WebMail内容及附件还原技术研究与实现

摘要

随着信息技术的发展与Internet应用的普及,越来越多的企业网接入了Internet。人们的生活和工作越来越依赖于因特网,它方便了人们的生活,也带来了新问题。Web应用占据了整个网络应用的80％以上,几乎每个人都在使用电子邮件,有70%的企业担忧电子邮件沦为泄密管道,致使机密资料误入他人之手。因此对电子邮件的内容进行监控显得尤为重要,它属于网络内容与监控系统的一部分。
　　网络内容审计与监控系统属于应用层协议数据包分析、安全过滤类产品,主要面向的是网络的内容分析、还原。WebMail邮件内容及附件还原系统能在不影响网络性能的情况下对网络进行监测,检查网络中是否有机密信息泄露现象,一旦发现即可自动做出相应的处理,把泄密记录保存在硬盘上,从而可对安全部门的调查取证提供证据。目前,鉴于很多应用层协议(如POP3、SMTP、FTP、TELNET、HTTP)内容还原已有文献介绍,基于HTTP协议的Web邮件还没有相关的公开文献,本文对国内常用的网易邮件内容及附件还原方法进行了深入的研究,设计并实现了Web邮件内容及附件还原系统,并成功地还原出了PDF、DOC、EXCEL、RAR等附件文件。
　　本文首先探讨了网络监听的基本原理,在两种不同的网络环境下进行监听的方法,介绍了伯克利包过滤器BPF(BerkeleyPacketFilter),并深入分析了基于BPF的可运行于不同操作系统平台的捕获函数库Libpcap以及Windows平台下的Winpcap的体系结构。
　　然后研究了TCP/IP协议模型,数据封装和分解的过程,以及数据链路层,网络层,传输层,HTTP应用层协议的数据包交互方式。
　　最后编程实现系统,通过捕捉局域网内运行HTTP协议(80端口)的数据包,把这些数据包按照TCP/IP协议的层次结构重组,并对其通信内容进行分析,找出HTTP请求POST消息,分析Web邮件的传输格式,从而还原了WebMail的内容及附件。

目录

封面

中文摘要

英文摘要

目录

第一章 绪 论

1.1 课题来源和研究背景

1.2 网络审计和监控的历史和发展趋势

1.3 网络内容审计和监控系统的发展趋势

1.4 论文研究内容

1.5 论文章节安排

第二章 网络监听的原理与数据包捕获技术

2.1 网络监听概述

2.2 网络监听(窃听)的实现方式

2.3 基于BPF模型的网络信息过滤机制

2.4 Winpcap数据包捕获机制

2.5 小结

第三章 网络协议分析

3.1 协议分析的重要性

3.2 协议分析的基础知识

3.3 数据包协议分析方法

3.4 小结

第四章 WebMail还原系统的设计与实现

4.1 WebMail邮件内容及附件还原系统

4.2 系统所用开发平台和工具

4.3 系统体系结构

4.4 系统功能模块的设计与实现

4.5 系统测试

4.6 小结

第五章 总结和展望

5.1 总结

5.2 展望

参考文献

致谢

在校期间发表的论文和科研成果与个人简历

声明