packet obtaining unit 112. Here, the identifier assigning unit 126 assigns an identifier to the second file data.
(S205) to (S214) are the same as (S104) to (S113) in the first embodiment, respectively.

ここで、識別子付与ステップ(S204)は上記順序で実行されることに限られるわけではなく、(S208)の後に実行されるなど、他の順序でも構わない。   Here, the identifier assigning step (S204) is not limited to being executed in the above order, but may be in another order such as being executed after (S208).

実施の形態3にかかるパケット解析システム1000によれば、複数の接続ポイントを流れるパケットを取得し、1つの蓄積装置200に記憶することができる。したがって、新たな接続ポイントを流れる情報を記憶したい場合に、パケット取得装置100のみを追加することで対応できる。また、セグメント毎にパケット取得装置100を分けることで、パケット取得装置100への負荷が軽減される。   According to the packet analysis system 1000 according to the third exemplary embodiment, packets flowing through a plurality of connection points can be acquired and stored in one storage device 200. Therefore, when it is desired to store information flowing through a new connection point, it can be dealt with by adding only the packet acquisition device 100. Also, dividing the packet acquisition device 100 for each segment reduces the load on the packet acquisition device 100.

また、実施の形態3にかかるパケット解析システム1000によれば、取得したパケットにパケット取得装置100の識別子を付与するため、調査をする際に、対象とするデータを、調査したい接続ポイントによって絞込みすることができる。   Further, according to the packet analysis system 1000 according to the third exemplary embodiment, the identifier of the packet acquisition device 100 is assigned to the acquired packet. Therefore, when performing the survey, the target data is narrowed down by the connection point to be investigated. be able to.

実施の形態4.
次に、実施の形態4について説明する。実施の形態4では、管理端末400がパケットを検索などする動作などのログを取得するパケット解析システム1000について説明する。
Embodiment 4 FIG.
Next, a fourth embodiment will be described. In the fourth embodiment, a description will be given of a packet analysis system 1000 that acquires a log of operations such as the management terminal 400 searching for a packet.

図20に基づき実施の形態4にかかるパケット解析システム1000の機能について説明する。図20は、実施の形態4にかかるパケット解析システム1000の機能を示す機能ブロック図である。ここでは、実施の形態1にかかるパケット解析システム1000の機能と異なる部分についてのみ説明する。   Based on FIG. 20, functions of the packet analysis system 1000 according to the fourth exemplary embodiment will be described. FIG. 20 is a functional block diagram illustrating functions of the packet analysis system 1000 according to the fourth embodiment. Here, only parts different from the functions of the packet analysis system 1000 according to the first embodiment will be described.

解析装置300は、さらに、ログ取得部340を備える。ログ取得部340は、パケット解析部330が解析したパケットへアクセスする操作を管理端末400から指示をされた場合に、操作のログを取得して記憶装置982に記憶する。ログ取得部340は、パケット解析部330が解析したパケットへアクセスするというデータの閲覧以外の操作についてもログを取得しても構わない。   The analysis apparatus 300 further includes a log acquisition unit 340. The log acquisition unit 340 acquires an operation log and stores the operation log in the storage device 982 when an instruction to access the packet analyzed by the packet analysis unit 330 is given from the management terminal 400. The log acquisition unit 340 may also acquire a log for operations other than browsing data for accessing the packet analyzed by the packet analysis unit 330.

パケット解析システム1000は、情報事故の対策などのために情報を記憶するものである。しかし、パケット解析システム1000は、多くの情報を記憶しているため、逆にパケット解析システム1000のデータを利用して情報事故が発生する可能性がある。そこで、実施の形態4にかかるパケット解析システム1000によれば、パケット解析システム1000のデータへのアクセスなどについてもログを取得することで、パケット解析システム1000のデータへのアクセスなどについても調査を行うことができる。   The packet analysis system 1000 stores information for countermeasures against information accidents. However, since the packet analysis system 1000 stores a large amount of information, there is a possibility that an information accident may occur using the data of the packet analysis system 1000. Therefore, according to the packet analysis system 1000 according to the fourth exemplary embodiment, the access to the data of the packet analysis system 1000 is also investigated by acquiring the log of the access to the data of the packet analysis system 1000. be able to.

さらに、パケット解析システム1000は、パケット解析システム1000を使用するユーザに対して権限を付与する権限付与部を備えていても構わない。パケット解析システム1000は、例えば、システムの設定や権限の割当てなどを行うシステム管理者権限、パケット解析部330が解析したパケットを閲覧するデータ閲覧権限、ログ取得部340が取得したログを調査するログ監査権限などの権限を有し、権限付与部が各ユーザに割当てる。この場合に、例えば、1ユーザに対して1権限のみを与えるなどし、さらにセキュリティを高めることが可能である。   Furthermore, the packet analysis system 1000 may include an authority grant unit that grants authority to a user who uses the packet analysis system 1000. The packet analysis system 1000 includes, for example, a system administrator authority for setting a system and assigning authority, a data browsing authority for browsing a packet analyzed by the packet analysis unit 330, and a log for investigating a log acquired by the log acquisition unit 340. It has authority such as audit authority, and the authority granting part assigns it to each user. In this case, for example, it is possible to further enhance security by giving only one authority to one user.

