CN107786419B - 实现网页邮箱附件的附件还原方法 - Google Patents
实现网页邮箱附件的附件还原方法 Download PDFInfo
- Publication number
- CN107786419B CN107786419B CN201610740401.XA CN201610740401A CN107786419B CN 107786419 B CN107786419 B CN 107786419B CN 201610740401 A CN201610740401 A CN 201610740401A CN 107786419 B CN107786419 B CN 107786419B
- Authority
- CN
- China
- Prior art keywords
- attachment
- content
- information stream
- value
- stream
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 239000012634 fragment Substances 0.000 claims description 6
- 238000012550 audit Methods 0.000 abstract description 4
- 239000000284 extract Substances 0.000 abstract 1
- 238000011084 recovery Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000008021 deposition Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000005215 recombination Methods 0.000 description 1
- 230000006798 recombination Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/07—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail characterised by the inclusion of specific contents
- H04L51/08—Annexed information, e.g. attachments
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种实现网页邮箱附件的附件还原方法,对数据流包进行提取和分析,首先从附件基本信息流中解析出附件名、附件唯一标识符id、附件唯一md5值,再从附件内容信息流中解析出附件内容和附件内容对应的md5值,当所述附件唯一md5值与附件内容对应的md5值相同时,所述附件基本信息流与附件内容信息流对应同一个附件,将该附件内容信息流中的附件内容还原成以附件基本信息流中的附件名命名的附件。本发明将附件流中的附件进行精准还原,进而与邮件进行准确关联,能有效解决审计类产品网页内容审计相关技术问题。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种实现网页邮箱附件的附件还原方法。
背景技术
在提倡安全的互联网时代,信息的安全变得尤其重要,企业内大量信息通过邮件附件形式外泄尤为严重。为了更好地追踪溯源、寻找泄露证据,如何精确地还原附件和邮件变得尤为重要。目前市场上附件还原方法很多,对于特殊邮箱附件还原方法却迟迟未找到好的解决办法,与邮件关联更是难上加难。
发明内容
有鉴于此,本发明的主要目的在于提供一种实现网页邮箱附件的附件还原方法。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例提供一种实现网页邮箱附件的附件还原方法,该方法为:对数据流包进行提取和分析,首先从附件基本信息流中解析出附件名、附件唯一标识符id、附件唯一md5值,再从附件内容信息流中解析出附件内容和附件内容对应的md5值,当所述附件唯一md5值与附件内容对应的md5值相同时,所述附件基本信息流与附件内容信息流对应同一个附件,将该附件内容信息流中的附件内容还原成以附件基本信息流中的附件名命名的附件。
上述方案中,该方法还包括:当从附件内容信息流解析出的md5值与附件基本信息流解析出的md5值不相同时,确定该附件内容被分成若干个片段,将所有片段组合起来组成需要还原的附件内容,这时,所述需要还原的附件内容对应的md5值与附件基本信息流中解析出附件的唯一md5值相同,将组合起来的附件内容信息中附件内容还原成以附件基本信息中的附件名命名的附件。
上述方案中,该方法还包括:从附件内容流中解析还原出来的完整附件存放于磁盘下的指定路径,当从邮件信息流中解析出该邮件所携带的附件名和附件的唯一标识符时,在所述指定路径下查找唯一标识符对应的一个附件或多个附件,如果能查找到,则表明该一个附件或多个附件为该邮件所携带的附件。
与现有技术相比,本发明的有益效果:
本发明将附件流中的附件进行精准还原,进而与邮件进行准确关联,能有效解决审计类产品网页内容审计相关技术问题。
附图说明
图1为本发明实施例提供一种实现网页邮箱附件的附件还原方法的还原流程图;
