CN106302491A - 一种基于Linux的邮件监控方法 - Google Patents
一种基于Linux的邮件监控方法 Download PDFInfo
- Publication number
- CN106302491A CN106302491A CN201610707011.2A CN201610707011A CN106302491A CN 106302491 A CN106302491 A CN 106302491A CN 201610707011 A CN201610707011 A CN 201610707011A CN 106302491 A CN106302491 A CN 106302491A
- Authority
- CN
- China
- Prior art keywords
- linux
- module
- method based
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种基于Linux的邮件监控方法,其实现过程为:通过监听技术,在电子邮件正常传输的情况下,对特定信息进行捕获分析,通过解码提取技术构建检索数据库,最终通过检索系统集中展现,实现各类邮件内容的捕获、存储和安全分析。该一种基于Linux的邮件监控方法与现有技术相比,本发明可以作为一些国家机关的信息安全部门用来侦听一些特殊人群发送接受特殊的电子邮件的一套信息安全系统,确保办公网络的安全,截断不法分子传送非法信息的路径,实用性强,易于推广。
Description
技术领域
本发明涉及计算机安全技术领域,具体地说是一种实用性强、基于Linux的邮件监控方法。
背景技术
随着计算机的普及以及人们对个人信息安全的重视,如何保障计算机乃至个人信息的安全成为了一个至关重要的问题。传统的计算机安全设备往往基于病毒及木马扫描技术,该技术用来扫描文件是否包含病毒或木马,因此该技术属于针对性保护,并不能完全的保障计算机的安全。因此,如何全方位的保障计算机的安全便成为了一个急需解决的问题。
为了解决传统计算机安全设备所存在的不足,本发明提出的一种高安全性的主动防御及异常上报系统设计方法,在文件初次使用时记录其内存信息的标准哈希度量值,在文件版本发生改变时,重新计算其内存信息的哈希值,并将此哈希值与标准哈希度量值进行比对,根据比对结果是否一致来判断文件是否安全。即,本发明使用文件的内存度量值作为文件是否安全的唯一标准,从根本上保障的文件全方位的安全。
发明内容
本发明的技术任务是针对以上不足之处,提供一种实用性强、基于Linux的邮件监控方法。
一种基于Linux的邮件监控方法,其实现过程为:通过监听技术,在电子邮件正常传输的情况下,对特定信息进行捕获分析,通过解码提取技术构建检索数据库,最终通过检索系统集中展现,实现各类邮件内容的捕获、存储和安全分析。
所述特定信息是指特定IP地址、特定email地址或特定关键词的电子邮件。
所述邮件内容的捕获分析通过以下两个模块实现:
后台捕获模块:该模块为一个邮件抓包模块,运行于监听服务器Linux或Unix系统下,用于截取网络中的邮件信息,并将截取的邮件进行初步处理并存储;
前台处理模块:为一组PHP程序模块,运行在监听服务器或者其他服务器上,用于对所截获的邮件进行解码解压、查询、检索,以获取需要的信息。
基于上述模块,该方法的实现过程为:
后台捕获模块把监听服务器的网卡设置成为混杂模式,监听该服务器所在以太网广播域内的所有以太帧,并对其中的TCP/IP包做分析,如果是TCP包,并且从包头信息中读取的目标端口或者源端口为110端口或者25端口,那么对此包进行捕获,并把内容按顺序以文件的形式保存在磁盘上;
前台处理模块列得到磁盘目录中所有的文件名,并逐个对文件进行处理。
所述后台捕获模块的监听过程具体为:
首先由用户通过应用程序生成的信息进入应用层,按照应用层的协议来传递数据;
然后将数据传送给下面的传输层,即TCP层,在这一层,数据被分割为若干个段,每一个段都有自己的头信息;
每一个段都被传递给下面的网络层,即IP层,加上了网络层的头信息,变成了一个网络包;
将网络包传递给下面的数据链路层,即以太层,加上了头信息和尾信息后,变成了帧;
最后将这些内容传递给物理层,变为0101010101这样的数字信号通过信道编码在物理网络上传输。
所述头信息包括目的地址、目的端口、源地址、源端口、段长度信息。
所述前台处理模块的数据处理过程为:
首先前台处理模块将数据中的信息提取出来,这里的信息包括邮件中的主题、正文、发件人地址、收件人地址、时间,存入数据库中,并对文中的关键字进行匹配,当搜索到设置的符合特殊词语时,及时发现并报告。
本发明的一种基于Linux的邮件监控方法,具有以下优点:
本发明的一种基于Linux的邮件监控方法,通过邮件监听技术、邮件内容解码解密、按关键字检索等技术,可以作为一些国家机关的信息安全部门用来侦听一些特殊人群发送接受特殊的电子邮件的一套信息安全系统,确保办公网络的安全,截断不法分子传送非法信息的路径,实用性强,易于推广。