上記実施の形態にかかるパケット解析システム1000は、蓄積装置200の記憶装置982がいっぱいになってしまった場合には、古いデータから削除して新しいデータを記憶するディスクローテーションを行うものとしても構わない。   When the storage device 982 of the storage device 200 is full, the packet analysis system 1000 according to the above embodiment may perform a disk rotation that deletes old data and stores new data. .

さらに、上記実施の形態にかかるパケット解析システム1000は、ネットワークを介してデータを管理するが、必要なサービス以外のサービスを停止する等の設定をおこなっても構わない。また、管理端末400からの操作は、HTTPS(Hypertext Transfer Protocol Security)による暗号化通信としても構わない。   Furthermore, although the packet analysis system 1000 according to the above embodiment manages data via a network, settings such as stopping services other than necessary services may be performed. The operation from the management terminal 400 may be encrypted communication using HTTPS (Hypertext Transfer Protocol Security).

また、さらに、パケット取得装置100のパケット取得ポートにステルス性を持たせることにより、サーバスキャンやホストスキャンなどに反応せず、存在を隠蔽するようにしても構わない。   Further, by providing stealth to the packet acquisition port of the packet acquisition device 100, the presence may be concealed without reacting to a server scan or a host scan.

また、上記実施の形態にかかるパケット解析システム1000の解析装置300は、蓄積装置200が記憶したメール(SMTP及びPOP)データを、例えば、期間、クライアントのIPアドレス、クライアントのMACアドレス、サーバのIPアドレス、サーバのMACアドレス、サーバのポート、FROM句、TO句、RECEIVED句、MAILFROM句、RCPTTO句、CC句、SUBJECT句、添付ファイル名、メールサイズなどにより検索できるようにしても構わない。また、上記実施の形態にかかるパケット解析システム1000の解析装置300は、SMTPヘッダ、本文及び添付ファイルに対し、フリーキーワードによる全文検索をできるようにしても構わない。添付ファイルについては、添付ファイルの中身について検索することも可能であるとしても構わない。   Further, the analysis device 300 of the packet analysis system 1000 according to the above embodiment uses the mail (SMTP and POP) data stored in the storage device 200 as, for example, a period, a client IP address, a client MAC address, and a server IP. Search may be made by address, server MAC address, server port, FROM clause, TO clause, RECEIVED clause, MAIL FROM clause, RCPTTO clause, CC clause, SUBJECT clause, attached file name, mail size, and the like. Further, the analysis device 300 of the packet analysis system 1000 according to the above-described embodiment may be configured to perform full-text search using free keywords for the SMTP header, the text, and the attached file. As for the attached file, the contents of the attached file may be searched.

さらに、上記実施の形態にかかるパケット解析システム1000の解析装置300は、HTTP通信されているWEBデータはもちろん、ZIP圧縮され通信されているWEBデータについてもデータを再現できるようにしても構わない。また、POSTやGETなどによるデータのアップロードがあった場合、これらについても再現できるようにしても構わない。つまり、この場合、ファイルのアップロードについても再現することができるため、上述したWEBメールやオンラインストレージへのデータの送信についても再現することができる。   Furthermore, the analysis apparatus 300 of the packet analysis system 1000 according to the above-described embodiment may be configured to reproduce data not only for WEB data communicated by HTTP but also for WEB data communicated by ZIP compression. Further, when data is uploaded by POST, GET, etc., these may be reproduced. That is, in this case, file uploading can also be reproduced, so that the above-described transmission of data to a WEB mail or online storage can also be reproduced.

また、さらに、上記実施の形態にかかるパケット解析システム1000の解析装置300は、蓄積装置200が記憶したWEB(HTTP)データを、例えば、クライアントのIPアドレス、クライアントのMACアドレス、サーバのIPアドレス、サーバのMACアドレス、サーバのポート、URL(Uniform Resource Locator)、サイズなどにより検索できるようにしても構わない。また、上記実施の形態にかかるパケット解析システム1000の解析装置300は、HTTPヘッダ、本文及び添付ファイルに対し、フリーキーワードによる全文検索をできるようにしても構わない。添付ファイルについては、添付ファイルの中身について検索することも可能であるとしても構わない。   Further, the analysis device 300 of the packet analysis system 1000 according to the above embodiment uses, for example, the client's IP address, the client's MAC address, the server's IP address, the WEB (HTTP) data stored in the storage device 200, The search may be made based on the server MAC address, server port, URL (Uniform Resource Locator), size, and the like. Further, the analysis device 300 of the packet analysis system 1000 according to the above-described embodiment may be configured to perform a full-text search using free keywords for the HTTP header, the body text, and the attached file. As for the attached file, the contents of the attached file may be searched.

また、上記実施の形態にかかるパケット解析システム1000の解析装置300は、TCP/IPによるFTP通信を再現できる。つまり上記実施の形態にかかるパケット解析システム1000の解析装置300は、転送されたファイルをも再現することができる。また、上記実施の形態にかかるパケット解析システム1000の解析装置300は、蓄積装置200が記憶したFTPデータを、例えば、期間、クライアントのIPアドレス、クライアントのMACアドレス、サーバのIPアドレス、サーバのMACアドレス、サーバのポート、サイズなどにより検索できるようにしても構わない。また、上記実施の形態にかかるパケット解析システム1000の解析装置300は、FTP通信に対し、フリーキーワードによる全文検索をできるようにしても構わない。さらに、上記実施の形態にかかるパケット解析システム1000の解析装置300は、検索の際、文字コードの判別を行うようにしても構わない。   Further, the analysis apparatus 300 of the packet analysis system 1000 according to the above embodiment can reproduce the FTP communication by TCP / IP. That is, the analysis apparatus 300 of the packet analysis system 1000 according to the above embodiment can also reproduce the transferred file. In addition, the analysis device 300 of the packet analysis system 1000 according to the above embodiment uses, for example, the period, the client IP address, the client MAC address, the server IP address, and the server MAC as the FTP data stored in the storage device 200. It may be possible to search by address, server port, size, and the like. Moreover, the analysis apparatus 300 of the packet analysis system 1000 according to the above embodiment may be configured to be able to perform a full text search using free keywords for FTP communication. Furthermore, the analysis device 300 of the packet analysis system 1000 according to the above embodiment may determine the character code when searching.

さらに、上記実施の形態にかかるパケット解析システム1000の解析装置300は、TCPストリームへの復号を行うようにしても構わない。また、TELNETなどの平分通信の内容を確認することができるようにしても構わない。さらに、FTPなどの複数セッションを使う通信では、個別のセッション毎に管理するようにしても構わない。また、さらに、HTTPSなどの暗号化通信は、通信日時、クライアント/サーバのIPアドレス、ポート、MACアドレスなどを閲覧可能としても構わない。さらに、HTTPSなどの暗号化通信の場合、本文は暗号化されているため、データを記録し、表示しても内容を判別できないようにしても、できるようにしても構わない。また、さらに、最適化されたデータベースを使用することにより、高速な検索を実現可能である。また、検索には、n−gram方式などのインターネット検索などで使用される高速、大量の検索処理を用いても構わない。   Furthermore, the analysis apparatus 300 of the packet analysis system 1000 according to the above embodiment may perform decoding into a TCP stream. Moreover, you may enable it to confirm the content of flat communication, such as TELNET. Furthermore, in communication using a plurality of sessions such as FTP, management may be performed for each individual session. Further, encrypted communication such as HTTPS may allow browsing of communication date / time, client / server IP address, port, MAC address, and the like. Further, in the case of encrypted communication such as HTTPS, since the body is encrypted, it may or may not be possible to determine the content even if data is recorded and displayed. Furthermore, a high-speed search can be realized by using an optimized database. The search may use a high-speed, large-volume search process used in the Internet search such as the n-gram method.

実施の形態にかかるパケット解析システム1000の外観の一例を示した図である。It is the figure which showed an example of the external appearance of the packet analysis system 1000 concerning embodiment. 実施の形態におけるパケット取得装置100、蓄積装置200、解析装置300、管理端末400のハードウェア構成の一例を示す図である。It is a figure which shows an example of the hardware constitutions of the packet acquisition apparatus 100 in the embodiment, the storage apparatus 200, the analysis apparatus 300, and the management terminal 400. 情報事故が発生した場合の対応の一例を示す図である。It is a figure which shows an example of a response | compatibility when an information accident occurs. 通常のメールサーバの通信ログの一例を示す図である。It is a figure which shows an example of the communication log of a normal mail server. パケット解析システム1000が記憶するデータの一例である。It is an example of the data which the packet analysis system 1000 memorize | stores. パケット解析システム1000の動作の概要を示す図である。2 is a diagram showing an outline of operation of a packet analysis system 1000. FIG. パケット解析システム1000のパケット取得の概要を示す図である。It is a figure which shows the outline | summary of the packet acquisition of the packet analysis system 1000. FIG. パケット解析システム1000をインターネット940との接続ポイントに設置した例である。This is an example in which the packet analysis system 1000 is installed at a connection point with the Internet 940. パケット解析システム1000を共有サーバへの接続ポイントに設置した例である。This is an example in which the packet analysis system 1000 is installed at a connection point to a shared server. パケット解析システム1000で解析するプロトコルの一例を示した図である。2 is a diagram illustrating an example of a protocol analyzed by a packet analysis system 1000. FIG. 実施の形態1にかかるパケット解析システム1000のデータフローの一例を示す図である。It is a figure which shows an example of the data flow of the packet analysis system 1000 concerning Embodiment 1. FIG. 実施の形態1にかかるパケット解析システム1000の機能を示す機能ブロック図である。FIG. 2 is a functional block diagram showing functions of a packet analysis system 1000 according to the first exemplary embodiment. 実施の形態1にかかるパケット解析システム1000の動作を示すフローチャートである。3 is a flowchart showing an operation of the packet analysis system 1000 according to the first exemplary embodiment. パケット取得装置100を第1筐体とし、蓄積装置200と解析装置300とを第2筐体とした例である。In this example, the packet acquisition device 100 is a first housing, and the storage device 200 and the analysis device 300 are second housings. パケット取得装置100と蓄積装置200とを第1筐体とし、解析装置300を第2筐体とした例である。In this example, the packet acquisition device 100 and the storage device 200 are the first housing, and the analysis device 300 is the second housing. パケット取得装置100と蓄積装置200と、さらに、解析装置300を、再現装置350と検索装置360とに分けた例である。In this example, the packet acquisition device 100, the storage device 200, and the analysis device 300 are divided into a reproduction device 350 and a search device 360. 実施の形態3にかかるパケット解析システム1000である複数のパケット取得装置100を備えるパケット解析システム1000の概要を示す図である。It is a figure which shows the outline | summary of the packet analysis system 1000 provided with the some packet acquisition apparatus 100 which is the packet analysis system 1000 concerning Embodiment 3. FIG. 実施の形態3にかかるパケット解析システム1000の機能を示す機能ブロック図である。FIG. 10 is a functional block diagram illustrating functions of a packet analysis system 1000 according to a third embodiment. 実施の形態3にかかるパケット解析システム1000の動作を示すフローチャートである。10 is a flowchart showing an operation of the packet analysis system 1000 according to the third exemplary embodiment. 実施の形態4にかかるパケット解析システム1000の機能を示す機能ブロック図である。FIG. 10 is a functional block diagram illustrating functions of a packet analysis system 1000 according to a fourth embodiment.

