JP5061316B1 - 通信パケット解析装置 - Google Patents

通信パケット解析装置 Download PDF

Info

Publication number
JP5061316B1
JP5061316B1 JP2012009990A JP2012009990A JP5061316B1 JP 5061316 B1 JP5061316 B1 JP 5061316B1 JP 2012009990 A JP2012009990 A JP 2012009990A JP 2012009990 A JP2012009990 A JP 2012009990A JP 5061316 B1 JP5061316 B1 JP 5061316B1
Authority
JP
Japan
Prior art keywords
communication
information
address
user
communication packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012009990A
Other languages
English (en)
Other versions
JP2013150195A (ja
Inventor
隆幸 杉浦
正幸 礒部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NetAgent Co Ltd
Original Assignee
NetAgent Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NetAgent Co Ltd filed Critical NetAgent Co Ltd
Priority to JP2012009990A priority Critical patent/JP5061316B1/ja
Application granted granted Critical
Publication of JP5061316B1 publication Critical patent/JP5061316B1/ja
Publication of JP2013150195A publication Critical patent/JP2013150195A/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】通信データを送受信したユーザを容易に特定するための情報を通信パケットから自動的に生成する。
【解決手段】本発明の通信パケット解析装置140は、通信パケットが所定のネットワークサービスにログインするためのアカウント情報を含む場合に、該アカウント情報に含まれるユーザ名と、通信パケットの送信時刻及び送信元IPアドレスとを抽出する。さらに送信時刻及び送信元IPアドレスを用いて、同一の通信クライアントが送信元IPアドレスをIPアドレスとしてLAN120に接続されていたIP占有期間を判定する。そして、このIP占有期間に該送信元IPアドレスを用いて送信されたアカウント情報が複数種類抽出された場合に、これらのアカウント情報に含まれるユーザ識別情報を同一ユーザのユーザ識別情報であると判断して、ユーザ毎のユーザ識別情報リストを作成する。
【選択図】図1