附图说明
附图1为本发明的系统结构图。
附图2为本发明的后台捕获流程图。
附图3为本发明的前台处理流程图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步说明。
如附图1所示,本发明提供一种基于Linux的邮件监控方法,其实现过程为:采用监听技术,在不影响(或影响很小)电子邮件正常传输的情况下,对特定IP地址,或特定email地址,或特定关键词的电子邮件进行截获分析,并通过解码提取技术构建检索数据库,最终通过检索系统集中展现。实现各类邮件内容的捕获、存储和安全分析。
所述邮件内容的捕获分析通过以下两个模块实现:
后台捕获模块,即附图1中的后台捕获程序:该模块为一个邮件抓包模块,通过C语言编写,运行于监听服务器Linux或Unix系统下,用于截取网络中的邮件信息,并将截取的邮件进行初步处理并存储;
前台处理模块,即附图1中的前台处理程序:为一组PHP程序模块,运行在监听服务器或者其他服务器上,用于对所截获的邮件进行解码解压、查询、检索,以获取需要的信息。
基于上述模块,该方法的实现过程为:
后台捕获模块把监听服务器的网卡设置成为混杂模式,监听该服务器所在以太网广播域内的所有以太帧,并对其中的TCP/IP包做分析,如果是TCP包,并且从包头信息中读取的目标端口或者源端口为110端口或者25端口,那么对此包进行捕获,并把内容按顺序以文件的形式保存在磁盘上;
前台处理模块列得到磁盘目录中所有的文件名,并逐个对文件进行处理。
如附图2所示,所述后台捕获模块的监听过程具体为:
后台捕获模块把监听服务器的网卡设置成为混杂模式,监听该服务器所在以太网广播域内的所有以太帧,并对其中的TCP/IP包做分析,如果是TCP包,并且从包头信息中读取的目标端口或者源端口为110(POP3)或者25(SMTP),那么对此包进行捕获,并把内容按顺序以文件的形式保存在磁盘上。
以电子邮件信息为例,首先,由用户通过应用程序生成的信息进入应用层,按照应用层的协议(比如POP3或者SMTP)来传递,假设所传递的内容为Data。
其次数据被交给下面的传输层(TCP层)。在这一层,数据被分割为若干个segment(段),每一个segment都有自己的头信息(header),包括目的地址、目的端口、源地址、源端口、段长度等等信息。
然后每一个segment都被交给下面的网络层(IP层),加上了网络层的头信息(Network Header),变成了一个网络包(Packet)。
这些packet被交给下面的数据链路层(以太层),加上了头信息和尾信息后,变成了帧(Frame)。
最后这些内容都被交给物理层,变为了0101010101这样的数字信号通过信道编码在物理网络上传输。
如附图3所示,所述前台处理模块的数据处理过程为:
前台处理程序列目录得到outputmail/目录中所有的文件名,并逐个对文件进行处理。把每一封的邮件中的主题、正文、发件人地址、收件人地址、时间等信息提取出来,存入数据库(MySql)中,并可以对文中的关键字进行匹配,当搜索到设置的符合特殊词语时,可以及时发现并报告。因为这一部分功能要求对字符串操作非常多,而C语言对字符串操作的函数比较少,而且使用起来不太方便。因此,我们这里选择了拥有强大字符串处理功能的脚本语言:PHP。
通过上述过程,完成邮件监控的过程。
上述具体实施方式仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述具体实施方式,任何符合本发明的一种基于Linux的邮件监控方法的权利要求书的且任何所述技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。
Claims (7)
1.一种基于Linux的邮件监控方法,其特征在于,其实现过程为:通过监听技术,在电子邮件正常传输的情况下,对特定信息进行捕获分析,通过解码提取技术构建检索数据库,最终通过检索系统集中展现,实现各类邮件内容的捕获、存储和安全分析。
2.根据权利要求1所述的一种基于Linux的邮件监控方法,其特征在于,所述特定信息是指特定IP地址、特定email地址或特定关键词的电子邮件。
3.根据权利要求1所述的一种基于Linux的邮件监控方法,其特征在于,所述邮件内容的捕获分析通过以下两个模块实现:
后台捕获模块:该模块为一个邮件抓包模块,运行于监听服务器Linux或Unix系统下,用于截取网络中的邮件信息,并将截取的邮件进行初步处理并存储;
前台处理模块:为一组PHP程序模块,运行在监听服务器或者其他服务器上,用于对所截获的邮件进行解码解压、查询、检索,以获取需要的信息。
4.根据权利要求3所述的一种基于Linux的邮件监控方法,其特征在于,基于上述模块,该方法的实现过程为:
后台捕获模块把监听服务器的网卡设置成为混杂模式,监听该服务器所在以太网广播域内的所有以太帧,并对其中的TCP/IP包做分析,如果是TCP包,并且从包头信息中读取的目标端口或者源端口为110端口或者25端口,那么对此包进行捕获,并把内容按顺序以文件的形式保存在磁盘上;