符号の説明Explanation of symbols

10 第1ネットワーク、20 第2ネットワーク、30 第3ネットワーク、40 第4ネットワーク、100 パケット取得装置、110 通信部、112 パケット取得部、114 送信部、120 情報付与部、122 ハッシュキー付与部、124 時刻付与部、126 識別子付与部、130 ファイル化部、132 第1ファイル化部、134 第2ファイル化部、136 暗号化部、138 圧縮部、140 記憶部、142 一時記憶部、200 蓄積装置、210 受信部、220 パケット記憶部、300 解析装置、310 パケット読込部、320 復号部、330 パケット解析部、340 ログ取得部、400 管理端末、901 CRT表示装置、902 K/B、903 マウス、904 FDD、905 CDD、908 NAS、909 システムユニット、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、916 サーバA、917 サーバB、918 サーバC、919 サーバD、920 磁気ディスク装置、921 OS、922 ウィンドウシステム、923 プログラム群、924 ファイル群、931 電話器、932 FAX機、940 インターネット、941 ゲートウェイ、942 LAN、980 処理装置、982 記憶装置、984 入力装置、986 通信装置。   10 first network, 20 second network, 30 third network, 40 fourth network, 100 packet acquisition device, 110 communication unit, 112 packet acquisition unit, 114 transmission unit, 120 information adding unit, 122 hash key adding unit, 124 Time giving unit, 126 identifier giving unit, 130 filing unit, 132 first filing unit, 134 second filing unit, 136 encryption unit, 138 compression unit, 140 storage unit, 142 temporary storage unit, 200 storage device, 210 reception unit, 220 packet storage unit, 300 analysis device, 310 packet reading unit, 320 decoding unit, 330 packet analysis unit, 340 log acquisition unit, 400 management terminal, 901 CRT display device, 902 K / B, 903 mouse, 904 FDD, 905 CDD, 908 N S, 909 system unit, 911 CPU, 912 bus, 913 ROM, 914 RAM, 915 communication board, 916 server A, 917 server B, 918 server C, 919 server D, 920 magnetic disk unit, 921 OS, 922 window system, 923 program group, 924 file group, 931 telephone, 932 FAX machine, 940 Internet, 941 gateway, 942 LAN, 980 processing device, 982 storage device, 984 input device, 986 communication device.

Claims (16)