Description

本発明は、LAN(Local Area Network)に接続された通信クライアントを用いて複数のネットワークサービスを受けるユーザの同一性を判断するための通信パケット解析装置に関する。
従来より、通信ネットワークを流れる通信パケットを取得して保存する技術が知られており、パケットキャプチャと称されている。パケットキャプチャを用いることにより、例えば企業内LAN(Local Area Network)に流れる通信パケットを保存することができ、これにより、かかるLAN内の通信クライアント(パーソナルコンピュータ等)が閲覧したウェブページ等を管理者に再現させることができる。パケットキャプチャは、例えば従業員がパーソナルコンピュータを用いて不正行為等を行っているか否かの監視等に利用することができる。
パケットキャプチャを行う装置としては、例えば下記特許文献1に開示された装置が知られている。この装置では、通信ネットワーク内を流れる通信パケットを取得してワークメモリに格納すると共に、これらの通信データを解析して解析結果データベースに格納する。管理者は、管理部のウェブブラウザを用いて、ウェブページを再現する。
国際公開2002/029579号公報
従業員等のネットワーク利用状況を監視するためには、通信を行った従業員等を、通信データ毎に特定する必要がある。
IP(Internet protocol) アドレスが従業員毎に固定されている場合には、通信データを送受信した従業員等を容易に特定することができる。例えば、従業員毎に専用のパーソナルコンピュータ等の通信クライアントがあてがわれており、且つ、各通信クライアントに固定IPアドレスが付されているような場合は、通信パケットのIPアドレスから当該従業員等を特定することができる。
しかしながら、例えば企業内LANにDHCP(Dynamic Host Configuration Protocol)が導入されているような場合には、通信クライアントのIPアドレスが動的に変化するため、通信を行った従業員をIPアドレスから特定することはできない。
また、フリーアドレス制(すなわち、従業員の座席を固定しない制度)を採用するオフィス等では、従業員が使用する通信クライアントも固定的でない場合があり、このため、通信を行った従業員をIPアドレスから特定することはできない。
一方、IPアドレスに加えて、MAC(Media Access Control)アドレスや、TCP(Transmission Control Protocol) セッションの情報、アプリケーション固有の情報等を用いて、通信を行った従業員を特定することも、原理的には可能である。しかしながら、このような方法は、ネットワーク技術に対する非常に高度な知識や多大な労力を必要とするため、実現が困難な場合も多い。
本発明の課題は、通信データを送受信したユーザを容易に特定するための情報を通信パケットから自動的に生成する通信パケット解析装置を提供することにある。
本発明に係る通信パケット解析装置は、ローカルエリアネットワークに接続された複数の通信クライアントが送受信する通信パケットを保存して解析する通信パケット解析装置であって、前記通信パケットが所定のネットワークサービスにログインするためのアカウント情報を含む場合に、該アカウント情報に含まれるユーザ識別情報と、該通信パケットの送信時刻と、該通信パケットの送信元IPアドレスとを抽出する手段と、前記送信時刻及び前記送信元IPアドレスを用いて、同一の前記通信クライアントが前記送信元IPアドレスをIPアドレスとして前記ローカルエリアネットワークに接続されていた接続時間帯を判定する手段と、該接続時間帯に前記送信元IPアドレスを用いて送信された前記アカウント情報が複数種類抽出された場合に、これらのアカウント情報に含まれるユーザ識別情報を同一ユーザのユーザ識別情報であると判断して、ユーザ毎のユーザ識別情報リストを作成する手段とを備えることを特徴とする。
本発明の通信パケット解析装置において、前記接続時間帯は、前記アカウント情報に対応する送信時刻を含む所定時間を、前記ユーザが該アカウント情報を用いて前記ネットワークサービスを受けていたセッション維持期間であると判断すると共に、同一の送信元IPアドレスに対応する複数の前記セッション維持期間が重複している場合は、最初のセッション維持期間の開始時刻から最後のセッション維持期間の終了までを、前記接続時間帯であると判断することにより判定されることが望ましい。
本発明によれば、通信パケットに含まれるアカウント情報から、同一のユーザに対応している可能性が高いユーザ識別情報を自動的に収集して、ユーザ毎のユーザ識別情報リストを作成することができる。
また、同一の送信元IPアドレスについて複数種類のセッション維持期間が重複している場合に、最初のセッション維持期間の開始時刻から最後のセッション維持期間の終了までを、当該ユーザが通信接続していた時間帯であると推定することにより、通信を行ったユーザを特定する際の信頼性を向上させることができる。
実施の形態1に係るローカルエリアネットワークを示す概念図である。 実施の形態1に係る通信パケット解析装置の動作を説明するための図である。
[発明の実施の形態1]
本発明の実施の形態1に係る通信パケット解析装置について、図1及び図2を参照して説明する。
図1は、この実施の形態1に係る通信パケット解析装置が接続される通信ネットワーク100の構成例を示す概念図である。
図1に示したように、通信ネットワーク100において、インターネット110には、LAN(Local Area Network)120や、ウェブサーバ130等が接続されている。
LAN120は、通信クライアントとしての複数台の端末コンピュータ121−1〜121−nを含む。