图2为本发明实施例提供一种实现网页邮箱附件的附件还原方法的关联流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例提供一种实现网页邮箱附件的附件还原方法,该方法为:对数据流包进行提取和分析,首先从附件基本信息流中解析出附件名、附件唯一标识符id、附件唯一md5值,再从附件内容信息流中解析出附件内容和附件内容对应的md5值,当所述附件唯一md5值与附件内容对应的md5值相同时,所述附件基本信息流与附件内容信息流对应同一个附件,将该附件内容信息流中的附件内容还原成以附件基本信息流中的附件名命名的附件。
该方法还包括:当从附件内容信息流解析出的md5值与附件基本信息流解析出的md5值不相同时,确定该附件内容被分成若干个片段,将所有片段组合起来组成需要还原的附件内容,这时,所述需要还原的附件内容对应的md5值与附件基本信息流中解析出附件的唯一md5值相同,将组合起来的附件内容信息中附件内容还原成以附件基本信息中的附件名命名的附件。
该方法还包括:从附件内容流中解析还原出来的完整附件存放于磁盘下的指定路径,当从邮件信息流中解析出该邮件所携带的附件名和附件的唯一标识符时,在所述指定路径下查找唯一标识符对应的一个附件或多个附件,如果能查找到,则表明该一个附件或多个附件为该邮件所携带的附件。
实施例1
本发明实施例提供一种实现网页邮箱附件的附件还原方法,如图1、2所示,该方法通过以下步骤实现:
第一步 写pcap流包:
将设备的以太网口设置为混杂模式,并利用抓包工具在其网口上进行抓包,将抓到包进行简单识别处理,写流程序通过web请求中特殊标识过滤掉无用数据流包,将有用数据流包以pcap格式写入到设备指定的目录中。例如,当webmail邮件以HTTP协议方式进行客户端与服务器端交互,在HTTP协议请求上其Host字段会带有关键字mail字样,这样可以通过此mail关键字标识作为判断是否写pcap流的依据。
第二步 解析pcap流包:
解析程序按时间先后顺序处理已完成的pcap包,首先进行层层剥离(剥掉以太层、IP层、TCP层头等),然后在TCP层进行排序和重组(保证应用层数据的还原准确性和完整性),最终剥离出应用层数据,并将应用层数据以附件形式存放到指定目录下供附件还原程序进行解析还原。
第三步 附件还原:
附件还原程序根据数据流包传输顺序,先解析附件基本信息流,再解析附件内容信息流。
首先从附件基本信息流中解析出附件名和附件的md5值(md5值为附件内容唯一标识,它主要用来标识附件的唯一性),并在指定路径下创建一个md5加附件名的附件。(注:按照方向划分,客户端向服务器发送的数据流包为数据请求流包,服务器给客户端回应的数据流包为数据响应流包)
例如,如果将md5值为2e17d8e90e051443838b8d386e70b331的test.pdf附件其存放为/data/attachment/下,那么其存放格式为如下所示:
/data/attachment/2e17d8e90e051443838b8d386e70b331_test.pdf。
再从附件基本信息响应流中解析出sFileId关键字对应的值(注:sFileId为邮件与附件关联的唯一标识关键字,它所对应的值与邮件关联中的值相同),并利用该sFileId关键字所对应的值,创建一个目录,最后将上述已产生的附件名存放到该目录下。例如,该sFileId关键字对应的值为lK7U4rQGpohZNB1ISRAIV58,那么上述附件存放路径为:
/data/attachment/lK7U4rQGpohZNB1ISRAIV58/2e17d8e90e051443838b8d386e70b331_test.pdf。
其次解析附件内容信息流,从其数据流中解析出bmd5值(注:bmd5值为该数据流包中所携带附件内容信息的md5值)。然后遍历附件名存放路径下所有附件的附件名。
如果发现有与bmd5相同的附件名,那么就将该附件内容信息流中的附件内容数据写入到该附件名中,并将附件名中的md5前缀去掉。其附件形成最终结果为:/data/attachment/lK7U4rQGpohZNB1ISRAIV58/test.pdf。
如果没有发现与bmd5相同的附件名,那么就将该附件内容信息流中的附件内容以临时附件形式写入到一个临时附件下。例如,该附件内容信息流中的附件内容的bmd5为2ccc46a0d8667b0e0b36007e53a05e0a,那么该附件格式如下所示:
/data/attachment/2ccc46a0d8667b0e0b36007e53a05e0a_tmp.txt。
依次类推,接下来将附件内容信息流中解析出来附件内容都追加到上述临时附件中,并对该附件求md5值,并去遍历从附件基本信息流解析出来的存放指定路径下所有附件的附件名。如果发现有md5相同的附件,则将该附件内容拷贝到对应附件名上,并更名附件名,否则只更新当前临时附件中以bmd5值命名的附件名中的bmd5。
第四步 附件与邮件关联:
从邮件信息流中解析出所携带附件的附件名和唯一标识符对应的值,在存放附件名指定路径下查找与标识符值相同的目录,并找到该附件名。如果找到,就将该目录下的附件关联到该邮件上,并将该路径记录到邮件附件列表中。
可能存在多个附件使用同一个附件标识符,也可能存在不同附件使用不同的附件标识符,但邮件信息流中的标识符与附件基本信息流中的标识符是一致的。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (2)
1.一种实现网页邮箱附件的附件还原方法,其特征在于,该方法为:对数据流包进行提取和分析,首先从附件基本信息流中解析出附件名、附件唯一标识符id、附件唯一md5值,再从附件内容信息流中解析出附件内容和附件内容对应的md5值,当所述附件唯一md5值与附件内容对应的md5值相同时,所述附件基本信息流与附件内容信息流对应同一个附件,将该附件内容信息流中的附件内容还原成以附件基本信息流中的附件名命名的附件。