ネットワークを流れるパケットを取得し、パケットを解析するパケット解析システムにおいて、
ネットワークの所定の接続ポイントに接続されるとともに、蓄積装置と接続線を介して接続されるパケット取得装置と、蓄積装置と接続線を介して接続される解析装置とを備え、
パケット取得装置は、
上記接続ポイントを流れるパケットを取得するパケット取得部と、
上記パケット取得部が取得したパケットに、パケットを取得した時刻を付与する時刻付与部と、
上記時刻付与部が時刻を付与したパケットを所定のサイズ単位に1つのファイルとするファイル化処理を行い、第2ファイルデータを生成する第2ファイル化部と、
上記第2ファイル化部がファイル化処理して生成した第2ファイルデータにハッシュキーを付与するハッシュキー付与部と、
上記ハッシュキー付与部がハッシュキーを付与した第2ファイルデータを圧縮する圧縮部と、
上記圧縮部が圧縮した第2ファイルデータを暗号化する暗号化部と、
上記暗号化部が暗号化した第2ファイルデータを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成する第1ファイル化部と、
上記第1ファイル化部がファイル化処理して生成した第1ファイルデータを蓄積装置へ送信し、蓄積装置に記憶させる送信部とを備え
解析装置は、
蓄積装置により記憶された第1ファイルデータを読込むパケット読込部と、
上記パケット読込部が読込んだ第1ファイルデータを解析するパケット解析部と
備えることを特徴とするパケット解析システム。
In a packet analysis system that acquires packets flowing through the network and analyzes the packets,
Comprising Rutotomoni connected to a predetermined connection points of the network, a storage device and a packet acquisition device connected via a connection line, the analyzer and which is connected via a storage device and the connection line,
The packet acquisition device
A packet acquisition unit that get the packets flowing through the connection point,
A time giving unit for giving the packet acquisition time to the packet acquired by the packet acquisition unit;
A second filing unit for generating a second file data by performing a filing process in which the time giving unit assigns the packet to which the time is given to one file in a predetermined size unit;
A hash key assigning unit for assigning a hash key to the second file data generated by the second file generating unit by filing;
A compression unit that compresses the second file data to which the hash key assigning unit assigns the hash key;
An encryption unit for encrypting the second file data compressed by the compression unit;
A first filing unit that performs filing processing of the second file data encrypted by the encryption unit as one file at a predetermined time unit, and generates first file data;
The first filing unit sends the first file data generated by processing a file of the storage device, and a transmission unit to be stored in the storage device,
The analysis device
A packet reading unit for reading the first file data stored by the storage device;
Packet analysis system characterized Rukoto a packet analysis unit for the packet reading unit analyzes the first file data I read.
上記パケット取得装置は、第1ネットワークの所定の接続ポイントに接続され、
上記送信部は、上記パケット取得部が取得したパケットを、第2ネットワークを介して蓄積装置へ送信し、
上記パケット読込部は、蓄積装置により記憶されたパケットを、第3ネットワークを介して読込む
ことを特徴とする請求項1記載のパケット解析システム。
The packet acquisition device is connected to a predetermined connection point of the first network,
The transmission unit transmits the packet acquired by the packet acquisition unit to the storage device via the second network,
The packet analysis system according to claim 1, wherein the packet reading unit reads a packet stored by the storage device via a third network.
上記パケット解析システムは、さらに、
取得装置と蓄積装置と解析装置とへ指示をする管理端末を備え、
管理端末とパケット取得装置と蓄積装置と解析装置とは第4ネットワークで接続されることを特徴とする請求項2記載のパケット解析システム。
The packet analysis system further includes:
It has a management terminal that gives instructions to the acquisition device, storage device, and analysis device,
3. The packet analysis system according to claim 2, wherein the management terminal, the packet acquisition device, the storage device, and the analysis device are connected by a fourth network.
上記解析装置は、さらに、
上記パケット解析部が解析したパケットへアクセスする操作を上記管理端末から指示をされた場合に、操作のログを取得して記憶装置に記憶するログ取得部
を備えることを特徴とする請求項3記載のパケット解析システム。
The analysis device further includes:
4. A log acquisition unit that acquires an operation log and stores it in a storage device when an instruction to access a packet analyzed by the packet analysis unit is given from the management terminal. Packet analysis system.
上記パケット解析システムは、複数のパケット取得装置を備え、
上記複数のパケット取得装置の各パケット取得装置は、それぞれ異なる接続ポイントに接続される
ことを特徴とする請求項1記載のパケット解析システム。
The packet analysis system includes a plurality of packet acquisition devices,
The packet analysis system according to claim 1, wherein each of the plurality of packet acquisition devices is connected to a different connection point.
上記パケット取得装置は、さらに、
上記パケット取得部が取得したパケットに、パケット取得装置を識別する識別子を付与する識別子付与部を備え、
上記第2ファイル化部は、上記時刻付与部が時刻を付与し、上記識別子付与部が識別子を付与したパケットを所定のサイズ単位に1つのファイルとするファイル化処理を行い、第2ファイルデータを生成する
ことを特徴とする請求項記載のパケット解析システム。
The packet acquisition device further includes:
A packet the packet acquisition unit has acquired, with the identifier assignment part you grant identifiers identifying the packet acquisition device,
The second filing unit performs a filing process in which the time assigning unit assigns the time and the identifier assigning unit assigns the identifier to one file in a predetermined size unit. The packet analysis system according to claim 5 , wherein the packet analysis system is generated .
上記識別子付与部は、識別子としてMAC(Media Access Control)アドレスを付与する
ことを特徴とする請求項記載のパケット解析システム。
The packet analysis system according to claim 6 , wherein the identifier assigning unit assigns a MAC (Media Access Control) address as an identifier.
上記パケット取得装置は、さらに、
上記パケット取得部が取得したパケットを一時的にバッファメモリに記憶する一時記憶部を備え
上記第2ファイル化部は、上記バッファメモリの容量単位に、パケットを1つのファイルとするファイル化処理を行い、第2ファイルデータを生成する
ことを特徴とする請求項1記載のパケット解析システム。
