JP6811639B2 - ファイル監視装置およびファイル監視プログラム - Google Patents
ファイル監視装置およびファイル監視プログラム Download PDFInfo
- Publication number
- JP6811639B2 JP6811639B2 JP2017028943A JP2017028943A JP6811639B2 JP 6811639 B2 JP6811639 B2 JP 6811639B2 JP 2017028943 A JP2017028943 A JP 2017028943A JP 2017028943 A JP2017028943 A JP 2017028943A JP 6811639 B2 JP6811639 B2 JP 6811639B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- unit
- name
- management
- monitoring device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012806 monitoring device Methods 0.000 title claims description 31
- 238000012544 monitoring process Methods 0.000 claims description 39
- 239000000284 extract Substances 0.000 claims description 23
- 238000004891 communication Methods 0.000 claims description 19
- 238000007689 inspection Methods 0.000 claims description 17
- 238000000034 method Methods 0.000 description 23
- 230000006870 function Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ファイルサーバで管理されているファイルを監視するための技術に関するものである。
ファイルサーバはネットワークに置かれることが多く、ファイルサーバとクライアントとの間でファイルがやり取りされる。
従来、やり取りされたファイルの名称およびやり取りされたファイルに対する操作といった情報が、ネットワークを流れるパケットから取得されている。
従来、やり取りされたファイルの名称およびやり取りされたファイルに対する操作といった情報が、ネットワークを流れるパケットから取得されている。
特許文献1には、クライアント装置から外部のサーバ装置へ送信されたパケットを解析するための技術が開示されている。
ファイルサーバに保存されているファイルは、クライアントから容易に参照することが可能である。ファイルに必要な権限が設定されている場合、必要な権限を有する者のみがファイルを参照することが可能である。
従来、ファイル名および操作といった情報を取得することは可能であったが、操作が行われた時のファイルの内容を取得することはできなかった。
そのため、どのような内容のファイルに対して操作が行われたか知ることはできなかった。つまり、ファイルサーバに保存されているファイルの内容が変更されてしまうと、操作が行われた時のファイルの内容を知ることができなかった。したがって、操作が行われた時のファイルの内容を検査することもできなかった。
従来、ファイル名および操作といった情報を取得することは可能であったが、操作が行われた時のファイルの内容を取得することはできなかった。
そのため、どのような内容のファイルに対して操作が行われたか知ることはできなかった。つまり、ファイルサーバに保存されているファイルの内容が変更されてしまうと、操作が行われた時のファイルの内容を知ることができなかった。したがって、操作が行われた時のファイルの内容を検査することもできなかった。
本発明は、操作が行われた時のファイルの内容を取得できるようにすることを目的とする。
本発明のファイル監視装置は、
ファイルサーバを有するネットワークに接続された機器であるスイッチから、前記スイッチによって中継されたパケットを受信する通信部と、
受信されたパケットがファイル共有プロトコルに従って通信されたファイル共有パケットであるか判定する解析部と、
前記ファイルサーバで管理されている管理ファイルを1つ以上のファイル共有パケットを用いて復元する復元部とを備える。
ファイルサーバを有するネットワークに接続された機器であるスイッチから、前記スイッチによって中継されたパケットを受信する通信部と、
受信されたパケットがファイル共有プロトコルに従って通信されたファイル共有パケットであるか判定する解析部と、
前記ファイルサーバで管理されている管理ファイルを1つ以上のファイル共有パケットを用いて復元する復元部とを備える。
前記ファイル監視装置は、
復元された管理ファイルからテキストを抽出し、抽出されたテキストから監視情報を抽出する検査部を備える。
復元された管理ファイルからテキストを抽出し、抽出されたテキストから監視情報を抽出する検査部を備える。
前記検査部は、抽出された監視情報がアラート条件を満たすか判定し、抽出された監視情報がアラート条件を満たす場合にアラートを通知する。
前記ファイル監視装置は、復元された管理ファイルをファイル名とアクセス時刻と抽出された監視情報とに対応付けて記憶する記憶部を備える。
前記ファイル監視装置は、
指定ファイル名と指定期間とを受け付ける受付部と、
前記指定ファイル名と同じファイル名に対応付けられ、且つ、前記指定期間に対応するアクセス時刻に対応付けられた管理ファイルを前記記憶部から見つける検索部と、
見つかった管理ファイルの一覧を出力する出力部とを備える。
指定ファイル名と指定期間とを受け付ける受付部と、
前記指定ファイル名と同じファイル名に対応付けられ、且つ、前記指定期間に対応するアクセス時刻に対応付けられた管理ファイルを前記記憶部から見つける検索部と、
見つかった管理ファイルの一覧を出力する出力部とを備える。
前記ファイル監視装置は、復元された管理ファイルを記憶する記憶部を備える。
前記解析部は、いずれかのファイル共有パケットからユーザ名を取得する。
前記記憶部は、前記復元された管理ファイルをファイル名と前記ユーザ名とに対応付けて記憶する。
前記解析部は、いずれかのファイル共有パケットからユーザ名を取得する。
前記記憶部は、前記復元された管理ファイルをファイル名と前記ユーザ名とに対応付けて記憶する。
前記ファイル監視装置は、
指定ファイル名を受け付ける受付部と、
前記指定ファイル名と同じファイル名に対応付けられたユーザ名を前記記憶部から見つける検索部と、
見つかったユーザ名を出力する出力部とを備える。
指定ファイル名を受け付ける受付部と、
前記指定ファイル名と同じファイル名に対応付けられたユーザ名を前記記憶部から見つける検索部と、
見つかったユーザ名を出力する出力部とを備える。
前記ファイル監視装置は、
指定ユーザ名を受け付ける受付部と、
前記指定ユーザ名と同じユーザ名に対応付けられたファイル名を前記記憶部から見つける検索部と、
見つかったファイル名を出力する出力部とを備える。
指定ユーザ名を受け付ける受付部と、
前記指定ユーザ名と同じユーザ名に対応付けられたファイル名を前記記憶部から見つける検索部と、
見つかったファイル名を出力する出力部とを備える。
本発明のファイル監視プログラムは、
ファイルサーバを有するネットワークに接続された機器であるスイッチから、前記スイッチによって中継されたパケットを受信する通信部と、
受信されたパケットがファイル共有プロトコルに従って通信されたファイル共有パケットであるか判定する解析部と、
前記ファイルサーバで管理されている管理ファイルを1つ以上のファイル共有パケットを用いて復元する復元部としてコンピュータを機能させる。
ファイルサーバを有するネットワークに接続された機器であるスイッチから、前記スイッチによって中継されたパケットを受信する通信部と、
受信されたパケットがファイル共有プロトコルに従って通信されたファイル共有パケットであるか判定する解析部と、
前記ファイルサーバで管理されている管理ファイルを1つ以上のファイル共有パケットを用いて復元する復元部としてコンピュータを機能させる。
本発明のファイル監視装置は、
保存装置に保存されたパケットがファイル共有プロトコルに従って通信されたファイル共有パケットであるか判定する解析部と、
ファイルサーバで管理されている管理ファイルを1つ以上のファイル共有パケットを用いて復元する復元部とを備える。
保存装置に保存されたパケットがファイル共有プロトコルに従って通信されたファイル共有パケットであるか判定する解析部と、
ファイルサーバで管理されている管理ファイルを1つ以上のファイル共有パケットを用いて復元する復元部とを備える。
本発明のファイル監視プログラムは、
保存装置に保存されたパケットがファイル共有プロトコルに従って通信されたファイル共有パケットであるか判定する解析部と、
ファイルサーバで管理されている管理ファイルを1つ以上のファイル共有パケットを用いて復元する復元部としてコンピュータを機能させる。
保存装置に保存されたパケットがファイル共有プロトコルに従って通信されたファイル共有パケットであるか判定する解析部と、
ファイルサーバで管理されている管理ファイルを1つ以上のファイル共有パケットを用いて復元する復元部としてコンピュータを機能させる。
本発明によれば、中継される1つ以上のパケットを用いてファイルが復元されるため、操作が行われた時のファイルの内容を取得することが可能である。
実施の形態および図面において、同じ要素および対応する要素には同じ符号を付している。同じ符号が付された要素の説明は適宜に省略または簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。
実施の形態1.