2.根据权利要求1所述的实现网页邮箱附件的附件还原方法,其特征在于,该方法还包括:当从附件内容信息流解析出的md5值与附件基本信息流解析出的md5值不相同时,确定该附件内容被分成若干个片段,将所有片段组合起来组成需要还原的附件内容,这时,所述需要还原的附件内容对应的md5值与附件基本信息流中解析出附件的唯一md5值相同,将组合起来的附件内容信息中附件内容还原成以附件基本信息中的附件名命名的附件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610740401.XA CN107786419B (zh) | 2016-08-26 | 2016-08-26 | 实现网页邮箱附件的附件还原方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610740401.XA CN107786419B (zh) | 2016-08-26 | 2016-08-26 | 实现网页邮箱附件的附件还原方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107786419A CN107786419A (zh) | 2018-03-09 |
| CN107786419B true CN107786419B (zh) | 2020-05-26 |
Family
ID=61440644
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610740401.XA Active CN107786419B (zh) | 2016-08-26 | 2016-08-26 | 实现网页邮箱附件的附件还原方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107786419B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101771620A (zh) * | 2008-12-31 | 2010-07-07 | 华为技术有限公司 | 一种实现内容下载的方法、系统和设备 |
| CN102045268A (zh) * | 2010-11-18 | 2011-05-04 | 厦门市美亚柏科信息股份有限公司 | 一种电子邮件数据恢复方法及装置 |
| CN102655482A (zh) * | 2011-12-26 | 2012-09-05 | 上海西默通信技术有限公司 | 基于http协议分析的web邮件还原方法 |
| CN103077090A (zh) * | 2012-12-28 | 2013-05-01 | 盘石软件(上海)有限公司 | 一种Outlook删除邮件的恢复方法 |
| CN103188128A (zh) * | 2011-12-29 | 2013-07-03 | 盈世信息科技(北京)有限公司 | 邮件附件的预览方法及邮件系统 |
| CN105260261A (zh) * | 2015-11-19 | 2016-01-20 | 四川神琥科技有限公司 | 一种邮件恢复方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102075449A (zh) * | 2009-11-25 | 2011-05-25 | 联想(北京)有限公司 | 电子邮件管理方法、装置和终端设备 |
-
2016
- 2016-08-26 CN CN201610740401.XA patent/CN107786419B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101771620A (zh) * | 2008-12-31 | 2010-07-07 | 华为技术有限公司 | 一种实现内容下载的方法、系统和设备 |
| CN102045268A (zh) * | 2010-11-18 | 2011-05-04 | 厦门市美亚柏科信息股份有限公司 | 一种电子邮件数据恢复方法及装置 |
| CN102655482A (zh) * | 2011-12-26 | 2012-09-05 | 上海西默通信技术有限公司 | 基于http协议分析的web邮件还原方法 |
| CN103188128A (zh) * | 2011-12-29 | 2013-07-03 | 盈世信息科技(北京)有限公司 | 邮件附件的预览方法及邮件系统 |
| CN103077090A (zh) * | 2012-12-28 | 2013-05-01 | 盘石软件(上海)有限公司 | 一种Outlook删除邮件的恢复方法 |
| CN105260261A (zh) * | 2015-11-19 | 2016-01-20 | 四川神琥科技有限公司 | 一种邮件恢复方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107786419A (zh) | 2018-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20180004942A1 (en) | Method for detecting a cyber attack | |
| WO2016190868A1 (en) | Processing network data using a graph data structure | |
| CN105072196B (zh) | 分布式数据包存储、回溯方法及系统 | |