The packet acquisition device further includes:
A temporary storage unit that temporarily stores the packet acquired by the packet acquisition unit in a buffer memory;
2. The packet analysis system according to claim 1, wherein the second filing unit performs a filing process using a packet as one file in units of the capacity of the buffer memory to generate second file data.
上記第1ファイル化部は、生成した第1ファイルデータのファイル名にパケット取得装置を一意に示す識別情報を含める
ことを特徴とする請求項1記載のパケット解析システム。
The packet analysis system according to claim 1, wherein the first file conversion unit includes identification information that uniquely indicates a packet acquisition device in a file name of the generated first file data.
ネットワークを流れるパケットを取得し、パケットを解析するパケット解析システムのパケット解析プログラムにおいて、
ネットワークの所定の接続ポイントに接続されるとともに、蓄積装置と接続線を介して接続されるパケット取得装置のパケット取得プログラムと、蓄積装置と接続線を介して接続される解析装置の解析プログラムとを備え、
パケット取得プログラムは、
上記接続ポイントを流れるパケットを取得するパケット取得ステップと、
上記パケット取得ステップで取得したパケットに、パケットを取得した時刻を付与する時刻付与ステップと、
時刻付与ステップで時刻を付与したパケットを所定のサイズ単位に1つのファイルとするファイル化処理を行い、第2ファイルデータを生成する第2ファイル化ステップと、
上記第2ファイル化ステップでファイル化処理して生成した第2ファイルデータにハッシュキーを付与するハッシュキー付与ステップと、
上記ハッシュキー付与ステップでハッシュキーを付与した第2ファイルデータを圧縮する圧縮ステップと、
上記圧縮ステップで圧縮した第2ファイルデータを暗号化する暗号化ステップと、
上記暗号化ステップで暗号化した第2ファイルデータを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成する第1ファイル化ステップと、
上記第1ファイル化ステップでファイル化処理して生成した第1ファイルデータを蓄積装置へ送信し、蓄積装置に記憶させる送信ステップとをコンピュータに実行させ、
解析プログラムは、
蓄積装置により記憶された第1ファイルデータを読込むパケット読込ステップと、
上記パケット読込ステップで読込んだ第1ファイルデータを解析するパケット解析ステップと
をコンピュータに実行させることを特徴とするパケット解析プログラム。
In the packet analysis program of the packet analysis system that acquires packets flowing through the network and analyzes the packets,
It is connected to the predetermined connection points in the network Rutotomoni, a packet acquisition program of the packet acquisition device connected via the storage device and the connection line, and an analysis program for analyzing device connected via the connecting line and the storage device Prepared,
The packet acquisition program
A packet acquisition step get the packets flowing through the connection point,
A time granting step for giving the packet acquisition time to the packet acquired in the packet acquisition step;
A second file forming step for generating a second file data by performing a filing process in which the packet to which time is given in the time giving step is made into one file in a predetermined size unit;
A hash key assigning step for assigning a hash key to the second file data generated by filing in the second file creation step;
A compression step of compressing the second file data to which the hash key is assigned in the hash key assignment step;
An encryption step for encrypting the second file data compressed in the compression step;
A first file conversion step for generating a first file data by performing a file conversion process in which the second file data encrypted in the encryption step is converted into a single file in a predetermined time unit;
Sends the first file data generated by processing filed in the first file of the step to the storage device, to execute a transmission step of storing in the storage device to the computer,
The analysis program is
A packet reading step for reading the first file data stored by the storage device;
A packet analysis program for causing a computer to execute a packet analysis step of analyzing the first file data read in the packet reading step.
上記パケット取得プログラムは、さらに、
上記パケット取得ステップで取得したパケットに、パケット取得装置を識別する識別子を付与する識別子付与ステップをコンピュータに実行させ、
上記第2ファイル化ステップでは、上記時刻付与ステップで時刻を付与し、上記識別子付与ステップで識別子を付与したパケットを所定のサイズ単位に1つのファイルとするファイル化処理を行い、第2ファイルデータを生成する
ことを特徴とする請求項10記載のパケット解析プログラム。
The packet acquisition program further includes:
Causing the computer to execute an identifier giving step for giving an identifier for identifying the packet acquisition device to the packet acquired in the packet acquisition step;
In the second filing step, a filing process is performed in which the time is given in the time giving step, the packet to which the identifier is given in the identifier giving step is made into one file in a predetermined size unit, and the second file data is The packet analysis program according to claim 10 , wherein the packet analysis program is generated .
上記識別子付与ステップでは、識別子としてMAC(Media Access Control)アドレスを付与する
ことを特徴とする請求項11記載のパケット解析プログラム。
12. The packet analysis program according to claim 11 , wherein, in the identifier assigning step, a MAC (Media Access Control) address is assigned as an identifier.
上記パケット取得プログラムは、さらに、
上記パケット取得ステップで取得したパケットを一時的にバッファメモリに記憶する一時記憶ステップと、
上記第2ファイル化ステップでは、上記バッファメモリの容量単位に、パケットを1つのファイルとするファイル化処理を行い、第2ファイルデータを生成する
ことを特徴とする請求項10記載のパケット解析プログラム。
The packet acquisition program further includes:
A temporary storage step of temporarily storing the packet acquired in the packet acquisition step in a buffer memory;
11. The packet analysis program according to claim 10, wherein, in the second file creation step, file processing is performed with a packet as one file for each capacity unit of the buffer memory to generate second file data.
上記第1ファイル化ステップでは、生成した第1ファイルデータのファイル名にパケット取得装置を一意に示す識別情報を含めるIn the first file creation step, identification information uniquely indicating the packet acquisition device is included in the file name of the generated first file data.