前台处理模块列得到磁盘目录中所有的文件名,并逐个对文件进行处理。
5.根据权利要求4所述的一种基于Linux的邮件监控方法,其特征在于,所述后台捕获模块的监听过程具体为:
首先由用户通过应用程序生成的信息进入应用层,按照应用层的协议来传递数据;
然后将数据传送给下面的传输层,即TCP层,在这一层,数据被分割为若干个段,每一个段都有自己的头信息;
每一个段都被传递给下面的网络层,即IP层,加上了网络层的头信息,变成了一个网络包;
将网络包传递给下面的数据链路层,即以太层,加上了头信息和尾信息后,变成了帧;
最后将这些内容传递给物理层,变为0101010101这样的数字信号通过信道编码在物理网络上传输。
6.根据权利要求5所述的一种基于Linux的邮件监控方法,其特征在于,所述头信息包括目的地址、目的端口、源地址、源端口、段长度信息。
7.根据权利要求4所述的一种基于Linux的邮件监控方法,其特征在于,所述前台处理模块的数据处理过程为:
首先前台处理模块将数据中的信息提取出来,这里的信息包括邮件中的主题、正文、发件人地址、收件人地址、时间,存入数据库中,并对文中的关键字进行匹配,当搜索到设置的符合特殊词语时,及时发现并报告。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610707011.2A CN106302491A (zh) | 2016-08-23 | 2016-08-23 | 一种基于Linux的邮件监控方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610707011.2A CN106302491A (zh) | 2016-08-23 | 2016-08-23 | 一种基于Linux的邮件监控方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106302491A true CN106302491A (zh) | 2017-01-04 |
Family
ID=57614754
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610707011.2A Pending CN106302491A (zh) | 2016-08-23 | 2016-08-23 | 一种基于Linux的邮件监控方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106302491A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111010331A (zh) * | 2019-10-18 | 2020-04-14 | 苏州浪潮智能科技有限公司 | 一种电子邮件监控汇总方法、系统、终端及存储介质 |
| CN112702356A (zh) * | 2020-12-29 | 2021-04-23 | 中孚安全技术有限公司 | 一种网络安全教学方法、系统、设备及可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1367595A (zh) * | 2001-01-23 | 2002-09-04 | 联想(北京)有限公司 | 互联网中过滤电子邮件内容的方法 |
| CN101040279B (zh) * | 2004-12-21 | 2010-04-28 | 中兴通讯股份有限公司 | 面向连接的垃圾邮件过滤系统和方法 |
| CN101984603A (zh) * | 2010-11-11 | 2011-03-09 | 湖北电力信息通信中心 | 一种基于邮件截获的电力敏感信息检测方法 |
| CN104378283A (zh) * | 2014-11-21 | 2015-02-25 | 国家电网公司 | 一种基于客户端/服务器模式的敏感邮件过滤系统及方法 |
-
2016
- 2016-08-23 CN CN201610707011.2A patent/CN106302491A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1367595A (zh) * | 2001-01-23 | 2002-09-04 | 联想(北京)有限公司 | 互联网中过滤电子邮件内容的方法 |
| CN101040279B (zh) * | 2004-12-21 | 2010-04-28 | 中兴通讯股份有限公司 | 面向连接的垃圾邮件过滤系统和方法 |
| CN101984603A (zh) * | 2010-11-11 | 2011-03-09 | 湖北电力信息通信中心 | 一种基于邮件截获的电力敏感信息检测方法 |
| CN104378283A (zh) * | 2014-11-21 | 2015-02-25 | 国家电网公司 | 一种基于客户端/服务器模式的敏感邮件过滤系统及方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111010331A (zh) * | 2019-10-18 | 2020-04-14 | 苏州浪潮智能科技有限公司 | 一种电子邮件监控汇总方法、系统、终端及存储介质 |
| CN112702356A (zh) * | 2020-12-29 | 2021-04-23 | 中孚安全技术有限公司 | 一种网络安全教学方法、系统、设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200296116A1 (en) | Security system for detection and mitigation of malicious communications | |
| RU107616U1 (ru) | Система быстрого анализа потока данных на наличие вредоносных объектов | |
| US6549957B1 (en) | Apparatus for preventing automatic generation of a chain reaction of messages if a prior extracted message is similar to current processed message | |
| US10284578B2 (en) | Creating a multi-dimensional host fingerprint for optimizing reputation for IPV6 | |
| US9094338B2 (en) | Attributes of captured objects in a capture system | |
| US7450937B1 (en) | Mirrored data message processing | |
| US8042184B1 (en) | Rapid analysis of data stream for malware presence | |
| US8010689B2 (en) | Locational tagging in a capture system | |
| WO2022083417A1 (zh) | 一种数据包处理方法、装置、电子设备、计算机可读存储介质以及计算机程序产品 | |
| US20020004908A1 (en) | Electronic mail message anti-virus system and method | |
| US20170331772A1 (en) | Chat Log Analyzer | |
| WO2011090466A1 (en) | Method and system for using spam e-mail honeypots to identify potential malware containing e-mails | |
| CN104361097A (zh) | 一种基于多模匹配的电力敏感邮件实时检测方法 | |
| JP2008109380A (ja) | 電子メール送受信システム | |
| CN106453249A (zh) | 一种网络邮件业务监视方法 | |
| US10250543B2 (en) | Deduplication of e-mail content by an e-mail server | |
| CN113194081A (zh) | 一种适用于物理隔离环境的单向消息传输系统及方法 | |
| CN106302491A (zh) | 一种基于Linux的邮件监控方法 | |
| CN101969411A (zh) | 一种非加密web邮件的分析还原方法及系统 | |
| US9800531B2 (en) | Email as a transport mechanism for activity stream posting | |
| CN101040279B (zh) | 面向连接的垃圾邮件过滤系统和方法 | |
| CN103841006A (zh) | 云计算系统中拦截垃圾邮件的方法和装置 | |
| US10110628B2 (en) | Phishing source tool | |
| CN101711013A (zh) | 一种彩信处理的方法及装置 | |
| Sánchez et al. | Security Enhancement through Effective Encrypted Communication using ELK |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170104 |