| CN107145779B (zh) | 一种离线恶意软件日志的识别方法和装置 | |
| US20190109757A1 (en) | Traffic outage detection in the internet | |
| US20180241638A1 (en) | Method and system for discovering and presenting access information of network applications | |
| CN114584401A (zh) | 一种面向大规模网络攻击的追踪溯源系统及方法 | |
| CN110245273B (zh) | 一种获取app业务特征库的方法及相应的装置 | |
| CN112118249B (zh) | 基于日志和防火墙的安全防护方法及装置 | |
| CN112019449B (zh) | 流量识别抓包方法和装置 | |
| CN105743732B (zh) | 一种记录局域网文件传输路径和分布情况的方法及系统 | |
| CN112528279A (zh) | 一种入侵检测模型的建立方法和装置 | |
| CN107786419B (zh) | 实现网页邮箱附件的附件还原方法 | |
| US20180052862A1 (en) | Log collection system and log collection method | |
| WO2016201876A1 (zh) | 一种加密流量的业务识别方法、装置和计算机存储介质 | |
| CN114189348A (zh) | 一种适用于工控网络环境的资产识别方法 | |
| CN110611591B (zh) | 一种网络拓扑建立方法及装置 | |
| CN108540471B (zh) | 移动应用网络流量聚类方法、计算机可读存储介质和终端 | |
| CN103812676A (zh) | 一种实现日志数据实时关联装置及方法 | |
| CN110572291A (zh) | 面向分布式系统实现架构自动识别功能的系统及其方法 | |
| CN105703930A (zh) | 基于应用的会话日志处理方法及装置 | |
| CN110727532B (zh) | 一种数据修复方法、电子设备及存储介质 | |
| Abdullah et al. | Digital forensics investigation procedures of smart grid environment | |
| CN108667685B (zh) | 移动应用网络流量聚类装置 | |
| CN113596019A (zh) | 高性能网络流量数据表示和提取方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Attachment restoration method for realizing web page mailbox attachment Effective date of registration: 20211209 Granted publication date: 20200526 Pledgee: Xi'an investment and financing Company limited by guarantee Pledgor: XI'AN JIAOTONG UNIVERSITY JUMP NETWORK TECHNOLOGY Co.,Ltd. Registration number: Y2021980014587 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20221205 Granted publication date: 20200526 Pledgee: Xi'an investment and financing Company limited by guarantee Pledgor: XI'AN JIAOTONG UNIVERSITY JUMP NETWORK TECHNOLOGY Co.,Ltd. Registration number: Y2021980014587 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A Method of Restoring Attachments in Web Mail Effective date of registration: 20221206 Granted publication date: 20200526 Pledgee: Xi'an investment and financing Company limited by guarantee Pledgor: XI'AN JIAOTONG UNIVERSITY JUMP NETWORK TECHNOLOGY Co.,Ltd. Registration number: Y2022610000794 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20231225 Granted publication date: 20200526 Pledgee: Xi'an investment and financing Company limited by guarantee Pledgor: XI'AN JIAOTONG UNIVERSITY JUMP NETWORK TECHNOLOGY Co.,Ltd. Registration number: Y2022610000794 |