ことを特徴とする請求項13記載のパケット解析プログラム。The packet analysis program according to claim 13.
ネットワークを流れるパケットを取得し、パケットを解析するパケット解析システムのパケット解析方法において、
ネットワークの所定の接続ポイントに接続されるとともに、蓄積装置と接続線を介して接続されるパケット取得装置が実行するパケット取得処理と、蓄積装置と接続線を介して接続される解析装置が実行する解析処理とを備え、
パケット取得処理は、
上記接続ポイントを流れるパケットを取得するパケット取得ステップと、
上記パケット取得ステップで取得したパケットに、パケットを取得した時刻を付与する時刻付与ステップと、
時刻付与ステップで時刻を付与したパケットを所定のサイズ単位に1つのファイルとするファイル化処理を行い、第2ファイルデータを生成する第2ファイル化ステップと、
上記第2ファイル化ステップでファイル化処理して生成した第2ファイルデータにハッシュキーを付与するハッシュキー付与ステップと、
上記ハッシュキー付与ステップでハッシュキーを付与した第2ファイルデータを圧縮する圧縮ステップと、
上記圧縮ステップで圧縮した第2ファイルデータを暗号化する暗号化ステップと、
上記暗号化ステップで暗号化した第2ファイルデータを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成する第1ファイル化ステップと、
上記第1ファイル化ステップでファイル化処理して生成した第1ファイルデータを蓄積装置へ送信し、蓄積装置に記憶させる送信ステップとを備え
解析処理は、
蓄積装置により記憶された第1ファイルデータを読込むパケット読込ステップと、
上記パケット読込ステップで読込んだ第1ファイルデータを解析するパケット解析ステップと
備えることを特徴とするパケット解析方法。
In the packet analysis method of the packet analysis system that acquires packets flowing through the network and analyzes the packets,
Is connected to the predetermined connection points in the network Rutotomoni, a storage device and a packet acquisition processing packet acquisition unit executes connected via a connection line, the analysis device connected via the storage device and the connection line to be executed With analysis processing,
The packet acquisition process
A packet acquisition step of acquiring a packet flowing through the connection point;
A time granting step for giving the packet acquisition time to the packet acquired in the packet acquisition step;
A second file forming step for generating a second file data by performing a filing process in which the packet to which time is given in the time giving step is made into one file in a predetermined size unit;
A hash key assigning step for assigning a hash key to the second file data generated by filing in the second file creation step;
A compression step of compressing the second file data to which the hash key is assigned in the hash key assignment step;
An encryption step for encrypting the second file data compressed in the compression step;
A first file conversion step for generating a first file data by performing a file conversion process in which the second file data encrypted in the encryption step is converted into a single file in a predetermined time unit;
Sends the first file data generated by processing filed in the first file of the step to the storage device, and a transmission step of storing in the storage device,
The analysis process
A packet reading step for reading the first file data stored by the storage device;
Packet analysis method comprising Rukoto a packet analysis step of analyzing the first file data I read in the packet reading step.
ネットワークの所定の接続ポイントに接続されるとともに、蓄積装置と接続線を介して接続され、上記ネットワークの上記所定の接続ポイントを流れるパケットを取得するパケット取得装置であり、A packet acquisition device that is connected to a predetermined connection point of the network, is connected to the storage device via a connection line, and acquires a packet flowing through the predetermined connection point of the network,
上記接続ポイントを流れるパケットを取得するパケット取得部と、A packet acquisition unit for acquiring a packet flowing through the connection point;
上記パケット取得部が取得したパケットに、パケットを取得した時刻を付与する時刻付与部と、A time giving unit for giving the packet acquisition time to the packet acquired by the packet acquisition unit;
上記時刻付与部が時刻を付与したパケットを所定のサイズ単位に1つのファイルとするファイル化処理を行い、第2ファイルデータを生成する第2ファイル化部と、A second filing unit for generating a second file data by performing a filing process in which the time giving unit assigns the packet to which the time is given to one file in a predetermined size unit;
上記第2ファイル化部がファイル化処理して生成した第2ファイルデータにハッシュキーを付与するハッシュキー付与部と、A hash key assigning unit for assigning a hash key to the second file data generated by the second file generating unit by filing;
上記ハッシュキー付与部がハッシュキーを付与した第2ファイルデータを圧縮する圧縮部と、A compression unit that compresses the second file data to which the hash key assigning unit assigns the hash key;
上記圧縮部が圧縮した第2ファイルデータを暗号化する暗号化部と、An encryption unit for encrypting the second file data compressed by the compression unit;
上記暗号化部が暗号化した第2ファイルデータを、所定の時間単位に1つのファイルとするファイル化処理を行い、第1ファイルデータを生成する第1ファイル化部と、A first filing unit that performs filing processing of the second file data encrypted by the encryption unit as one file at a predetermined time unit, and generates first file data;
上記第1ファイル化部がファイル化処理して生成した第1ファイルデータを蓄積装置へ送信し、蓄積装置に記憶させる送信部とA transmission unit configured to transmit the first file data generated by the first filing unit to the storage device and store the first file data in the storage device;
を備えることを特徴とするパケット取得装置。A packet acquisition apparatus comprising:
JP2005364741A 2005-12-19 2005-12-19 Packet analysis system, packet analysis program, packet analysis method, and packet acquisition device Active JP4699893B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005364741A JP4699893B2 (en) 2005-12-19 2005-12-19 Packet analysis system, packet analysis program, packet analysis method, and packet acquisition device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005364741A JP4699893B2 (en) 2005-12-19 2005-12-19 Packet analysis system, packet analysis program, packet analysis method, and packet acquisition device

Publications (2)

Publication Number Publication Date
JP2007173931A JP2007173931A (en) 2007-07-05
JP4699893B2 true JP4699893B2 (en) 2011-06-15

Family

ID=38299965

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005364741A Active JP4699893B2 (en) 2005-12-19 2005-12-19 Packet analysis system, packet analysis program, packet analysis method, and packet acquisition device

Country Status (1)

Country Link
JP (1) JP4699893B2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5014199B2 (en) * 2008-02-29 2012-08-29 三菱電機株式会社 Communication recording apparatus, communication data processing method, and communication data processing program
JP5991908B2 (en) * 2012-12-11 2016-09-14 東日本電信電話株式会社 Log generator
KR101836016B1 (en) * 2013-11-06 2018-03-07 맥아피, 엘엘씨 Context-aware network forensics
WO2015198600A1 (en) 2014-06-26 2015-12-30 日本電気株式会社 Analysis device, analysis method, and storage medium in which analysis program is recorded
JP6451359B2 (en) * 2015-02-03 2019-01-16 富士通株式会社 Communication recording apparatus, communication recording system, communication recording program, and communication recording method

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11163942A (en) * 1997-09-19 1999-06-18 Hitachi Ltd Method and device for connection switch network control
JP2000216779A (en) * 1999-01-20 2000-08-04 Nec Corp Transfer system for management system data in data communication network
JP2001094602A (en) * 1999-09-24 2001-04-06 Mitsubishi Electric Corp Illegal access detector
JP2002111667A (en) * 2000-10-02 2002-04-12 Yokogawa Electric Corp Log storage unit
JP2004086880A (en) * 2002-06-28 2004-03-18 Oki Electric Ind Co Ltd Warning system, wide range network protection system, illegal access track method, illegal access detection system, security management method and attack protection method
JP2004208235A (en) * 2002-12-26 2004-07-22 Matsushita Electric Ind Co Ltd Remote monitoring control system, device under monitor, monitoring device, and data collecting method for device information
JP2005318222A (en) * 2004-04-28 2005-11-10 Mitsubishi Electric Corp System and method for packet transmission
JP2005323322A (en) * 2004-04-08 2005-11-17 Hitachi Ltd System for storing and analyzing log information

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11163942A (en) * 1997-09-19 1999-06-18 Hitachi Ltd Method and device for connection switch network control
JP2000216779A (en) * 1999-01-20 2000-08-04 Nec Corp Transfer system for management system data in data communication network
JP2001094602A (en) * 1999-09-24 2001-04-06 Mitsubishi Electric Corp Illegal access detector
JP2002111667A (en) * 2000-10-02 2002-04-12 Yokogawa Electric Corp Log storage unit
JP2004086880A (en) * 2002-06-28 2004-03-18 Oki Electric Ind Co Ltd Warning system, wide range network protection system, illegal access track method, illegal access detection system, security management method and attack protection method
JP2004208235A (en) * 2002-12-26 2004-07-22 Matsushita Electric Ind Co Ltd Remote monitoring control system, device under monitor, monitoring device, and data collecting method for device information
JP2005323322A (en) * 2004-04-08 2005-11-17 Hitachi Ltd System for storing and analyzing log information
JP2005318222A (en) * 2004-04-28 2005-11-10 Mitsubishi Electric Corp System and method for packet transmission

Also Published As

Publication number Publication date
JP2007173931A (en) 2007-07-05

Similar Documents

Publication Publication Date Title
US11989323B1 (en) Information security implementations with extended capabilities
US8504681B1 (en) Method, system, and storage medium for adaptive monitoring and filtering traffic to and from social networking sites
US9043587B1 (en) Computer security threat data collection and aggregation with user privacy protection
US20200052983A1 (en) Data leakage protection in cloud applications
JP5598547B2 (en) Access restriction device, access restriction program, and access restriction method
US20080098237A1 (en) Secure e-mail services system and methods implementing inversion of security control
EP1854243B1 (en) Mapping an encrypted https network packet to a specific url name and other data without decryption outside of a secure web server
US20090287788A1 (en) Network asset tracker
US20030204741A1 (en) Secure PKI proxy and method for instant messaging clients
US20060010322A1 (en) Record management of secured email
JP2008299617A (en) Information processing device, and information processing system
CN111030963B (en) Document tracking method, gateway equipment and server
US10298401B1 (en) Network content search system and method
WO2020036024A1 (en) System and method for secret sharing of files
JP4699893B2 (en) Packet analysis system, packet analysis program, packet analysis method, and packet acquisition device
CN111241104A (en) Operation auditing method and device, electronic equipment and computer-readable storage medium
Sharma et al. A comprehensive review on encryption based open source cyber security tools
US20160212082A1 (en) System and method for securing electronic messages
JP2008219742A (en) Attached file encryption method and mail server implementing the same method
Sahoo et al. Research issues on windows event log
Akinbi et al. Forensic analysis of open-source XMPP/Jabber multi-client instant messaging apps on Android smartphones
CN112104590B (en) Method and system for detecting private connection of network equipment in private network to public network
JP4660658B1 (en) Communication information analysis system
Hopkins et al. Redefining privacy and security in the electronic communication age: A lawyer's ethical duty in the virtual world of the Internet
US7752657B2 (en) Data processing system and method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081216

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101015

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101026

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101221

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110301

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110303

R150 Certificate of patent or registration of utility model

Ref document number: 4699893

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250