ファイルサーバで管理されているファイルを監視する形態について、図1から図5に基づいて説明する。
ファイルサーバで管理されているファイルを監視する形態について、図1から図5に基づいて説明する。
***構成の説明***
図1に基づいて、ファイル監視システム100の構成を説明する。
ファイル監視システム100は、ファイルサーバ110と、複数のクライアント端末120とスイッチ130とファイル監視装置200とを備える。
図1に基づいて、ファイル監視システム100の構成を説明する。
ファイル監視システム100は、ファイルサーバ110と、複数のクライアント端末120とスイッチ130とファイル監視装置200とを備える。
ファイルサーバ110は、ファイルを管理するサーバである。サーバは、コンピュータである。ファイルサーバ110で管理されるファイルを管理ファイルという。
管理ファイルは、共有ファイルと個人ファイルとの総称である。
共有ファイルは、複数のユーザによって共有されるファイルである。
個人ファイルは、特定の個人のみが操作できるファイルである。
管理ファイルは、共有ファイルと個人ファイルとの総称である。
共有ファイルは、複数のユーザによって共有されるファイルである。
個人ファイルは、特定の個人のみが操作できるファイルである。
ファイルサーバ110は、第1ネットワーク101に接続されている。
第1ネットワーク101は、ファイルサーバ110を有するネットワークである。
具体的には、第1ネットワーク101はインターネットもしくはイントラネットである。言い換えると、第1ネットワーク101はWAN(Wide Area Network)もしくはLAN(Local Area Network)である。
第1ネットワーク101は、ファイルサーバ110を有するネットワークである。
具体的には、第1ネットワーク101はインターネットもしくはイントラネットである。言い換えると、第1ネットワーク101はWAN(Wide Area Network)もしくはLAN(Local Area Network)である。
複数のクライアント端末120は、複数のユーザによって操作されるコンピュータである。
ユーザは、クライアント端末120を操作することによって、管理ファイルにアクセスする。具体的には、ユーザは、管理ファイルのアップロード、管理ファイルの参照、管理ファイルの更新、または管理ファイルのダウンロードを行う。
ユーザは、クライアント端末120を操作することによって、管理ファイルにアクセスする。具体的には、ユーザは、管理ファイルのアップロード、管理ファイルの参照、管理ファイルの更新、または管理ファイルのダウンロードを行う。
それぞれのクライアント端末120は、第2ネットワーク102に接続されている。
第2ネットワーク102は、複数のクライアント端末120を有するネットワークである。
具体的には、第2ネットワーク102はインターネットもしくはイントラネットである。言い換えると、第2ネットワーク102はWANもしくはLANである。
第2ネットワーク102は、複数のクライアント端末120を有するネットワークである。
具体的には、第2ネットワーク102はインターネットもしくはイントラネットである。言い換えると、第2ネットワーク102はWANもしくはLANである。
ファイルサーバ110とクライアント端末120との間では、ファイル共有プロトコルに従って、管理ファイルが通信される。
具体的なファイル共有プロトコルは、SMB(Sever Message Block)またはCIFS(Common Internet System)である。
具体的なファイル共有プロトコルは、SMB(Sever Message Block)またはCIFS(Common Internet System)である。
スイッチ130は、ネットワーク間でパケットを中継するネットワーク機器である。
具体的には、スイッチ130は、第1ネットワーク101と第2ネットワーク102との間で通信されるパケットを中継する。
例えば、スイッチ130は、クライアント端末120とファイルサーバ110との間で通信されるファイル共有パケットを中継する。
ファイル共有パケットは、ファイル共有プロトコルに従って通信されるパケットである。
具体的には、スイッチ130は、第1ネットワーク101と第2ネットワーク102との間で通信されるパケットを中継する。
例えば、スイッチ130は、クライアント端末120とファイルサーバ110との間で通信されるファイル共有パケットを中継する。
ファイル共有パケットは、ファイル共有プロトコルに従って通信されるパケットである。
スイッチ130は、ミラーポート131を有し、ポートミラーリングを行う。
つまり、スイッチ130は、中継されるパケットをミラーポート131から出力する。
つまり、スイッチ130は、中継されるパケットをミラーポート131から出力する。
ファイル監視装置200は、ミラーポート131に接続され、スイッチ130を中継するパケットをキャプチャし、管理ファイルを監視する。
図2に基づいて、ファイル監視装置200の構成を説明する。
ファイル監視装置200は、プロセッサ901とメモリ902と補助記憶装置903と通信装置904と入出力インタフェース905といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
ファイル監視装置200は、プロセッサ901とメモリ902と補助記憶装置903と通信装置904と入出力インタフェース905といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
プロセッサ901は、演算処理を行うIC(Integrated Circuit)であり、他のハードウェアを制御する。例えば、プロセッサ901は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、またはGPU(Graphics Processing Unit)である。
メモリ902は揮発性の記憶装置である。メモリ902は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ902はRAM(Random Access Memory)である。メモリ902に記憶されたデータは必要に応じて補助記憶装置903に保存される。
補助記憶装置903は不揮発性の記憶装置である。例えば、補助記憶装置903は、ROM(Read Only Memory)、HDD(Hard Disk Drive)、またはフラッシュメモリである。補助記憶装置903に記憶されたデータは必要に応じてメモリ902にロードされる。
メモリ902は揮発性の記憶装置である。メモリ902は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ902はRAM(Random Access Memory)である。メモリ902に記憶されたデータは必要に応じて補助記憶装置903に保存される。
補助記憶装置903は不揮発性の記憶装置である。例えば、補助記憶装置903は、ROM(Read Only Memory)、HDD(Hard Disk Drive)、またはフラッシュメモリである。補助記憶装置903に記憶されたデータは必要に応じてメモリ902にロードされる。
通信装置904は通信を行う装置、すなわち、レシーバ及びトランスミッタである。例えば、通信装置904は通信チップまたはNIC(Network Interface
Card)である。
入出力インタフェース905は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース905はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。USBはUniversal Serial Busの略称である。
Card)である。
入出力インタフェース905は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース905はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。USBはUniversal Serial Busの略称である。
ファイル監視装置200は、解析部210と復元部220と検査部230と検索部240といったソフトウェア要素を備える。ソフトウェア要素はソフトウェアで実現される要素である。
補助記憶装置903には、解析部210と復元部220と検査部230と検索部240としてコンピュータを機能させるためのファイル監視プログラムが記憶されている。ファイル監視プログラムは、メモリ902にロードされて、プロセッサ901によって実行される。
さらに、補助記憶装置903にはOS(Operating System)が記憶されている。OSの少なくとも一部は、メモリ902にロードされて、プロセッサ901によって実行される。
つまり、プロセッサ901は、OSを実行しながら、ファイル監視プログラムを実行する。
ファイル監視プログラムを実行して得られるデータは、メモリ902、補助記憶装置903、プロセッサ901内のレジスタまたはプロセッサ901内のキャッシュメモリといった記憶装置に記憶される。
さらに、補助記憶装置903にはOS(Operating System)が記憶されている。OSの少なくとも一部は、メモリ902にロードされて、プロセッサ901によって実行される。
つまり、プロセッサ901は、OSを実行しながら、ファイル監視プログラムを実行する。
ファイル監視プログラムを実行して得られるデータは、メモリ902、補助記憶装置903、プロセッサ901内のレジスタまたはプロセッサ901内のキャッシュメモリといった記憶装置に記憶される。
補助記憶装置903はデータを記憶する記憶部291として機能する。但し、他の記憶装置が、補助記憶装置903の代わりに、又は、補助記憶装置903と共に、記憶部291として機能してもよい。
通信装置904はデータを通信する通信部292として機能する。
入出力インタフェース905は、入力を受け付ける受付部293として機能すると共に、データを出力する出力部294として機能する。
通信装置904はデータを通信する通信部292として機能する。
入出力インタフェース905は、入力を受け付ける受付部293として機能すると共に、データを出力する出力部294として機能する。
ファイル監視装置200は、プロセッサ901を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ901の役割を分担する。
ファイル監視プログラムは、磁気ディスク、光ディスクまたはフラッシュメモリ等の不揮発性の記憶媒体にコンピュータ読み取り可能に記憶することができる。不揮発性の記憶媒体は、一時的でない有形の媒体である。
***動作の説明***
ファイル監視装置200の動作はファイル監視方法に相当する。また、ファイル監視方法の手順はファイル監視プログラムの手順に相当する。
ファイル監視装置200の動作はファイル監視方法に相当する。また、ファイル監視方法の手順はファイル監視プログラムの手順に相当する。
図3に基づいて、ファイル監視方法を説明する。
ステップS110において、スイッチ130のミラーポート131からパケットが出力された場合、通信部292は、スイッチ130のミラーポート131から出力されたパケットを受信する。
ステップS110において、スイッチ130のミラーポート131からパケットが出力された場合、通信部292は、スイッチ130のミラーポート131から出力されたパケットを受信する。
ステップS120において、解析部210は、受信されたパケットがファイル共有パケットであるか判定する。
具体的には、解析部210は、受信されたパケットの中の特定箇所を参照する。そして、解析部210は、特定箇所にファイル共有パケットの識別子が設定されているか判定する。特定箇所にファイル共有パケットの識別子が設定されている場合、受信されたパケットはファイル共有パケットである。
具体的には、解析部210は、受信されたパケットの中の特定箇所を参照する。そして、解析部210は、特定箇所にファイル共有パケットの識別子が設定されているか判定する。特定箇所にファイル共有パケットの識別子が設定されている場合、受信されたパケットはファイル共有パケットである。
ファイル共有プロトコルがSMBである場合、解析部210は以下のように判定を行う。
まず、解析部210は、受信されたパケットからトランスポート層のペイロードを抽出する。トランスポート層のペイロードには、データ長フィールドとSMBデータとが含まれる。
次に、解析部210は、抽出されたペイロードからSMBデータの先頭の4バイトを抽出する。
そして、解析部210は、抽出された4バイトに「SMB」という識別子が設定されているか判定する。
抽出された4バイトに「SMB」という識別子が設定されている場合、受信されたパケットはファイル共有パケットである。
まず、解析部210は、受信されたパケットからトランスポート層のペイロードを抽出する。トランスポート層のペイロードには、データ長フィールドとSMBデータとが含まれる。
次に、解析部210は、抽出されたペイロードからSMBデータの先頭の4バイトを抽出する。
そして、解析部210は、抽出された4バイトに「SMB」という識別子が設定されているか判定する。
抽出された4バイトに「SMB」という識別子が設定されている場合、受信されたパケットはファイル共有パケットである。
受信されたパケットがファイル共有パケットである場合、解析部210は受信されたファイルを記憶部291に記憶し、処理はステップS130に進む。
受信されたパケットがファイル共有パケットでない場合、解析部210は受信されたパケットを破棄し、処理はステップS110に進む。
受信されたパケットがファイル共有パケットでない場合、解析部210は受信されたパケットを破棄し、処理はステップS110に進む。
ステップS130からステップS160までの説明において、ファイル共有パケットは受信されたパケットを意味する。
ステップS130において、解析部210は、ファイル共有パケットから管理情報とファイルデータとを取得する。具体的な管理情報は、セッション情報、ファイル名、ファイルサイズ、アクセス時刻(操作時刻)、アクセス種別(操作種別)およびユーザ名である。ファイルデータは管理ファイルの一部である。
そして、解析部210は、セッション情報毎に管理情報とファイルデータとを互いに対応付けて記憶部291に記憶する。
そして、解析部210は、セッション情報毎に管理情報とファイルデータとを互いに対応付けて記憶部291に記憶する。
ファイル共有プロトコルがSMBである場合、解析部210は、セッション情報を以下のように取得する。
解析部210は、ファイル共有パケットからイーサネットヘッダを抽出し、イーサネットヘッダから送信元MACアドレスと宛先MACアドレスとを取得する。イーサネットは登録商標である。MACはMedia Access Controlの略称である。
解析部210は、ファイル共有パケットからIPヘッダを抽出し、IPヘッダから送信元IPアドレスと宛先IPアドレスとを取得する。IPはInternet Protocolの略称である。
解析部210は、ファイル共有パケットからTCPヘッダを抽出し、TCPヘッダから送信元ポート番号と宛先ポート番号とを取得する。TCPはTransmission Control Protocolの略称である。
送信元MACアドレスと宛先MACアドレスと送信元IPアドレスと宛先IPアドレスと送信元ポート番号と宛先ポート番号との組がセッション情報である。
解析部210は、ファイル共有パケットからイーサネットヘッダを抽出し、イーサネットヘッダから送信元MACアドレスと宛先MACアドレスとを取得する。イーサネットは登録商標である。MACはMedia Access Controlの略称である。
解析部210は、ファイル共有パケットからIPヘッダを抽出し、IPヘッダから送信元IPアドレスと宛先IPアドレスとを取得する。IPはInternet Protocolの略称である。
解析部210は、ファイル共有パケットからTCPヘッダを抽出し、TCPヘッダから送信元ポート番号と宛先ポート番号とを取得する。TCPはTransmission Control Protocolの略称である。
送信元MACアドレスと宛先MACアドレスと送信元IPアドレスと宛先IPアドレスと送信元ポート番号と宛先ポート番号との組がセッション情報である。
ファイル共有プロトコルがSMBである場合、解析部210は、ファイル名を以下のように取得する。
まず、解析部210は、ファイル共有パケットからSMBデータを抽出する。
次に、解析部210は、SMBデータがファイル操作データであるか判定する。ファイル操作データはファイル操作に関するSMBデータである。具体的には、ファイル操作データは、ファイル操作のコマンド番号が設定されたコマンドフィールドを有するSMBデータである。例えば、ファイル操作は読み出し又は書き込みである。
SMBデータがファイル操作データである場合、解析部210は、SMBデータの中のデータフィールドからファイル名を取得する。
まず、解析部210は、ファイル共有パケットからSMBデータを抽出する。
次に、解析部210は、SMBデータがファイル操作データであるか判定する。ファイル操作データはファイル操作に関するSMBデータである。具体的には、ファイル操作データは、ファイル操作のコマンド番号が設定されたコマンドフィールドを有するSMBデータである。例えば、ファイル操作は読み出し又は書き込みである。
SMBデータがファイル操作データである場合、解析部210は、SMBデータの中のデータフィールドからファイル名を取得する。
ファイル共有プロトコルがSMBである場合、解析部210は、ファイルサイズを以下のように取得する。
まず、解析部210は、ファイル共有パケットからSMBデータを抽出する。
次に、解析部210は、SMBデータが先頭のファイル操作データであるか判定する。
SMBデータが先頭のファイル操作データである場合、解析部210は、SMBデータの中のカウントフィールドからファイルサイズを取得する。
まず、解析部210は、ファイル共有パケットからSMBデータを抽出する。
次に、解析部210は、SMBデータが先頭のファイル操作データであるか判定する。
SMBデータが先頭のファイル操作データである場合、解析部210は、SMBデータの中のカウントフィールドからファイルサイズを取得する。
ファイル共有プロトコルがSMBである場合、解析部210は、アクセス時刻(操作時刻)を以下のように取得する。アクセス時刻は、管理ファイルに対するアクセス(操作)があった年月日および時刻を意味する。
まず、解析部210は、ファイル共有パケットからSMBデータを抽出する。
次に、解析部210は、SMBデータが先頭のファイル操作データであるか判定する。
SMBデータが先頭のファイル操作データである場合、解析部210は、ファイル共有パケットが受信された時刻を取得する。取得される時刻がアクセス時刻である。
まず、解析部210は、ファイル共有パケットからSMBデータを抽出する。
次に、解析部210は、SMBデータが先頭のファイル操作データであるか判定する。
SMBデータが先頭のファイル操作データである場合、解析部210は、ファイル共有パケットが受信された時刻を取得する。取得される時刻がアクセス時刻である。
ファイル共有プロトコルがSMBである場合、解析部210は、アクセス種別(操作種別)を以下のように取得する。アクセス種別は、管理ファイルに対するアクセス(操作)の種類を示す。
まず、解析部210は、ファイル共有パケットからSMBデータを抽出する。
次に、解析部210は、SMBデータが先頭のファイル操作データであるか判定する。
SMBデータが先頭のファイル操作データである場合、解析部210は、SMBデータの中のコマンドフィールドからコマンド番号を取得する。取得されるコマンド番号がアクセス種別である。
まず、解析部210は、ファイル共有パケットからSMBデータを抽出する。
次に、解析部210は、SMBデータが先頭のファイル操作データであるか判定する。
SMBデータが先頭のファイル操作データである場合、解析部210は、SMBデータの中のコマンドフィールドからコマンド番号を取得する。取得されるコマンド番号がアクセス種別である。
ファイル共有プロトコルがSMBである場合、解析部210は、ユーザ名を以下のように取得する。
まず、解析部210は、ファイル共有パケットからSMBデータを抽出する。
次に、解析部210は、SMBデータがログインデータであるか判定する。ログインデータはユーザのログインに関するSMBデータである。具体的には、ログインデータは、セッションセットアップのコマンド番号が設定されているコマンドフィールドを有するSMBデータである。
SMBデータがログインデータである場合、解析部210は、SMBデータの中のデータフィールドからユーザ名を取得する。
まず、解析部210は、ファイル共有パケットからSMBデータを抽出する。
次に、解析部210は、SMBデータがログインデータであるか判定する。ログインデータはユーザのログインに関するSMBデータである。具体的には、ログインデータは、セッションセットアップのコマンド番号が設定されているコマンドフィールドを有するSMBデータである。
SMBデータがログインデータである場合、解析部210は、SMBデータの中のデータフィールドからユーザ名を取得する。
ファイル共有プロトコルがSMBである場合、解析部210は、ファイルデータを以下のように取得する。
まず、解析部210は、ファイル共有パケットからSMBデータを抽出する。
次に、解析部210は、SMBデータがファイル操作データであるか判定する。
SMBデータがファイル操作データである場合、解析部210は、SMBデータの中のデータフィールドからファイルデータを取得する。
まず、解析部210は、ファイル共有パケットからSMBデータを抽出する。
次に、解析部210は、SMBデータがファイル操作データであるか判定する。
SMBデータがファイル操作データである場合、解析部210は、SMBデータの中のデータフィールドからファイルデータを取得する。
ファイル共有パケットが受信される度にステップS130が実行されることにより、セッション情報毎に管理情報と1つ以上のファイルデータとが互いに対応付けて記憶部291に記憶される。
ステップS140において、復元部220は、管理ファイルを復元可能であるか判定する。
具体的には、復元部220は以下のように判定を行う。
まず、復元部220は、ファイル共有パケットと一致するセッション情報に対応付けられたファイルサイズおよび1つ以上のファイルデータを記憶部291から取得する。
次に、復元部220は、1つ以上のファイルデータの合計サイズを算出する。
そして、復元部220は、算出された合計サイズをファイルサイズと比較する。
算出された合計サイズがファイルサイズと一致する場合、管理ファイルを復元可能である。
管理ファイルを復元可能である場合、処理はステップS150に進む。
管理ファイルを復元可能でない場合、処理はステップS110に進む。
具体的には、復元部220は以下のように判定を行う。
まず、復元部220は、ファイル共有パケットと一致するセッション情報に対応付けられたファイルサイズおよび1つ以上のファイルデータを記憶部291から取得する。
次に、復元部220は、1つ以上のファイルデータの合計サイズを算出する。
そして、復元部220は、算出された合計サイズをファイルサイズと比較する。
算出された合計サイズがファイルサイズと一致する場合、管理ファイルを復元可能である。
管理ファイルを復元可能である場合、処理はステップS150に進む。
管理ファイルを復元可能でない場合、処理はステップS110に進む。
ステップS150において、復元部220は管理ファイルを復元し、復元された管理ファイルを該当の管理情報に対応付けて記憶部291に記憶する。該当の管理情報とは、管理ファイルと一致するセッション情報に対応付けられた管理情報である。
具体的には、復元部220は、ファイル共有パケットと一致するセッション情報に対応付けられた1つ以上のファイルデータを記憶部291から取得し、取得された1つ以上のファイルデータを結合する。これにより、管理ファイルが復元される。
具体的には、復元部220は、ファイル共有パケットと一致するセッション情報に対応付けられた1つ以上のファイルデータを記憶部291から取得し、取得された1つ以上のファイルデータを結合する。これにより、管理ファイルが復元される。
ステップS160において、検査部230は、管理ファイルがアラート条件を満たす場合にアラートを通知する。
ステップS160の後、処理はステップS110に進む。
ステップS160の後、処理はステップS110に進む。
図4に基づいて、アラート処理(S160)を説明する。
ステップS161において、検査部230は、管理ファイルからテキストを抽出する。
例えば、管理ファイルがPDFファイルである場合、検査部230はPDFファイルに含まれるテキストを抽出する。管理ファイルの種類がオフィスファイルまたは他の形式のファイルであっても同様である。
ステップS161において、検査部230は、管理ファイルからテキストを抽出する。
例えば、管理ファイルがPDFファイルである場合、検査部230はPDFファイルに含まれるテキストを抽出する。管理ファイルの種類がオフィスファイルまたは他の形式のファイルであっても同様である。
ステップS162において、検査部230は、テキストから監視情報を抽出する。
具体的には、検査部230は、監視情報パターンと一致する部分をテキストから抽出する。抽出される部分が監視情報である。
監視情報パターンは、監視情報の書式を示すパターンである。監視情報パターンは予め決められている。
監視情報パターンと一致する部分とは、監視情報パターンと同じ書式で記載されている部分である。
具体的な監視情報は、任意に設定することができる。主な監視情報は、氏名、住所、電話番号、クレジットカード番号、マイナンバー(個人番号)およびEメールアドレスである。監視情報のパターンは任意に定義することができる。
検査部230は、抽出された監視情報の有無に関わらず、抽出の結果を記憶部291に記憶する。
具体的には、検査部230は、監視情報パターンと一致する部分をテキストから抽出する。抽出される部分が監視情報である。
監視情報パターンは、監視情報の書式を示すパターンである。監視情報パターンは予め決められている。
監視情報パターンと一致する部分とは、監視情報パターンと同じ書式で記載されている部分である。
具体的な監視情報は、任意に設定することができる。主な監視情報は、氏名、住所、電話番号、クレジットカード番号、マイナンバー(個人番号)およびEメールアドレスである。監視情報のパターンは任意に定義することができる。
検査部230は、抽出された監視情報の有無に関わらず、抽出の結果を記憶部291に記憶する。
ステップS163において、検査部230は、抽出された監視情報がアラート条件を満たすか判定する。
具体的には、アラート条件は、監視情報の種類と監視情報の個数とによって定義される。例えば、「監視情報が10個以上」、「氏名が5つ以上」または「氏名が3つ以上、且つ、クレジット番号またはマイナンバーが3つ以上」などのアラート条件が予め定義される。アラート条件は任意に定義することができる。
抽出された監視情報がアラート条件を満たす場合、処理はステップS164に進む。
抽出された監視情報がアラート条件を満たさない場合、アラート処理(S160)は終了する。
具体的には、アラート条件は、監視情報の種類と監視情報の個数とによって定義される。例えば、「監視情報が10個以上」、「氏名が5つ以上」または「氏名が3つ以上、且つ、クレジット番号またはマイナンバーが3つ以上」などのアラート条件が予め定義される。アラート条件は任意に定義することができる。
抽出された監視情報がアラート条件を満たす場合、処理はステップS164に進む。
抽出された監視情報がアラート条件を満たさない場合、アラート処理(S160)は終了する。
ステップS164において、検査部230はアラートを通知する。
具体的には、検査部230は、通信部292を介してアラートメールを通知先へ送信する。アラートメールは、アラートメッセージが記載されたEメールである。アラートメッセージは、アラート条件を満たすテキストを含んだ管理ファイルに対してアクセス(操作)があった旨を知らせるメッセージである。アラートメッセージには、ファイル名、アクセス時刻、アクセス種別およびユーザ名などを含めることができる。
検査部230は、ディスプレイへの表示またはシステムログへの書き込みなど、Eメールとは異なる方法でアラートを通知してもよい。
具体的には、検査部230は、通信部292を介してアラートメールを通知先へ送信する。アラートメールは、アラートメッセージが記載されたEメールである。アラートメッセージは、アラート条件を満たすテキストを含んだ管理ファイルに対してアクセス(操作)があった旨を知らせるメッセージである。アラートメッセージには、ファイル名、アクセス時刻、アクセス種別およびユーザ名などを含めることができる。
検査部230は、ディスプレイへの表示またはシステムログへの書き込みなど、Eメールとは異なる方法でアラートを通知してもよい。
図5に基づいて、管理情報検索(S170)を説明する。管理情報検索(S170)はファイル監視方法の一部である。
ステップS171において、受付部293は、検索を要求する検索要求を受け付ける。
具体的には、要求される検索は、ファイル内容検索、アクセスユーザ検索、アクセスファイル検索またはアクセス期間検索である。
検索要求は、検索の種類を示す検索種類識別子を含んでいる。
ステップS171において、受付部293は、検索を要求する検索要求を受け付ける。
具体的には、要求される検索は、ファイル内容検索、アクセスユーザ検索、アクセスファイル検索またはアクセス期間検索である。
検索要求は、検索の種類を示す検索種類識別子を含んでいる。
ステップS172において、検索部240は、検索要求に基づいて、要求された検索の種類を判定する。
具体的には、検索部240は、検索要求に含まれる検索種類識別子を参照し、検索種類識別子によって識別される検索の種類を判定する。
要求された検索がファイル内容検索である場合、処理はステップS173に進む。
要求された検索がアクセスユーザ検索である場合、処理はステップS174に進む。
要求された検索がアクセスファイル検索である場合、処理はステップS175に進む。
要求された検索がアクセス期間検索である場合、処理はステップS176に進む。
具体的には、検索部240は、検索要求に含まれる検索種類識別子を参照し、検索種類識別子によって識別される検索の種類を判定する。
要求された検索がファイル内容検索である場合、処理はステップS173に進む。
要求された検索がアクセスユーザ検索である場合、処理はステップS174に進む。
要求された検索がアクセスファイル検索である場合、処理はステップS175に進む。
要求された検索がアクセス期間検索である場合、処理はステップS176に進む。
ファイル内容検索を要求する検索要求は、ファイル名とファイル内容と期間とを含んでいる。
検索要求に含まれるファイル名を指定ファイル名といい、検索要求に含まれる期間を指定期間という。検索要求に含まれるファイル内容を指定内容という。
検索要求に含まれるファイル名を指定ファイル名といい、検索要求に含まれる期間を指定期間という。検索要求に含まれるファイル内容を指定内容という。
ステップS173において、検索部240は検索要求に従って記憶部291を検索し、出力部294は指定期間における指定ファイルの一覧を出力する。指定ファイル名で識別される管理ファイルが指定ファイルである。一覧の中の指定ファイルが選択されると、出力部294は指定ファイルを出力する。
具体的には、検索部240は以下のように動作する。
まず、検索部240は、検索要求から指定ファイル名と指定内容と指定期間とを抽出する。
そして、検索部240は、指定ファイル名と指定期間と指定期間とを検索キーとして用いて、記憶部291を検索する。
これにより、指定ファイル名と同じファイル名に対応付けられ(または指定内容と同じ内容に対応付けられ)、且つ、指定期間に含まれるアクセス時刻に対応付けられた管理ファイルが見つかる。見つかった管理ファイルが指定期間における指定ファイルである。
まず、検索部240は、検索要求から指定ファイル名と指定内容と指定期間とを抽出する。
そして、検索部240は、指定ファイル名と指定期間と指定期間とを検索キーとして用いて、記憶部291を検索する。
これにより、指定ファイル名と同じファイル名に対応付けられ(または指定内容と同じ内容に対応付けられ)、且つ、指定期間に含まれるアクセス時刻に対応付けられた管理ファイルが見つかる。見つかった管理ファイルが指定期間における指定ファイルである。
具体的には、出力部294は、指定時刻における指定ファイルをディスプレイに表示する。但し、出力部294は、指定ファイルを通信部292を介してクライアント端末120に送信することによって、クライアント端末120のディスプレイに指定ファイルを表示してもよい。
アクセスユーザ検索を要求する検索要求は、ファイル名を含んでいる。
検索要求に含まれるファイル名を指定ファイル名という。
検索要求に含まれるファイル名を指定ファイル名という。
ステップS174において、検索部240は検索要求に従って記憶部291を検索し、出力部294は指定ファイルにアクセスしたユーザの一覧を出力する。指定ファイル名で識別される管理ファイルが指定ファイルである。
指定ファイルにアクセスしたユーザの一覧をアクセスユーザ一覧という。
指定ファイルにアクセスしたユーザの一覧をアクセスユーザ一覧という。
具体的には、検索部240は以下のように動作する。
まず、検索部240は、検索要求から指定ファイル名を抽出する。
そして、検索部240は、指定ファイル名を検索キーとして用いて、記憶部291を検索する。
これにより、指定ファイル名と同じファイル名に対応付けられた1つ以上のユーザ名が見つかる。見つかった1つ以上のユーザ名がアクセスユーザ一覧である。
まず、検索部240は、検索要求から指定ファイル名を抽出する。
そして、検索部240は、指定ファイル名を検索キーとして用いて、記憶部291を検索する。
これにより、指定ファイル名と同じファイル名に対応付けられた1つ以上のユーザ名が見つかる。見つかった1つ以上のユーザ名がアクセスユーザ一覧である。
具体的には、出力部294は、アクセスユーザ一覧をディスプレイに表示する。但し、出力部294は、アクセスユーザ一覧を通信部292を介してクライアント端末120に送信することによって、クライアント端末120のディスプレイにアクセスユーザ一覧を表示してもよい。
アクセスファイル検索を要求する検索要求は、ユーザ名を含んでいる。
検索要求に含まれるユーザ名を指定ユーザ名という。
検索要求に含まれるユーザ名を指定ユーザ名という。
ステップS175において、検索部240は検索要求に従って記憶部291を検索し、出力部294は指定ユーザがアクセスしたファイルの一覧を出力する。指定ユーザ名で識別されるユーザが指定ユーザである。
指定ユーザがアクセスしたファイルの一覧をアクセスファイル一覧という。
指定ユーザがアクセスしたファイルの一覧をアクセスファイル一覧という。
具体的には、検索部240は以下のように動作する。
まず、検索部240は、検索要求から指定ユーザ名を抽出する。
そして、検索部240は、指定ユーザ名を検索キーとして用いて、記憶部291を検索する。
これにより、指定ユーザ名と同じユーザ名に対応付けられた1つ以上のファイル名が見つかる。見つかった1つ以上のファイル名がアクセスファイル一覧である。
まず、検索部240は、検索要求から指定ユーザ名を抽出する。
そして、検索部240は、指定ユーザ名を検索キーとして用いて、記憶部291を検索する。
これにより、指定ユーザ名と同じユーザ名に対応付けられた1つ以上のファイル名が見つかる。見つかった1つ以上のファイル名がアクセスファイル一覧である。
具体的には、出力部294は、アクセスファイル一覧をディスプレイに表示する。但し、出力部294は、アクセスファイル一覧を通信部292を介してクライアント端末120に送信することによって、クライアント端末120のディスプレイにアクセスファイル一覧を表示してもよい。
アクセス期間検索を要求する検索要求は、期間を含んでいる。
検索要求に含まれる期間を指定期間という。
検索要求に含まれる期間を指定期間という。
ステップS176において、検索部240は検索要求に従って記憶部291を検索し、出力部294は指定期間にアクセスされた管理ファイルの一覧を出力する。
指定期間にアクセスされた管理ファイルの一覧をアクセスファイル一覧という。
指定期間にアクセスされた管理ファイルの一覧をアクセスファイル一覧という。
具体的には、検索部240は以下のように動作する。
まず、検索部240は、検索要求から指定期間を抽出する。
そして、検索部240は、指定期間を検索キーとして用いて、記憶部291を検索する。
これにより、指定期間に含まれるアクセス時刻に対応付けられた1つ以上の管理ファイルが見つかる。見つかった1つ以上の管理ファイルがアクセスファイル一覧である。
まず、検索部240は、検索要求から指定期間を抽出する。
そして、検索部240は、指定期間を検索キーとして用いて、記憶部291を検索する。
これにより、指定期間に含まれるアクセス時刻に対応付けられた1つ以上の管理ファイルが見つかる。見つかった1つ以上の管理ファイルがアクセスファイル一覧である。
具体的には、出力部294は、アクセスファイル一覧をディスプレイに表示する。但し、出力部294は、アクセスファイル一覧を通信部292を介してクライアント端末120に送信することによって、クライアント端末120のディスプレイにアクセスファイル一覧を表示してもよい。
***実施の形態1の効果***
ファイルサーバで操作された管理ファイルの内容を取得し、任意の条件に合致した操作を通知し、また、事故が起きた場合に過去に遡って管理ファイルの内容を確認することが可能となる。
ファイルサーバ110で管理されている管理ファイルを、ネットワークからキャプチャした1つ以上のファイル共有パケットを用いて復元することができる。そのため、操作が行われた時の管理ファイルの内容を知ることができる。
アラート処理(S160)により、個人情報または秘匿情報といった重要な情報を含んだ管理ファイルが操作されたことをリアルタイムに知ることができる。そのため、故意または事故による情報流出に迅速に対応することが可能となる。
管理情報検索(S170)により、指定期間における管理ファイルの内容を確認することができる。
ファイルサーバで操作された管理ファイルの内容を取得し、任意の条件に合致した操作を通知し、また、事故が起きた場合に過去に遡って管理ファイルの内容を確認することが可能となる。
ファイルサーバ110で管理されている管理ファイルを、ネットワークからキャプチャした1つ以上のファイル共有パケットを用いて復元することができる。そのため、操作が行われた時の管理ファイルの内容を知ることができる。
アラート処理(S160)により、個人情報または秘匿情報といった重要な情報を含んだ管理ファイルが操作されたことをリアルタイムに知ることができる。そのため、故意または事故による情報流出に迅速に対応することが可能となる。
管理情報検索(S170)により、指定期間における管理ファイルの内容を確認することができる。
***別の構成***
ファイル監視システム100は、ファイル監視装置200の代わりにミラーポート131に接続される保存装置を備えてもよい。
保存装置は、ファイル監視装置200の代わりにパケットを受信し、受信されたパケットを保存する。
ファイル監視装置200は、保存装置と通信し、保存装置に保存されたパケットを用いてファイル監視および管理情報検索を行う。
ファイル監視システム100は、ファイル監視装置200の代わりにミラーポート131に接続される保存装置を備えてもよい。
保存装置は、ファイル監視装置200の代わりにパケットを受信し、受信されたパケットを保存する。
ファイル監視装置200は、保存装置と通信し、保存装置に保存されたパケットを用いてファイル監視および管理情報検索を行う。
***実施の形態の補足***
実施の形態は、好ましい形態の例示であり、本発明の技術的範囲を制限することを意図するものではない。実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。
実施の形態は、好ましい形態の例示であり、本発明の技術的範囲を制限することを意図するものではない。実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。
100 ファイル監視システム、101 第1ネットワーク、102 第2ネットワーク、110 ファイルサーバ、120 クライアント端末、130 スイッチ、131 ミラーポート、200 ファイル監視装置、210 解析部、220 復元部、230 検査部、240 検索部、291 記憶部、292 通信部、293 受付部、294 出力部、901 プロセッサ、902 メモリ、903 補助記憶装置、904 通信装置、905 入出力インタフェース。
Claims (12)
- ファイルサーバを有するネットワークに接続された機器であるスイッチから、前記スイッチによって中継されたパケットを受信する通信部と、
受信されたパケットがファイル共有プロトコルに従って通信されたファイル共有パケットであるか判定する解析部と、
前記ファイルサーバで管理されている管理ファイルを1つ以上のファイル共有パケットを用いて復元する復元部と
を備えるファイル監視装置。 - 復元された管理ファイルからテキストを抽出し、抽出されたテキストから監視情報を抽出する検査部
を備える請求項1に記載のファイル監視装置。 - 前記検査部は、抽出された監視情報がアラート条件を満たすか判定し、抽出された監視情報がアラート条件を満たす場合にアラートを通知する
請求項2に記載のファイル監視装置。 - 復元された管理ファイルをファイル名とアクセス時刻とに対応付けて記憶する記憶部
を備える請求項1に記載のファイル監視装置。 - 指定ファイル名と指定期間とを受け付ける受付部と、
前記指定ファイル名と同じファイル名に対応付けられ、且つ、前記指定期間に含まれるアクセス時刻に対応付けられた管理ファイルを前記記憶部から見つける検索部と、
見つかった管理ファイルを出力する出力部と
を備える請求項4に記載のファイル監視装置。 - 指定期間を受け付ける受付部と、
指定期間に含まれるアクセス時刻に対応付けられた管理ファイルを前記記憶部から見つける検索部と、
見つかった管理ファイルを出力する出力部と
を備える請求項4に記載のファイル監視装置。 - 前記ファイル監視装置は、復元された管理ファイルを記憶する記憶部を備え、
前記解析部は、いずれかのファイル共有パケットからユーザ名を取得し、
前記記憶部は、前記復元された管理ファイルをファイル名と前記ユーザ名とに対応付けて記憶する
請求項1に記載のファイル監視装置。 - 指定ファイル名を受け付ける受付部と、
前記指定ファイル名と同じファイル名に対応付けられたユーザ名を前記記憶部から見つける検索部と、
見つかったユーザ名を出力する出力部と
を備える請求項7に記載のファイル監視装置。 - 指定ユーザ名を受け付ける受付部と、
前記指定ユーザ名と同じユーザ名に対応付けられたファイル名を前記記憶部から見つける検索部と、
見つかったファイル名を出力する出力部と
を備える請求項7に記載のファイル監視装置。 - ファイルサーバを有するネットワークに接続された機器であるスイッチから、前記スイッチによって中継されたパケットを受信する通信部と、
受信されたパケットがファイル共有プロトコルに従って通信されたファイル共有パケットであるか判定する解析部と、
前記ファイルサーバで管理されている管理ファイルを1つ以上のファイル共有パケットを用いて復元する復元部
としてコンピュータを機能させるためのファイル監視プログラム。 - 保存装置に保存されたパケットがファイル共有プロトコルに従って通信されたファイル共有パケットであるか判定する解析部と、
ファイルサーバで管理されている管理ファイルを1つ以上のファイル共有パケットを用いて復元する復元部と
を備えるファイル監視装置。 - 保存装置に保存されたパケットがファイル共有プロトコルに従って通信されたファイル共有パケットであるか判定する解析部と、
ファイルサーバで管理されている管理ファイルを1つ以上のファイル共有パケットを用いて復元する復元部
としてコンピュータを機能させるためのファイル監視プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017028943A JP6811639B2 (ja) | 2017-02-20 | 2017-02-20 | ファイル監視装置およびファイル監視プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017028943A JP6811639B2 (ja) | 2017-02-20 | 2017-02-20 | ファイル監視装置およびファイル監視プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018136610A JP2018136610A (ja) | 2018-08-30 |
| JP6811639B2 true JP6811639B2 (ja) | 2021-01-13 |
Family
ID=63365554
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017028943A Active JP6811639B2 (ja) | 2017-02-20 | 2017-02-20 | ファイル監視装置およびファイル監視プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6811639B2 (ja) |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100468372B1 (ko) * | 2004-04-09 | 2005-01-31 | 주식회사 잉카인터넷 | Smb/cifs 모니터링을 이용한 네트워크 전이형바이러스 탐지/차단 장치 및 그 방법 |
| JP4158927B2 (ja) * | 2005-03-25 | 2008-10-01 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 情報提示装置、情報提示方法、プログラム |
| JP2007034535A (ja) * | 2005-07-25 | 2007-02-08 | Fuji Xerox Co Ltd | アクセス制御装置 |
| JP5709448B2 (ja) * | 2010-09-29 | 2015-04-30 | 三菱スペース・ソフトウエア株式会社 | アクセス解析装置及びアクセス解析方法及びアクセス解析プログラム |
| JP5542859B2 (ja) * | 2012-02-14 | 2014-07-09 | 日本電信電話株式会社 | ログ管理装置、ログ蓄積方法、ログ検索方法、およびプログラム |
| JP2018109795A (ja) * | 2015-05-15 | 2018-07-12 | 株式会社野村総合研究所 | アクセス管理装置、アクセス管理方法およびコンピュータプログラム |
-
2017
- 2017-02-20 JP JP2017028943A patent/JP6811639B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018136610A (ja) | 2018-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9882924B2 (en) | Systems and methods for malware analysis of network traffic | |
| US20150350133A1 (en) | Message attachment management | |
| TW201642135A (zh) | 文件檢測方法、裝置及系統 | |
| US9590999B2 (en) | Preview serving from an external preview service | |
| US9749295B2 (en) | Systems and methods for internet traffic analysis | |
| Mistry et al. | Signature based volatile memory forensics: a detection based approach for analyzing sophisticated cyber attacks | |
| US20140289532A1 (en) | Validity determination method and validity determination apparatus | |
| US20210099394A1 (en) | Correlating network level and application level traffic | |
| US20210274021A1 (en) | Securing internal services in a distributed environment | |
| JP7130995B2 (ja) | 情報処理装置及びプログラム | |
| US9300677B2 (en) | Data security system | |
| CN116530052A (zh) | 经由转发代理服务器检测和缓解恶意软件 | |
| WO2022047253A1 (en) | Systems and methods for enhancing user privacy | |
| US10387663B2 (en) | System, a method and a computer readable medium for transmitting an electronic file | |
| JP6811639B2 (ja) | ファイル監視装置およびファイル監視プログラム | |
| CN109714337B (zh) | 一种数据加密传输方法及设备 | |
| US8095980B2 (en) | Detecting malicious behavior in data transmission of a de-duplication system | |
| CN108605039B (zh) | 在spdy连接上检测恶意软件 | |
| US20140366084A1 (en) | Management system, management method, and non-transitory storage medium | |
| US20120215908A1 (en) | Method and system for detecting improper operation and computer-readable non-transitory storage medium | |
| JP6023738B2 (ja) | 送信パケット解析システム、送信パケット解析装置および送信パケット解析プログラム | |
| CN110912974A (zh) | 资源处理方法、装置、电子设备及计算机可读取存储介质 | |
| TWI572170B (zh) | 具共享連結管理之伺服器及其共享連結管理方法 | |
| TWI818167B (zh) | 通訊系統、資訊提供裝置、電腦可讀取記憶媒體及資訊提供方法 | |
| JPWO2017047087A1 (ja) | データ検査システム、データ検査方法とそのプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200115 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201030 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20201208 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201215 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6811639 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |