本发明涉及计算机安全技术领域,具体地说是一种实用性强、基于Linux的邮件监控方法。
背景技术:
随着计算机的普及以及人们对个人信息安全的重视,如何保障计算机乃至个人信息的安全成为了一个至关重要的问题。传统的计算机安全设备往往基于病毒及木马扫描技术,该技术用来扫描文件是否包含病毒或木马,因此该技术属于针对性保护,并不能完全的保障计算机的安全。因此,如何全方位的保障计算机的安全便成为了一个急需解决的问题。
为了解决传统计算机安全设备所存在的不足,本发明提出的一种高安全性的主动防御及异常上报系统设计方法,在文件初次使用时记录其内存信息的标准哈希度量值,在文件版本发生改变时,重新计算其内存信息的哈希值,并将此哈希值与标准哈希度量值进行比对,根据比对结果是否一致来判断文件是否安全。即,本发明使用文件的内存度量值作为文件是否安全的唯一标准,从根本上保障的文件全方位的安全。
技术实现要素:
本发明的技术任务是针对以上不足之处,提供一种实用性强、基于Linux的邮件监控方法。
一种基于Linux的邮件监控方法,其实现过程为:通过监听技术,在电子邮件正常传输的情况下,对特定信息进行捕获分析,通过解码提取技术构建检索数据库,最终通过检索系统集中展现,实现各类邮件内容的捕获、存储和安全分析。
所述特定信息是指特定IP地址、特定email地址或特定关键词的电子邮件。
所述邮件内容的捕获分析通过以下两个模块实现:
后台捕获模块:该模块为一个邮件抓包模块,运行于监听服务器Linux或Unix系统下,用于截取网络中的邮件信息,并将截取的邮件进行初步处理并存储;
前台处理模块:为一组PHP程序模块,运行在监听服务器或者其他服务器上,用于对所截获的邮件进行解码解压、查询、检索,以获取需要的信息。
基于上述模块,该方法的实现过程为:
后台捕获模块把监听服务器的网卡设置成为混杂模式,监听该服务器所在以太网广播域内的所有以太帧,并对其中的TCP/IP包做分析,如果是TCP包,并且从包头信息中读取的目标端口或者源端口为110端口或者25端口,那么对此包进行捕获,并把内容按顺序以文件的形式保存在磁盘上;
前台处理模块列得到磁盘目录中所有的文件名,并逐个对文件进行处理。
所述后台捕获模块的监听过程具体为:
首先由用户通过应用程序生成的信息进入应用层,按照应用层的协议来传递数据;
然后将数据传送给下面的传输层,即TCP层,在这一层,数据被分割为若干个段,每一个段都有自己的头信息;
每一个段都被传递给下面的网络层,即IP层,加上了网络层的头信息,变成了一个网络包;
将网络包传递给下面的数据链路层,即以太层,加上了头信息和尾信息后,变成了帧;
最后将这些内容传递给物理层,变为0101010101这样的数字信号通过信道编码在物理网络上传输。
所述头信息包括目的地址、目的端口、源地址、源端口、段长度信息。
所述前台处理模块的数据处理过程为:
首先前台处理模块将数据中的信息提取出来,这里的信息包括邮件中的主题、正文、发件人地址、收件人地址、时间,存入数据库中,并对文中的关键字进行匹配,当搜索到设置的符合特殊词语时,及时发现并报告。
本发明的一种基于Linux的邮件监控方法,具有以下优点:
本发明的一种基于Linux的邮件监控方法,通过邮件监听技术、邮件内容解码解密、按关键字检索等技术,可以作为一些国家机关的信息安全部门用来侦听一些特殊人群发送接受特殊的电子邮件的一套信息安全系统,确保办公网络的安全,截断不法分子传送非法信息的路径,实用性强,易于推广。
附图说明
附图1为本发明的系统结构图。
附图2为本发明的后台捕获流程图。
附图3为本发明的前台处理流程图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步说明。
如附图1所示,本发明提供一种基于Linux的邮件监控方法,其实现过程为:采用监听技术,在不影响(或影响很小)电子邮件正常传输的情况下,对特定IP地址,或特定email地址,或特定关键词的电子邮件进行截获分析,并通过解码提取技术构建检索数据库,最终通过检索系统集中展现。实现各类邮件内容的捕获、存储和安全分析。
所述邮件内容的捕获分析通过以下两个模块实现:
后台捕获模块,即附图1中的后台捕获程序:该模块为一个邮件抓包模块,通过C语言编写,运行于监听服务器Linux或Unix系统下,用于截取网络中的邮件信息,并将截取的邮件进行初步处理并存储;
前台处理模块,即附图1中的前台处理程序:为一组PHP程序模块,运行在监听服务器或者其他服务器上,用于对所截获的邮件进行解码解压、查询、检索,以获取需要的信息。
基于上述模块,该方法的实现过程为:
后台捕获模块把监听服务器的网卡设置成为混杂模式,监听该服务器所在以太网广播域内的所有以太帧,并对其中的TCP/IP包做分析,如果是TCP包,并且从包头信息中读取的目标端口或者源端口为110端口或者25端口,那么对此包进行捕获,并把内容按顺序以文件的形式保存在磁盘上;
前台处理模块列得到磁盘目录中所有的文件名,并逐个对文件进行处理。
如附图2所示,所述后台捕获模块的监听过程具体为:
后台捕获模块把监听服务器的网卡设置成为混杂模式,监听该服务器所在以太网广播域内的所有以太帧,并对其中的TCP/IP包做分析,如果是TCP包,并且从包头信息中读取的目标端口或者源端口为110(POP3)或者25(SMTP),那么对此包进行捕获,并把内容按顺序以文件的形式保存在磁盘上。
以电子邮件信息为例,首先,由用户通过应用程序生成的信息进入应用层,按照应用层的协议(比如POP3或者SMTP)来传递,假设所传递的内容为Data。
其次数据被交给下面的传输层(TCP层)。在这一层,数据被分割为若干个segment(段),每一个segment都有自己的头信息(header),包括目的地址、目的端口、源地址、源端口、段长度等等信息。
然后每一个segment都被交给下面的网络层(IP层),加上了网络层的头信息(Network Header),变成了一个网络包(Packet)。
这些packet被交给下面的数据链路层(以太层),加上了头信息和尾信息后,变成了帧(Frame)。
最后这些内容都被交给物理层,变为了0101010101这样的数字信号通过信道编码在物理网络上传输。
如附图3所示,所述前台处理模块的数据处理过程为:
前台处理程序列目录得到outputmail/目录中所有的文件名,并逐个对文件进行处理。把每一封的邮件中的主题、正文、发件人地址、收件人地址、时间等信息提取出来,存入数据库(MySql)中,并可以对文中的关键字进行匹配,当搜索到设置的符合特殊词语时,可以及时发现并报告。因为这一部分功能要求对字符串操作非常多,而C语言对字符串操作的函数比较少,而且使用起来不太方便。因此,我们这里选择了拥有强大字符串处理功能的脚本语言:PHP。
通过上述过程,完成邮件监控的过程。
上述具体实施方式仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述具体实施方式,任何符合本发明的一种基于Linux的邮件监控方法的权利要求书的且任何所述技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。
345
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
