通信信息记录装置的制作方法

专利名称：通信信息记录装置的制作方法
技术领域：
本发明涉及一种通信信息记录装置，并适合于应用到确认流入网络的通信信息的情况，该网络在结束通信后变成被监控的目标。
背景技术：
在被构建为通过使用适用的LAN(局域网)在多个与LAN连接的终端装置中发送和接收信息的网络中，可能存在需要在进行通信后确认通信存在与否的情况。
例如，可能存在我们要从LAN网络内部或与LAN网络连接的外部网络(如因特网)确认是否已经进行了网络犯罪的情况、和我们要获得通信已经进行的证明(如电子商务交易的证明)的情况。
作为解决这种问题的方法，已经采用了一种利用GUI(图形用户接口)提供软件来用于仅仅在每个终端装置进行信息记录的方法。然而，当在通信已经进行后确认记录的信息的时候，这带来复杂的工作。

发明内容
本发明考虑到上述的情况而作出，提出了一种通信信息记录装置，它能够在它的记录或发送已经进行后更容易地确认通信信息。
为了按照本发明解决这些问题，通过接收流入目标网络2的数据流D0的数据，并且将所接收的数据划分成对于一个通信D1的对话数据，并且选择在被划分的对话数据D1中包含的通信项数据，(HTTP通信、SMTP通信、POP3通信)、(SMTP命令MAIL FROM和RCPT TO)、(POP3命令USER和APOP)、(邮件首标FROM、SUBJECT、TO和CC)、(HTTP请求GET、POST、HEAD、DELETE、OPTIONS、PUT、LINK、UNLINK、TRACE、CONNECT)、(HTTP首标CONTENT-LENGTH、HOST)，将形成分析结果数据。通过向这些分析结果数据加入类别＝1、2……和在分析结果数据库11中存储它们，可以根据检测数据类别＝1、2……从分析结果数据库11中有选择地读取分析结果数据，因此可以确认目标网络2的通信结果。
通过向通信项数据加入检测数据、并将它们存储在分析结果数据库11中，可以利用检测数据在已经发送通信后容易地确认流入目标网络2的数据流的数据。因此，可以实现能够容易地发现是否已经在目标网络2上进行了犯罪、和能够更容易地保护通信已经进行的证明的通信信息记录装置。
按照上述的本发明，由于通过目标网络的通信数据将被接收到，并且所接收到的通信数据将按照数据类别被分类，而且加入新的检测数据和存储在分析结果数据库中，因此可以根据存储在分析结果数据库中的分析结果数据而容易地和确定地确认利用目标网络的通信的进程。因此，可以实现能够容易地和安全地提供网络犯罪的证据、和电子商务交易的证明的通信信息记录装置。


图1示出按照本发明的通信信息记录装置的总体结构的方框图。
图2示出图1的通信信息记录装置6的通信信息记录处理步骤的流程图。
图3示出流入图1的目标网络2的电子邮件信息的结构的原理图。
图4示出图2的邮件数据分析步骤SP5的详细结构的流程图。
图5示出图2的邮件数据分析步骤SP5的详细结构的流程图。
图6示出在图4和5中要处理的电子邮件数据DATA11(向服务器的请求)的结构的原理图。
图7示出在图4和5中要处理的响应数据DATA12(来自服务器的响应)的结构的原理图。
图8示出类别处理步骤的流程图。
图9示出同图8的类别处理步骤的流程图。
图10示出要在图8和9的类别处理步骤中使用的邮件类别数据库的结构的原理图。
图11示出图2的POP3数据分析步骤SP7的详细结构的流程图。
图12是同图11的图2的POP3数据分析步骤SP7的详细结构的流程图。
图13示出POP3的请求数据DATA21(向服务器的请求)的结构原理图。
图14示出POP3的电子邮件数据DATA22(来自服务器的响应)的结构的原理图。
图15示出图2的HTTP数据分析步骤SP8的详细结构的流程图。
图16示出同图15的图2的HTTP数据分析步骤SP8的详细结构的流程图。
图17示出图15和图16的网页*数据的结构的原理图。
图18示出POST请求数据DATA31(向服务器的请求)的原理图。
图19示出POST响应数据DATA32(来自服务器的响应)的原理图。
图20示出GET请求的请求数据DATA41和响应数据DATA42的原理图。
图21示出分析数据的读出处理步骤的流程图。
图22示出图2的侵入窃密检测分析处理步骤的流程图。
具体实施例方式
以下，参照附图来详细说明本发明。
(1)总体结构在图1中，1总体上示出了通信网络，其中包含LAN网络的目标网络2与因特网5连接。