端末コンピュータ121−1〜121−nは、スイッチングハブ123を介して相互に通信接続されている。また、これらの端末コンピュータ121−1〜121−nは、このスイッチングハブ123と、ファイアウォール124と、ルータ125とを介して、インターネット110に通信接続されている。これにより、端末コンピュータ121−1〜121−nは、インターネット110を介して、ウェブサーバ130等にアクセスすることが可能になる。
スイッチングハブ123、ファイアウォール124及びルータ125は、従来と同じものを使用できるので、説明を省略する。
本実施形態では、スイッチングハブ123とファイアウォール124との間に、通信パケット解析装置140が接続されている。但し、通信パケット解析装置140は、LAN120内の他の位置に接続することも可能である。
通信パケット解析装置140は、通信パケットを保存するパケット格納部141と、保存された通信パケットを解析するパケット解析部142とを備えている。
パケット格納部141は、端末コンピュータ121−1〜121−nがインターネット130上のサーバ(例えばウェブサーバ130等)と通信を行った際に、この通信に係る通信パケットを取り込んで、該通信パケットのコピーを格納する。通信パケットを取り込む技術としては、周知の技術を使用することができる(例えば上記特許文献1参照)。
パケット解析部142は、格納された通信パケットから、アクター情報(後述)を、自動的に作成する。このアクター情報には、後述するように、対象となるネットワークサービスをアクター(ここでは、LAN120のユーザ)が利用するときのユーザ識別情報(IDやユーザ名等、ユーザを特定するための情報)の一覧が含まれている。この実施の形態1では、対象となるネットワークサービスを、「サイボウズ」(登録商標)、「mixi」(登録商標)、「Facebook」(登録商標)、「Twitter」(登録商標)とする。但し、ユーザ識別情報を含むアカウント情報を用いるサービスであれば、他のネットワークサービスを対象とすることも可能である。例えば、他のソーシャルネットワークサービスを対象としても良いし、所望のファイル共有サービス(インターネット上でファイル保管用のストレージスペースを貸し出すサービス)や電子メール等を対象としてもよい。
パケット解析部142には、予め、対象となるネットワークサービスが登録される。そして、各ネットワークサービス毎に、サービスを特定する方法や、通信パケットからアカウント情報を抽出するメソッドが定義されている。例えば、ソーシャルネットワークサービスの種類を特定するためには、そのソーシャルネットワークサービスのURL(Uniform Resource Locator)等を予め登録しておいて、通信パケットに格納されたURL等と比較すればよい。また、電子メールのサービスであることを認識するためには、プロトコルの種類を判別すればよい。
対象となるネットワークサービスには、予め、信頼度が定められる。この実施の形態では、ユーザ名等として当該ユーザの本名を使用する可能性が高いネットワークサービスほど、高い信頼度を与える。例えば、サイボウズ等のグループウエアは、本名を使用する可能性が非常に高く、従って、最も高い信頼度を与える。
以下、通信パケット解析装置140の動作について説明する。
まず、パケット格納部141の動作を説明する。パケット格納部141の動作は、従来のパケットキャプチャ装置と同様である。
最初に、ユーザが、ウェブサーバ130のウェブサイトを閲覧するために端末コンピュータ121−1〜121−nのいずれかを操作すると、当該端末コンピュータにより、通信パケットが生成される。この通信パケットには、アクセス対象となるウェブサイトのURLを特定する情報が含まれている。また、アクセス対象がログイン画面等である場合には、この通信パケットには、ユーザ名等のユーザ識別情報が含まれている。この通信パケットは、通信パケット解析装置140を通過するときにコピーされて、パケット格納部141に格納される。
ウェブサーバ130は、この通信パケットを受信すると、当該URLに対応するウェブデータを含む通信パケットを生成する。そして、ウェブサーバ130は、この通信パケットを、対応する端末コンピュータに向けて送信する。この通信パケットも、通信パケット保存装置140を通過するときにコピーされて、パケット格納部141に格納される。
次に、パケット解析部142の動作を説明する。
パケット解析部142は、まず、パケット格納部141に格納された通信パケットについて、以下の処理を行う。
(1)アカウント利用痕跡情報生成処理
パケット解析部142は、まず、通信パケットに格納されたデータから、解析対象となる通信パケットか否かを判断する。この判断は、上述のように、通信パケットに格納されたURL等やプロトコルの種類等を用いて行うことができる。
解析対象となる通信パケットであると判断された場合、パケット解析部142は、ネットワークサービス毎に予め定義されたメソッド(上述)を用いて、通信パケットの格納データから、ユーザ名等のユーザ識別情報を抽出する。解析対象がソーシャルネットワークサービスである場合、ユーザ識別情報の抽出は、例えば、CSS(Cascading Style Sheets)セレクタやDOM(Document Object Model)等をライブラリを用いて、ウェブサイト(ログイン用の画面)のHTML(HyperText Markup Language)からユーザ識別情報入力領域を特定し、その領域に対応する文字列を抜き出すことによって、行うことができる。このためには、対象となるウェブサイト毎に、セレクタに与えるパスを定めておけばよい。パスの決定は、人為的に行ってもよいし、クローラ等を使用して自動的に抽出してもよい。
ユーザ識別情報が抽出されると、パケット解析部142は、アカウント情報キーを生成する。このアカウント情報キーは、抽出されたユーザ識別情報と、ネットワークサービスの種類(サイボウズ、mixi等)を特定する情報とを含む。
そして、パケット解析部142は、このアカウント情報キーと、当該通信パケットに格納された送信元IPアドレスと、通信時刻とを、アカウント利用痕跡情報として、データベース(図示せず)に記録する。
続いて、パケット解析部142は、このアカウント情報キー(すなわち、ユーザ識別情報とネットワークサービスの種類との組み合わせ)と同一のアカウント情報キーが、データベース内に既に記録されているか否かをチェックする。
同一のアカウント情報キーが記録されていなかった場合、パケット解析部142は、新しいアクター情報を生成して、このアカウント情報キーを書き込む。ここで、アクター情報とは、アクター(ここでは、LAN120のユーザ)が上記ネットワークサービスを利用するときのユーザ識別情報(例えばユーザ名)をネットワークサービスの種類毎に一覧化した情報である。このアカウント利用痕跡情報生成処理で生成されたアクター情報に対しては、後述のアクター情報編集処理で、新たなアカウント情報キーの追加等が行われる。例えば、同一のアクター情報内に、サイボウズのユーザ名として「山田太郎」が含まれ、Twitterのユーザ名として「Cta」が含まれ、且つ、mixiのユーザ名として「stan」が含まれている場合、これらのユーザ名「山田太郎」、「Cta」及び「stan」が同一アクターによって使用されていると判断されたことになる。
また、アクター情報には、アクターの信頼度を示す情報が含まれる。上述のように、アクターの信頼度とは、そのユーザ識別情報が当該アクターの本名である可能性の高さを示す情報である。アクターの信頼度は、ネットワークサービスの種類毎に、システムの設計者或いは管理者等が、人為的に定める。新しいアクター情報が生成されてデータベースに記録されると、パケット解析部142は、アカウント利用痕跡情報生成処理を終了する。
一方、同一のアカウント情報キーがデータベースに記録されている場合、アクター情報は既に生成されているはずである。従って、パケット解析部142は、そのままアカウント利用痕跡情報生成処理を終了する。
(2)セッション維持期間情報生成処理
パケット解析部142は、上述のアカウント利用痕跡情報を用い、以下のようにして、セッションの維持時間情報を生成する。
通常、ユーザは、ネットワークサービスにログインしたのち、そのネットワークサービスのウェブ画面に表示された文章等を読む等の作業を行う。そして、ユーザが文章を読んでいる期間等には、通信パケットの送受信は行われていない。更には、ユーザがネットワークサービスの閲覧を終えた後、ログアウト処理を行わずにブラウザを閉じる等して当該ネットワークサービスに対するセッションを終える場合も多い。従って、ログアウト処理を行う通信パケットのみによってセッションの終了を判断することはできない。
このため、この実施の形態1では、あるアカウント利用痕跡情報が示す通信時刻から所定時間(以下、タイムアウト時間と記す)内に、送信元IPアドレス及びアカウント情報キーが該アカウント利用痕跡情報と同一の通信パケットが送信された場合には、これらの通信は同一セッションに含まれると判断する。
一方、あるアカウント利用痕跡情報が示す通信時刻からタイムアウト時間が経過した後は、送信元IPアドレス及びアカウント情報キーが該アカウント利用痕跡情報と同一の通信パケットが送信された場合でも、同一セッションとはみなさず、別個のセッションであると判断する。
この実施の形態1では、タイムアウト時間を、ネットワークサービスの種類(サイボウズ、mixi等)毎に、人為的に決定する。
例えば、図2(a)の例において、通信時刻が13時0分のアカウント利用痕跡情報と通信時刻が13時46分のアカウント利用痕跡情報は、アカウント情報キーが同一である(共に、ユーザ名が「山田太郎」で且つネットワークサービスが「サイボウズ」である)。このような場合、サイボウズのタイムアウト時間が例えば60分であれば、これらのアカウント利用痕跡情報は、同一ユーザ(図2では「社員A」とした)の同一セッションに属すると判断される。一方、タイムアウト時間が例えば30分に規定されたネットワークサービスでは、これらのアカウント利用痕跡情報は、ユーザは同一であるがセッションは異なると判断される。
以上のようにして、パケット解析部142は、アカウント利用痕跡情報からセッション維持期間を判定して、セッション維持期間情報を生成する。このセッション維持期間情報は、対応する1又は複数のアカウント利用痕跡情報と関連づけて、データベースに記録される。
(3)IP占有期間判定処理
パケット解析部142は、上述のアカウント利用痕跡情報とセッション維持時間情報とを用い、以下のようにして、IP占有期間を判定する。
一人のユーザが、あるネットワークサービスにログインしたままの状態で、他のネットワークサービスにもログインする場合がある。例えば、サイボウズ等のグループウエアにログインしてスケジュールを確認しながら、ウェブメールサービスを用いて他者に打合せ日時を提案するためのメールを作成する場合、二種類のネットワークサービスに同時にログインする必要がある。
これら二種類のネットワークサービスに対するログインは、アカウント情報キー(すなわち、ユーザ識別情報とネットワークサービスの種類との組み合わせ)が異なるため、上述のセッション維持期間情報では、別個のセッションであると判断されている。
一方、これらのセッションが同一の端末コンピュータによって行われている場合、同一の送信元IPアドレスが使用される。すなわち、複数のセッションについて、送信元IPアドレスが同一で且つセッション維持期間に重なりがある場合には、これらのセッションは同一の端末コンピュータによって実行されていると考えられる。
このようにして、パケット解析部142は、IPアドレス毎に、そのIPアドレスが同一の端末コンピュータに占有されていた期間を判定し、IP占有期間としてデータベースに記録する。
例えば、図2(b)の例では、通信時刻が13時0分のアカウント利用痕跡情報と通信時刻が13時46分のアカウント利用痕跡情報とが同一のセッションに対応していると判断された場合、このセッションのIPアドレスである172.16.1.1と同じIPアドレスであって且つセッション維持時間が重なるセッションは、すべて同一の端末コンピュータに対応している。すなわち、図2(c)に示したように、通信時刻が13時2分のTwitterのセッション、通信時刻が13時5分のmixiのセッション、通信時刻が13時31分のTwitterのセッション及び通信時刻が13時42分のmixiのセッションは、すべて同一の端末コンピュータで実行されている。
また、そのセッションの前後所定時間の通信に関しても、送信元IPアドレスが同一であれば、当該セッションと同じ端末コンピュータが使用されている可能性が高い。例えば、図2(b)の例では、通信時刻が13時0分のアカウント利用痕跡情報と通信時刻が13時46分のアカウント利用痕跡情報とが同一のセッションに対応していると判断された場合、その前後所定時間(例えば1時間)の通信においても、IPアドレスが同一であれば、同じ端末コンピュータが使用されている可能性が高い。従って、通信時刻が13時54分のmixiのセッションをIP占有期間に含めてもよい。
これらのセッションは、同一ユーザ(図2では社員Aとした)によって行われている可能性が高い。
パケット解析部142は、生成されたIP占有時間を、アカウント利用痕跡情報及びセッション維持時間情報に関連づけて、データベースに記録する。
(4)アクター情報編集処理
上述のように、同一のIP占有期間に属するセッション(すなわち、送信元IPアドレスが同一で且つセッション維持期間が重なっているセッション)は、同一ユーザによって行われている可能性が高い。このため、パケット解析部142は、このIP占有期間を用いて、以下のようにして、アクター情報を編集する。
パケット解析部142は、対象となるIP占有期間に対応するアカウント利用痕跡情報を収集する。図2(c)の例では、13時0分から13時46分までの間に、送信元IPアドレス172.16.1.1であったアカウント利用痕跡情報が収集される。そして、これらのアカウント利用痕跡情報に対応するアカウント情報キーをデータベースから抽出し、更に、これらのアカウント情報キーに対応するアクター情報をデータベースから抽出する。
上述のアカウント利用痕跡情報生成処理で説明したように、アクター情報は、新しいアカウント情報が検出されて新しいアカウント情報キーが生成される度に生成される。従って、通常、ここでは、少なくとも1個のアクター情報が抽出される。なお、データベースからアクター情報が抽出されない場合は、エラー処理を行ってもよいし、ダミーのアクター情報を生成してもよい。
データベースから抽出されたアクター情報が1個の場合、パケット解析部142は、このアクター情報に対応しているアカウント情報キーをデータベースから抽出する。そして、パケット解析部142は、他のアカウント情報キーを、このアクター情報に追加する。
例えば、図2(c)の例において、抽出されたアクター情報に、ユーザ名が「山田太郎」で且つネットワークサービスが「サイボウズ」のアカウント情報キーが含まれていた場合、他のアカウント情報キーとして、ユーザ名が「Cta」で且つネットワークサービスが「Twitter」であることを示すアカウント情報キーと、ユーザ名が「stan」で且つネットワークサービスが「mixi」であることを示すアカウント情報キーとが、当該アクター情報に追加される。そして、このアクター情報の信頼度は、最も信頼度の高いネットワークサービスの信頼度に設定される。
一方、データベースから抽出されたアクター情報が複数個の場合、パケット解析部142は、これらのアクター情報を合併する。そして、これらのアクター情報に含まれるアカウント情報キーは、全て、合併後のアクター情報に格納される。合併後のアクター情報の信頼度は、最も信頼度の高いネットワークサービスの信頼度に設定される。例えば、抽出された2個のアクター情報のうち、一方のアクター情報の信頼度が高い場合には、低信頼度のアクター情報に含まれるアカウント情報キーを高信頼度のアクター情報に移動させた後で、低信頼度のアクター情報を削除すればよい。
同一のアクター情報に含まれるアカウント情報キー(すなわち、ユーザ識別情報とネットワークサービスの種類との組み合わせ)は、それぞれ同一ユーザのもので有る可能性が高い。従って、この実施の形態1で生成されたアクター情報は、LAN120のユーザ識別情報リストとして使用することができる。
また、上述のように、アクター情報には、ユーザ識別情報として、本名である可能性が高い文字列が含まれている場合がある。このような場合は、ユーザを特定することが容易になる。更に、この実施の形態1では、本名である可能性をネットワークサービスの種類毎に定めて、その可能性の高低をアクター情報の信頼度と定義したので、本名であるか否かの判断に対する信頼性を高めることができる。
以上説明したように、この実施の形態1によれば、通信パケットに含まれるアカウント情報から、同一のユーザに対応している可能性が高いユーザ識別情報を自動的に収集して、ユーザ毎のユーザ識別情報リストを生成することができる。
また、この実施の形態1によれば、同一の送信元IPアドレスについて複数種類のセッション維持期間が重複している場合に、最初のセッション維持期間の開始時刻から最後のセッション維持期間の終了までの時刻を、当該ユーザが通信接続していた時間帯であると推定することにより、簡単な手順で、通信を行ったユーザを特定する際の信頼性を向上させることができる。
100 通信ネットワーク
110 インターネット
120 LAN
121−1〜121−n 端末コンピュータ
123 スイッチングハブ
124 ファイアウォール
125 ルータ
130 ウェブサーバ
140 通信パケット解析装置

Claims (2)

  1. ローカルエリアネットワークに接続された複数の通信クライアントが送受信する通信パケットを保存して解析する通信パケット解析装置であって、
    前記通信パケットが所定のネットワークサービスにログインするためのアカウント情報を含む場合に、該アカウント情報に含まれるユーザ識別情報と、該通信パケットの送信時刻と、該通信パケットの送信元IPアドレスとを抽出する手段と、
    前記送信時刻及び前記送信元IPアドレスを用いて、同一の前記通信クライアントが前記送信元IPアドレスをIPアドレスとして前記ローカルエリアネットワークに接続されていた接続時間帯を判定する手段と、
    該接続時間帯に前記送信元IPアドレスを用いて送信された前記アカウント情報が複数種類抽出された場合に、これらのアカウント情報に含まれるユーザ識別情報を同一ユーザのユーザ識別情報であると判断して、ユーザ毎のユーザ識別情報リストを作成する手段と、
    を備えることを特徴とする通信パケット解析装置。
  2. 前記接続時間帯は、
    前記アカウント情報に対応する送信時刻を含む所定時間を、前記ユーザが該アカウント情報を用いて前記ネットワークサービスを受けていたセッション維持期間であると判断すると共に、
    同一の送信元IPアドレスに対応する複数の前記セッション維持期間が重複している場合は、最初のセッション維持期間の開始時刻から最後のセッション維持期間の終了までを、前記接続時間帯であると判断する、
    ことにより判定されることを特徴とする請求項1に記載の通信パケット解析装置。
JP2012009990A 2012-01-20 2012-01-20 通信パケット解析装置 Expired - Fee Related JP5061316B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012009990A JP5061316B1 (ja) 2012-01-20 2012-01-20 通信パケット解析装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012009990A JP5061316B1 (ja) 2012-01-20 2012-01-20 通信パケット解析装置