目标网络2与多个终端装置3A、3B……连接，这些终端装置3A、3B……与在带有网页浏览器4B的管理总部4中提供的邮件服务器4A和邮件服务器15A、15B……交换电子邮件信息，同时邮件服务器4A通过与目标网络2连接的因特网5在外部邮件服务器15A、15B……之间交换电子邮件信息。
终端装置3A、3B……利用HTTP协议通过目标网络2在HTTP服务器14A、14B……之间交换网页。
利用这种结构，流入目标网络2的电子邮件信息和网页信息将被与目标网络2连接的通信信息记录装置6监视。
由于与程序存储器8连接的中央处理器(CPU)9利用工作存储器10通过总线7执行通信信息记录程序，通信信息记录装置6按照图2所示的通信信息记录处理步骤RTO来执行对流入目标网络2的电子邮件信息和网页信息的分析处理，并通过总线7在分析结果数据库11中存储示出通信信息内容的分析结果数据。
(2)通信信息记录处理步骤当通信信息记录装置6的CPU9进入图2的通信信息记录处理步骤RT0的时候，它在步骤SP1依次捕获流入目标网络2包含电子邮件信息和网页信息的分组数据，并将它们存储到工作存储器10中。
如图3所示，由于分组数据P1在通信期间一次从通信开始点T0到通信结束点T1连续地流入，因此数据流D0发送示出一个数据的对话数据D1。
另一方面，通信信息记录装置6的CPU9在每个预定的监视时间划分该数据流D0的数据流、并加入监视文件名，将它们存储在工作存储器10中。
在流入目标网络2的分组数据P1在每个预定的监视时间在工作存储器10中被捕获的同时，CPU9在步骤SP2进行分析时间等待处理和在步骤SP3等待直到到达分析时间点后，将在每个对话期在工作存储器10中捕获的分组数据分离出来并加入分析文件名。
然后，CPU9在步骤SP5对按照捕获的电子邮件信息类型加入了分析文件名的电子邮件信息执行SMTP邮件数据的分析子程序，或者，它在步骤SP7执行POP3邮件数据的分析子程序。
在步骤SP8，CPU9执行HTTP的分析子程序，并在步骤SP9，它执行侵入窃密检测分析子程序。
于是，CPU9终止对在步骤SP1加入了监视文件名的电子邮件信息和网页的分析，并且返回步骤SP1，在后续的监视时间重复分析处理。
结果，在通信信息记录装置6中，当终端装置3A、3B……通过邮件服务器4A发送/接收电子邮件的时候，或当终端装置3A、3B……从电子邮件服务器4A和电子邮件服务器15A、15B……读出电子邮件信息的时候，或当经由目标网络2从终端装置3A、3B……接收来自因特网5的HTTP服务器14A、14B……的网页的时候，通信信息记录装置6接收流入目标网络2的电子邮件信息和网页信息，并在分析结果数据库11中存储分析结果。
(3)邮件数据分析处理步骤通信信息记录装置6在图2的邮件数据分析处理例程SP5执行图4和5所示的邮件数据分析处理步骤。
该邮件数据分析处理例程SP5的处理将在流入目标网络2的电子邮件信息是根据简单邮件传输协议(SMTP)而传输的电子邮件信息的情况下进行。并且该简单邮件传输协议(SMTP)邮件由作为向邮件服务器4A的请求数据的、图6的电子邮件数据DATA11构成。
当邮件服务器4A接收该SMTP邮件的时候，邮件服务器4A发送图7的作为响应数据DATA12的数据。
在图6的SMTP电子邮件数据DATA11的情况下，在从上开始的前4行中有SMTP命令S11，并在从后面的行到“.”有邮件主体S12。
而且，该邮件主体S12包括一邮件首标单元S13、主体文本单元S14和附加文件单元S15。
当CPU9进入图4的邮件数据分析处理例程SP5时，在步骤SP21利用SMTP协议划分该邮件后，CPU9在步骤SP22和SP23依序获得在SMTP命令S11(图6)中的“RCPT TO”行和“MAIL FROM”行。并且因此，获得示出该数据是从邮件发送者的姓名到收件人姓名的电子邮件的数据。
然后，在步骤SP24，CPU9将从邮件首标S13到主体文本S14的尾部分离为一个文件，并在步骤SP25通过将它暂时写入工作存储器10的文件和将邮件首标放在相关联的阵列中，使得每项邮件首标可以被引用。
然后下一步在步骤SP26，CPU9判断是否存在任何附加文件，当获得肯定结果的时候，移向步骤SP27并执行病毒检测模块，并同时在步骤SP28判断是否检测到病毒。
如果在病毒检测步骤SP28获得肯定的结果，则在步骤SP29 CPU9确定电子邮件是类别＝2并移向步骤SP30。
在此，对所接收的电子邮件分类的原因是，通过将这些电子邮件按照电子邮件的内容分类并存储在分析结果数据库11中，可以当在这些数据被通信后读取分析结果数据库11的内容的时候，根据分类的结果读取这些数据，因此这使得可以容易地读取分析结果数据库11的数据。
因此，如果存在病毒的话，CPU9从具有附件的电子邮件提取病毒，并且将电子邮件的类别分类为类别＝2。
另一方面，如果在步骤SP26 CPU9判断没有附件，或当在步骤SP28病毒还没有被检测到的时候，CPU9跳过步骤SP29并移向步骤SP30。
该步骤SP30的处理是解码在SMTP电子邮件DATA11的邮件首标S13中的“Subject(主题)”(题目)的处理(即从7比特变为通常可读的8比特(MIME解码))(图6)。并且随后，在步骤SP31，CPU9解码“Filename(文件名)”(附加的文件名)，并且在下一个步骤SP32，CPU9解码邮件首标单元S13的“From(来自)”项，并在下一个步骤SP33，它解码邮件首标单元S13的“To(至)”，并在步骤SP34，解码邮件首标单元S13的“Cc(转交)”。
通过进行如上所述的处理，CPU9将获知SMTP邮件来自谁和去向谁并且转交给谁，以及了解到题目和附件名称，它了解病毒的存在与否。
在这样的情况下，在步骤SP35，CPU9判断是否电子邮件的类别是“类别＝2”。当获得肯定的结果的时候，它移向步骤SP36(图5)并执行处理(对检测到病毒的SMTP邮件)来向分析结果数据库11输入邮件主体文本S14、响应数据DATA12、SMTP命令S11和邮件首标S13的“To”项、“Cc”项、“From”项、“Subject”项作为通信项数据以示出通信内容。
另一方面，如果在步骤SP35获得否定的结果(图4)，这意味着SMTP邮件没有病毒，此时，CPU9移向步骤SP37并判断是否SMTP命令“MAILFROM”项、SMTP命令“RCPT TO”项、POP3命令“USER”项、POP3命令“APOP”项、邮件首标“From”项、邮件首标“To”项和邮件首标“Cc”与专用数据库12相符合。
这里专用数据库12意味着除了在专用数据库12中注册的人之外的任何人不允许读取SMTP电子邮件的内容。
如果在步骤SP37获得肯定的效果，这意味着其他人不允许读取SMTP电子邮件的内容。并且在此时在步骤SP38，在将邮件首标的“Subject”项改变为专用的之外，CPU9还在步骤SP39将邮件首标的“To”项变为专用的。然后在步骤SP40，设置“类别＝1”，CPU9移向下个步骤SP41。
于是，当CPU9确认SMTP邮件不允许被其他人看到的时候，它将邮件首标“Subject”项和邮件首标的“To”项设置为专用的，并且同时，通过使“类别＝1”，SMTP邮件的内容可以被设置成即使在发送电子邮件之后也不能看到。
另一方面，如果在步骤SP37获得否定的结果，这意味着SMTP邮件不被禁止看到，并且在此时，跳过步骤SP38至步骤SP40，CPU9移向步骤SP41。
该步骤SP41将邮件首标的内容与在邮件类别数据库13(图1)中提前设置的“邮件类别”的值相比较，并将它们分类。
如图10所示，邮件类别数据库13在邮件首标“From”项、“To”项、所有的“All”项、“Reply-To”项和“Subject”项设置属于邮件类别1、2、3、4和5的类别组和字作为引用数据。
而且，在“main text(主体文本)”项，邮件类别数据库13设置类别组和字(EUC)、字2(JIS)和字3(Shift-JIS)作为引用数据，来归类邮件类别5。
而且，在POP3项，邮件类别数据库13有类别组和字(POP)、以及字2(APOP)作为引用数据来判断类别6。
此时，在从SP41延续的步骤SP43，CPU9判断是否SMTP邮件的邮件首标与邮件类别数据库13相符。并且当获得肯定的结果的时候，CPU9移向步骤SP44，将类别值替换为相符的条件类别，并移向步骤SP36。
在此，SMTP邮件是根据简单邮件传输协议(SMTP)从终端装置向邮件服务器4A发送的电子邮件。设置到邮件类别数据库13的首标的引用数据是“From”项和“To”项，并且在步骤SP43，CPU9判断是否这两项是相符的。
另一方面，当在步骤SP43获得否定的结果的时候，在步骤SP45，CPU9将邮件的主体文本与在邮件类别数据库13的邮件类别5中注册的字相比较。当在步骤SP46 CPU9判断这些是相符的时候，在步骤SP47将类别值替换为相符的类别，并移向步骤SP36。
此外，如果在步骤SP46获得否定结果，则CPU9移向上述的步骤SP36。
通过执行图4和图5的SMTP邮件数据分析处理步骤SP5，CPU9判断是否所监视的电子邮件被允许看见，并通过判断该电子邮件属于何类别，将结果存储在分析结果数据库11中。
(4)POP3数据分析处理步骤在POP3数据分析子程序SP7(图2)，在终端装置3A、3B……读取在邮件服务器4A和邮件服务器15A、15B……中的邮件的时候，通信信息记录装置6的CPU9按照POP3数据分析处理步骤SP7，监视根据POP3协议(第3代邮局协议)流入目标网络2的电子邮件信息。
当CPU9进入POP3数据分析处理步骤SP7的时候，CPU9根据POP3协议在步骤SP75划分邮件。
然后，根据POP3协议的电子邮件信息的请求数据DATA21(图13所示)将被从终端装置3A、3B……通过目标网络2发送到邮件服务器4A。作为对此请求的响应，图14所示的电子邮件数据DATA22将被从邮件服务器4A和邮件服务器15A、15B发送到发出请求的终端装置3A、3B。
电子邮件数据DATA22包括POP3响应S21和邮件主体文本S22，并且邮件主体文本SP22包括邮件首标S23和邮件主体文本S24。
于是，CPU9在步骤SP75在利用POP3响应SP21将邮件划分之后，在步骤SP76和SP77获得请求数据DATA21的POP3命令的“USER”项(描述用户名)或“APOP”项(描述用户名和密码)，并同时在步骤SP78，提取从电子邮件数据DATA22的邮件首标S23到邮件主体文本S24的尾部的数据作为一个文件，并暂时将它存储在工作存储器10中。
然后，在步骤SP79，在将邮件首标输入到相关联的阵列中、并使得每一项可以被取出作为临时请求后，在步骤SP80 CPU9判断是否存在任何附件。如果获得肯定的结果，则它在步骤SP81执行病毒检测模块。然后在步骤SP82，如果获得已经检测到病毒的判断结果，则CPU9在步骤SP83判断电子邮件类别＝2，并移向下一步骤SP84。
另一方面，如果在步骤SP89获得没有附件的判断、或在SP82获得未检测到病毒的判断，则CPU9立即移向步骤SP84。
在步骤SP84，CPU9将邮件首标S3的“Subject”项从7比特解码为通常可读的8比特(MIME解码)。
类似地，在下面的步骤SP85、SP86、SP87和SP88，CPU9依序MIME解码“attachment file name(附件名)”项、邮件首标的“From”项、邮件首标的“To”项和邮件首标的“Cc”项.
然后在步骤SP89，CPU9判断是否电子邮件的类别是类别＝2，当获得肯定结果的时候，移向步骤SP90(图12)，并向分析结果数据库11输入“邮件主体文本”、“响应数据”、“SMTP命令”、邮件首标“To”、“Cc”、“From”项和“Subject”项。
另一方面，如果在步骤SP89获得否定的结果(图11)，则在步骤SP91，CPU9判断是否其中一项，SMTP命令“MAIL FROM”项或“RCPT TO”项、或POP3命令“USER”项或APOP项、或邮件首标“From”项、“To”项、“Cc”项与存储在专用数据库12中的专用数据相符。
在步骤SP91，如果获得肯定的结果，这意味着第三方不允许读取该电子邮件，并且在此时，CPU9在步骤SP92将邮件首标“Subject”项改变为专用数据。在步骤SP93将“From”项改变为专用数据后，在步骤SP94确定电子邮件类别为类别＝1，并移向步骤SP90，CPU9将此注册到分析结果数据库11。
另一方面，如果在步骤SP91获得否定的结果，这表示前述的处理不能进行分类。此时，CPU9在步骤SP95执行分类处理子程序SP42。
当CPU9进入分类处理子程序SP42，如图8和9所示的时候，在步骤SP51将邮件的邮件首标中的“From”项与邮件类别数据库13的“邮件类别1”的字比较之后，CPU9在步骤SP52判断是否存在任何相符的数据。当获得肯定结果时，CPU9移向步骤SP53，并确定对应于相符的字的类别为类别1。
如果在步骤SP52获得否定的结果，则CPU9在步骤SP54将邮件首标中的“From”项与“邮件类别2”的字比较。在步骤SP55，如果存在相符的数据，则在步骤SP56，CPU9判断该相符的字的类别为类别2。
而且，在步骤SP55，如果获得否定的结果，则CPU9将邮件首标中的“From”项、“To”项和“Cc”项、SMTP命令中的“MAIL-FROM”项、“RCPT-TO”项与邮件类别数据库13的邮件类别3的字相比较。并且，在步骤SP58，如果存在相符的数据，则CPU9在步骤SP59判断对应于该相符的字的类别为类别3。
而且，如果在步骤SP59获得否定的结果，CPU9在步骤SP60将邮件首标中的“Reply-To”项与邮件类别数据库13的邮件类别4的字相比较。在步骤SP61，当发现相符的时候，CPU9在步骤SP62判断对应于该相符的字的类别为类别4。
而且，如果在步骤SP61获得否定的结果，CPU9在步骤SP63将SMTP邮件的邮件主体文本与邮件类别数据库13的邮件类别5的字、字2和字3相比较。在步骤SP64，当发现相符的时候(图9)，在步骤SP65判断对应于该相符的字的类别为类别5。
而且，如果在步骤SP64获得否定的结果，CPU9在步骤SP66将SMTP邮件的请求文件的首行与邮件类别数据库13的邮件类别6的字、字2相比较，并且在步骤SP67，如果发现相符，在步骤SP68判断对应于该相符的字的类别为类别6。
利用这种安排，如果获得步骤SP53、SP56、SP59、SP62、SP65和SP68的判断结果，或如果在步骤SP67获得否定的结果，则CPU9在步骤SP69终止分类处理，并从步骤SP70返回主程序(图12)。
按照该步骤SP95的分类处理，流入目标网络2的邮件信息将同时被分类为可以由控制目标网络的管理总部的管理者容易地控制的类别形式。
此处，对于图10的邮件类别数据库13，类别编号被分别附加到在从邮件类别1到邮件类别6的6项上的一个或多个具有高优先权的字。因此，在从管理总部4的邮件浏览器4B读出存储在分析结果数据库11中的分析结果数据的情况下，可以有选择地读出具有高优先权的邮件信息。
邮件类别数据库13的第一类别数据CAT1被作为邮件类别1设置到带有该类别值的邮件首标单元的“From”项的一个或多个“邮件发送端的名称”上。
第二类别数据CAT2被作为邮件类别2设置到带有该类别值的邮件首标单元的“To”项上的一个或多个“接收端的名称”上。
而且，第三类别数据CAT3被作为邮件类别3设置到构成一组所有的项目的一个或多个项目上，即SMTP命令“MAIL FROM”项、“RCPT TO”项和邮件首标“From”项、“To”项、“Cc”项，作为带有该类别值的一组判断信息。
而且，第四类别数据CAT4通过向一个或多个“Reply To”(回答发送地址)附加类别值而被设置作为邮件类别4。
而且，第五类别数据CAT5通过向一个或多个邮件首标的“Subject”项(题目)附加类别值而被设置作为邮件类别5。
而且，第六类别数据CAT6被按照每个日本汉字代码ERC、JIS和SHIFT-JIS设置到一个或多个“mail main text(邮件主体文本)”项(即注册的字符)作为邮件类别6。
而且，第七类别数据CAT7被设置到在字(POP)、用户姓名或者字2(APOP)、POP3项(邮件服务器的用户名)的用户名和密码中的一个或多个项作为邮件类别7。
因此，CPU9利用分类类别数据CAT1到CAT7分类受各方面监视的电子邮件信息，将它们存储在分析结果数据库11中，并从步骤SP96返回主程序通信信息记录处理步骤RT0(图2)。因此，可以从管理总部4的邮件浏览器4B容易地进行对来自分析结果数据库11的电子邮件数据的确认，作为临时请求。
(5)HTTP数据分析处理步骤通信信息记录装置6的CPU9在HTTP数据分析步骤SP8(图2)执行图15和16所示的“HTTP数据分析处理步骤”。
当CPU9进入“HTTP数据分析处理步骤”SP8的时候，在步骤SP100设置条件来保护来自nama数据库的对话数据。
在本实施例的情况下，当终端装置3A、3B……从带有三种端口编号80、3128和8080的HTTP服务器14A、14B……读取网页信息的时候，CPU9将网页信息存储在分析结果数据库11中。
来自终端装置3A、3B……的请求从“GET”、“POST”、“HEAD”、“DELETE”、“OPTIONS”、“PUT”、“LINK”、“UNLINK”、“TRACE”、“CONNECT”项开始。
例如，如果HTTP POST请求被从终端装置3A、3B……发出，则终端装置3A、3B……通过目标网络2向HTTP服务器14A、14B……发送HTTP POST请求数据DATA31。响应于此，HTTP服务器14A、14B……通过目标网络2向终端装置3A、3B……发送HTTP POST响应数据DATA32，如图19所示。
HTTP POST请求数据DATA31包括首标单元S31和写入单元S32，如图18所示。并且在通过首标单元S31向HTTP服务器14A、14B……发送网页读入信息之外，加入将在写入单元S32中写入的内容加到要被读取和发出的网页的条件。
当HTTP服务器14A、14B……接收HTTP POST请求数据DATA31的时候，如图19所示，这些HTTP服务器向发出请求的终端装置3A、3B……返回由处理的网页信息构成的首标部分S33和主体文本部分S34，作为HTTPPOST响应数据DATA32。
而且，如图20(A)所示，终端装置3A、3B……向HTTP服务器14A、14B……发出HTTP GET请求数据DATA41的请求和HTTP首标(不象图18那样，没有任何写入单元S32)，作为HTTP GET请求数据DATA41。
在此，如图20(B)所示，HTTP服务器14A、14B……向发出请求的终端装置3A、3B……发送首标部分S42和主体文本部分S43(此处为静止图像)，作为HTTP GET响应数据DATA42。
当CPU9进入HTTP数据分析子程序的时候，在从步骤SP100延续的步骤SP101中从工作存储器10读出请求数据DATA41(图15)。并且在步骤SP102，在确认请求数据已经从HTTP GET请求、HTTP POST请求、HTTPHEAD请求……HTTP CONNECT请求中的哪一个请求开始之后，在步骤SP103分离该请求数据。
然后，在步骤SP104，在HTTP POST请求的情况下，CPU9读取HTTPPOST请求DATA31的首标部分S31。而在HTTP GET请求的情况下，在HTTPGET请求DATA41的首标部分S41读取(图20(A))。在此情况下，按照HTTP(超文本传输协议)传输请求数据和响应数据。
然后，在步骤SP105，CPU9在将HTTP首标改变为相关联的阵列以便可以读取每个数据后，判断是否HTTP首标是空的(如HTTP首标是否存在)。
在此，如果获得确定的结果，这意味着终端装置3A、3B……向HTTP服务器14A、14B……发送请求而不附加HTTP首标主机(Host)。在此时，在步骤SP107，通过加入“http//收件人IP (因特网协议)地址/请求文本”，CPU9确定URL(统一资源定位符)，即唯一确定文件的资源名称，并进行到下一步骤SP108。
另一方面，如果在步骤SP106获得否定的结果，这意味着当终端装置3A、3B……向HTTP服务器14A、14B……发送请求的时候附加了HTTP首标主机。并且在此时，在步骤SP109，CPU9确定“http//HTTP首标主机/请求文本”作为URL，并移向步骤SP108。
在步骤SP108，CPU9读取响应数据的响应首标。并且在步骤SP110，判断是否在响应首标中存在Content-Length(内容长度)项。
在此，如果获得否定的结果，这意味着有可能仅仅一个网页信息被包括在响应数据中。并且在此时，在步骤SP111，CPU9读取响应数据直到文件信息的下一个响应首标出现。并且在步骤SP112，CPU9确定在该响应首标后到下一个响应首标之间的主体文本作为一个文件，并将它存储在分析结果数据库11中。
另一方面，如果在步骤SP110获得肯定的结果，这意味着有可能在响应数据中包括多个网页信息。并且在此时，CPU9移向步骤SP113，并在Content-Length项判断是否Content-Length＝0。
在此，如果获得否定的结果，这意味着包括多个网页。并且在步骤SP114，CPU9读入响应首标后的Content-Length长度的数据，并移向步骤SP112，在分析结果数据库11中存储该数据为一个文件。
然后，在下一步骤SP115，CPU9判断是否当前进行的处理是HTTP POST的情况、或在URL中包含“？”的情况。
在此，如果获得肯定的结果，这表示当前处理的网页信息的内容是动态内容。
更具体地说，在POST请求的情况下，如图18和19所述，POST响应数据DATA32(图19)是向HTTP服务器14A、14B……发送的数据、和对应于HTTP POST请求DATA31(图18)的处理写入单元S32的内容所处理的数据，因此，它含有动态内容。
而且，在步骤SP107或SP109附加的URL的内容中包括“？”意味着向HTTP服务器14A、14B……发送的网页信息的内容具有其后要被改变的动态内容。
相应地，如果在步骤SP115获得否定的结果，则意味着响应数据是没有动态内容的固定类型的网页信息。并且在此时，CPU9移向步骤SP116，在分析结果数据库11中形成一个目录，使得“从URL项到最后的/”的数据作为一个名称。并且在下一步骤SP116，CPU9将当前处理的主体文本数据移向在分析结果数据库11中从URL项形成的目录的位置，并将它在下一步骤SP118存储在分析结果数据库11，并在分析结果数据库11中的网页*数据库11A中记录请求、响应、URL、主体文本文件的存储位置。
因此，在响应首标中不存在Content-Length的情况下(SP110)和在存在Content-Length并且Content-Length不是0的情况下，关于网页没有动态内容的分析结果(步骤SP115)可以存储在分析结果数据库11中。
另一方面，如果在步骤SP113获得肯定的结果，这意味着这是一个特殊的情况，实际上即使响应首标有多个网页，内容的长度也是0。此时，CPU9移向步骤SP119，并在分析结果数据库11的辅助数据库(即网页*数据库11A)中记录请求、响应、URL、主体文本文件(图17)。
而且，如果在步骤SP115获得肯定的结果，则意味着当前处理的数据是使用动态内容而不是静态内容。CPU9移向步骤SP119，在网页*数据库11A中记录请求、响应、URL、主体文本文件。
因此，在步骤SP118和SP119，在CPU9完成在分析结果数据库11中存储在步骤SP104读出的HTTP请求首标的分析结果之后，它移向下一步骤SP120并判断是否还剩余任何请求。并且如果获得肯定的结果，CPU9返回步骤SP103，重复对剩余请求的处理。
另一方面，如果在步骤SP120获得否定的结果，这意味着包含在一个对话中的所有请求的处理已经完成。并且此时，CPU9移向步骤SP121，判断是否在工作存储器中存在其他对话，当获得确定的结果的时候，CPU9返回步骤SP101，并重复剩余对话的分析操作。
如果在步骤SP121获得否定的结果，这意味着已经完成了对放在工作存储器10中的所有HTTP数据的处理。此时，CPU9从步骤SP122返回通信信息记录处理步骤TR0(图2)。
而且，如果在步骤SP102获得否定的结果，这意味着“HTTP数据分析”不是按照通信信息记录处理步骤RTO(图2)在步骤SP8要处理的网页信息。此时，CPU9立即从步骤SP122返回通信信息记录处理步骤RTO(图2)。
(6)侵入窃密检测分析处理步骤当通信信息记录装置6的CPU9进入侵入窃密检测分析步骤SP9(图2)的时候，它按照图22所示的侵入窃密检测分析处理步骤SP9，在分析结果数据库11中存储对通过目标网络2的通信的分析结果。
当CPU9进入侵入窃密检测分析处理步骤SP9的时候，它向侵入窃密检测程序提供在工作存储器10接收的数据流D0。
然后下面，在步骤SP142，CPU9按照侵入窃密检测程序，将数据流D0指向侵入窃密检测程序具有的侵入模型中，在工作存储器11中作为一个文件记录相符的数据流D0。
然后在步骤SP143，CPU9根据记录在工作存储器11中的文件提取该文件的首标部分和主体文本部分并形成一个结果文件。然后，在随后的步骤SP144，CPU9从结果文件中读取侵入模型、发送端地址、接收端地址、命令发送者端口、命令接收者端口和发生时间，CPU9将它们输入到分析结果数据库11。
利用这种安排，由于通过目标网络2的通信信息的通信记录可以被存储在分析结果数据库11中，CPU9从步骤SP145返回主程序通信信息记录处理步骤RTO。
因此，按照图22的通信检测分析处理步骤，对于没有ID而进入目标网络2的通信信息，它的通信记录可以存储在分析结果数据库11中。因此，可以利用管理总部4的网页浏览器4B读出通信信息记录装置6的分析结果数据库11，作为临时请求。因此，管理总部4的管理者可以确定地掌握侵入者的通信记录。
(7)通信信息记录装置的操作按照前述的结构，当在邮件服务器4A上的分组数据流入目标网络2的时候，每次当通信信息记录装置6(图1)接收到数据和将其放入工作存储器10中的时候，它将附加监视文件名。并且在步骤SP4的每个分析时间(SP2、SP3)，通信信息记录装置6按每个对话期附加分析文件名，执行邮件数据分析步骤SP5、或POP3服务器分析步骤SP7、或HTTP数据分析步骤SP8的处理，并在分析结果数据库11中存储分析结果。
因此，管理总部4的管理者可以通过目标网络2从邮件浏览器4B读出存储在通信信息记录装置6的分析结果数据库11中的分析结果数据，作为临时请求。因此流入目标网络2的邮件信息的确认可以在通信结束后确定地进行。
在进行这种确认的情况下，当在终端装置3A、3B……和邮件服务器4A和邮件服务器15A、15B……之间按照图2的邮件服务器分析步骤SP5和POP3服务器数据分析步骤SP7交换邮件信息的时候，所接收到的邮件数据将被分类和存储在分析结果数据库11中。
在网页信息的情况下，如在HTTP数据分析步骤SP8中，终端装置3A、3B……向HTTP服务器14A、14B……发出请求并接收响应，网页信息被分类成静态网页信息和动态网页信息。并且对于静态网页信息，分析结果数据库11的存储位置被重新安置到辅助数据库11A并被存储。因此，当从网页浏览器4B向通信信息记录装置6发送检测请求的时候，可以正确地和容易地读出管理总部4的管理者所要求的检测信息，以简单步骤增强了包括图像的网页的再现能力。
(8)读出分析结果数据在通信信息记录装置6的分析结果数据库11中注册的分析结果数据，将按照分析结果数据读出处理步骤RT1向管理总部4的网页浏览器4B读出。
在分析结果数据读出处理步骤RT1中，当CPU9在步骤SP131从网页浏览器4B接收了检测请求，并在步骤SP132引用分析结果数据库11的分析结果数据的时候，CPU9在步骤SP133从引用的结果数据提取与检测请求相关的分析结果数据。
然后，CPU9在步骤SP134利用HTTP(超文本传输协议)通过目标网络2向邮件浏览器4B发送所提取的分析数据，并执行处理以在网页浏览器4B的显示中显示它。然后在步骤SP135，CPU9终止分析结果数据读出处理步骤RT1。
因此，按照图13的分析结果数据读出处理步骤RT1，管理总部4的管理者可以总是确认通过目标网络2的邮件信息和HTTP通信记录，来作为临时请求。
(9)其他实施例上述的实施例处理了当在“HTTP数据分析”处理步骤SP8(图15和16)的步骤SP116中“利用从URL到最后一个“/”的名称形成目录”的时候，在分析结果数据库11中形成目录的情况。然而，可以使用由盘记录装置构成和与分析结果数据库11分离地提供的外部存储器来取代。
产业上的可利用性本发明可以用在通信系统中，来接收流入由LAN构成的目标网络的通信数据、和在进行通信后确认通信的内容。
权利要求
1.一种通信信息记录装置，其中通过监视流入目标网络的数据流的数据、在每个通信中划分所述的被监视数据、和选择在所述被划分的数据中包含的通信项数据来形成分析结果数据，然后通过将检测数据附加在所述分析结果数据和将它们存储在分析结果数据库中，所述分析结果数据被有选择地根据所述的检测数据从所述的分析结果数据库中对外读出，使得确认通过所述目标网络的通信结果。
2.如权利要求1的通信信息记录装置，其中所述被划分的数据包括从另一个通信装置向连接到所述目标网络的邮件服务器的请求数据、和从所述邮件服务器向所述另一个通信装置的响应数据。
3.如权利要求1的通信信息记录装置，其中所述被划分的数据包括首标项数据和邮件主体文本数据作为所述的通信项数据。
4.如权利要求2的通信信息记录装置，其中所述被划分的数据包括附加文件项数据作为所述通信项数据。
5，如权利要求1的通信信息记录装置，包括一专用数据库，用于存储除了指定读者读取之外、限定其他读者未经授权读取的邮件信息的所述通信项作为专用项，并且其中一读取保护项被加到与所述专用数据库的专用项相符的所述分析结果数据的所述通信项上，并被存储在所述分析结果数据库，以便不从所述分析结果数据库读取附加了所述读取保护项的所述通信项。
6.如权利要求2的通信信息记录装置，其中从作为所述通信项数据的所述被划分的数据中检测附件中的计算机病毒。
7.如权利要求1的通信信息记录装置，包括一类别数据库，用于存储将包括在对应于所述通信项的所述被划分的数据中的通信项分类的类别项，并且其中所述对应的类别项被附加到与所述类别数据库的通信项相符的所述通信项上，并被存储在所述分析结果数据库中，以便对于每个类别项从所述分析结果数据库读取所述分析结果数据。
8.如权利要求1的通信信息记录装置，其中所述被划分的数据包括来自另一个通信装置向连接到所述目标网络的HTTP服务器的请求数据和从所述HTTP服务器向所述通信装置的响应数据。
9.如权利要求8的通信信息记录装置，其中如果在来自所述HTTP服务器的响应数据中存在一个指示内容长度的Content-length项，则内容被存储为一个文件，并且在一存储位置数据库中累积指示在分析结果数据库中对应的被划分数据的存储位置的存储位置数据，因此向外读出在所述存储位置数据库中累积的所述存储位置数据，以便再现所述的被划分数据。
全文摘要
网络的通信日志被产生。通过目标网络的分组数据被监视，对应于分组数据的类型的搜索数据被加到该分组数据，该分组数据和搜索数据被存储在分析结果数据库中。可以在通信后容易和正确地读取内容。
文档编号H04L12/26GK1392983SQ01803014
公开日2003年1月22日 申请日期2001年10月3日 优先权日2000年10月3日
发明者杉浦隆幸 申请人:网络知德株式会社