Publications (2)

Publication Number Publication Date
JP5061316B1 true JP5061316B1 (ja) 2012-10-31
JP2013150195A JP2013150195A (ja) 2013-08-01

Family

ID=47189598

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012009990A Expired - Fee Related JP5061316B1 (ja) 2012-01-20 2012-01-20 通信パケット解析装置

Country Status (1)

Country Link
JP (1) JP5061316B1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107015980B (zh) * 2016-01-27 2020-12-25 腾讯科技(北京)有限公司 一种进行信息展示的方法和装置
JP6200549B2 (ja) * 2016-05-26 2017-09-20 ヤフー株式会社 判定装置、判定方法及び判定プログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004246512A (ja) * 2003-02-12 2004-09-02 Canon Inc 情報処理システム
JP2006079228A (ja) * 2004-09-08 2006-03-23 Matsushita Electric Ind Co Ltd アクセス管理装置
JP2009017298A (ja) * 2007-07-05 2009-01-22 Alaxala Networks Corp データ分析装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004246512A (ja) * 2003-02-12 2004-09-02 Canon Inc 情報処理システム
JP2006079228A (ja) * 2004-09-08 2006-03-23 Matsushita Electric Ind Co Ltd アクセス管理装置
JP2009017298A (ja) * 2007-07-05 2009-01-22 Alaxala Networks Corp データ分析装置

Also Published As

Publication number Publication date
JP2013150195A (ja) 2013-08-01

Similar Documents

Publication Publication Date Title
US20230177008A1 (en) Session-Based Processing Method and System
Schneider et al. Understanding online social network usage from a network perspective
US9401929B2 (en) Method, system and computer program product for tagging content on uncontrolled Web application
CN105930363B (zh) 一种基于html5网页的用户行为分析方法及装置
US8180376B1 (en) Mobile analytics tracking and reporting
AU2012363126B2 (en) Terminal device and user information synchronization method
CN102356390A (zh) 诸如用于Web服务器的灵活的日志记录
CN102065147A (zh) 一种基于企业应用系统获取用户登录信息的方法及装置
WO2008064593A1 (fr) Procédé et système d'analyse de journal basés sur un réseau de calcul distribué
US8949462B1 (en) Removing personal identifiable information from client event information
US20140149487A1 (en) Replication and decoding of an instant message data through a proxy server
US20190289085A1 (en) System and method for tracking online user behavior across browsers or devices
JP5102556B2 (ja) ログ解析支援装置
Reddy et al. Preprocessing the web server logs: an illustrative approach for effective usage mining
CN114692049A (zh) 基于浏览器的录屏方法及装置、电子设备、存储介质
CN105159992A (zh) 一种应用程序的页面内容及网络行为的检测方法及装置
JP5061316B1 (ja) 通信パケット解析装置
CN114531345B (zh) 流量比对结果存储方法、装置、设备及存储介质
KR101055871B1 (ko) 웹 로그의 실시간 분석을 통한 사용자 세션 정보 추출 장치 및 방법
CN105763633A (zh) 一种域名和网站访问行为的关联方法
Khalid et al. Forensic investigation of Cisco WebEx desktop client, web, and Android smartphone applications
CN111211995B (zh) 一种字符串匹配库获取网络流量业务分析方法及装置
JP5851251B2 (ja) 通信パケット保存装置
Raghavan et al. Reconstructing tabbed browser sessions using metadata associations
JP5069057B2 (ja) ログ解析支援装置

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

R150 Certificate of patent or registration of utility model

Ref document number: 5061316

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150817

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees