本發(fā)明涉及計算機安全技術領域，具體地說是一種實用性強、基于Linux的郵件監(jiān)控方法。

背景技術：

隨著計算機的普及以及人們對個人信息安全的重視，如何保障計算機乃至個人信息的安全成為了一個至關重要的問題。傳統(tǒng)的計算機安全設備往往基于病毒及木馬掃描技術，該技術用來掃描文件是否包含病毒或木馬，因此該技術屬于針對性保護，并不能完全的保障計算機的安全。因此，如何全方位的保障計算機的安全便成為了一個急需解決的問題。

為了解決傳統(tǒng)計算機安全設備所存在的不足，本發(fā)明提出的一種高安全性的主動防御及異常上報系統(tǒng)設計方法，在文件初次使用時記錄其內存信息的標準哈希度量值，在文件版本發(fā)生改變時，重新計算其內存信息的哈希值，并將此哈希值與標準哈希度量值進行比對，根據(jù)比對結果是否一致來判斷文件是否安全。即，本發(fā)明使用文件的內存度量值作為文件是否安全的唯一標準，從根本上保障的文件全方位的安全。

技術實現(xiàn)要素：

本發(fā)明的技術任務是針對以上不足之處，提供一種實用性強、基于Linux的郵件監(jiān)控方法。

一種基于Linux的郵件監(jiān)控方法，其實現(xiàn)過程為：通過監(jiān)聽技術，在電子郵件正常傳輸?shù)那闆r下，對特定信息進行捕獲分析，通過解碼提取技術構建檢索數(shù)據(jù)庫，最終通過檢索系統(tǒng)集中展現(xiàn),實現(xiàn)各類郵件內容的捕獲、存儲和安全分析。

所述特定信息是指特定IP地址、特定email地址或特定關鍵詞的電子郵件。

所述郵件內容的捕獲分析通過以下兩個模塊實現(xiàn)：

后臺捕獲模塊：該模塊為一個郵件抓包模塊，運行于監(jiān)聽服務器Linux或Unix系統(tǒng)下，用于截取網(wǎng)絡中的郵件信息，并將截取的郵件進行初步處理并存儲；

前臺處理模塊：為一組PHP程序模塊，運行在監(jiān)聽服務器或者其他服務器上，用于對所截獲的郵件進行解碼解壓、查詢、檢索，以獲取需要的信息。

基于上述模塊，該方法的實現(xiàn)過程為：

后臺捕獲模塊把監(jiān)聽服務器的網(wǎng)卡設置成為混雜模式，監(jiān)聽該服務器所在以太網(wǎng)廣播域內的所有以太幀，并對其中的TCP/IP包做分析，如果是TCP包，并且從包頭信息中讀取的目標端口或者源端口為110端口或者25端口，那么對此包進行捕獲，并把內容按順序以文件的形式保存在磁盤上；

前臺處理模塊列得到磁盤目錄中所有的文件名，并逐個對文件進行處理。

所述后臺捕獲模塊的監(jiān)聽過程具體為：

首先由用戶通過應用程序生成的信息進入應用層，按照應用層的協(xié)議來傳遞數(shù)據(jù)；

然后將數(shù)據(jù)傳送給下面的傳輸層，即TCP層，在這一層，數(shù)據(jù)被分割為若干個段，每一個段都有自己的頭信息；

每一個段都被傳遞給下面的網(wǎng)絡層，即IP層，加上了網(wǎng)絡層的頭信息，變成了一個網(wǎng)絡包；

將網(wǎng)絡包傳遞給下面的數(shù)據(jù)鏈路層，即以太層，加上了頭信息和尾信息后，變成了幀；

最后將這些內容傳遞給物理層，變?yōu)?101010101這樣的數(shù)字信號通過信道編碼在物理網(wǎng)絡上傳輸。

所述頭信息包括目的地址、目的端口、源地址、源端口、段長度信息。

所述前臺處理模塊的數(shù)據(jù)處理過程為：

首先前臺處理模塊將數(shù)據(jù)中的信息提取出來，這里的信息包括郵件中的主題、正文、發(fā)件人地址、收件人地址、時間，存入數(shù)據(jù)庫中，并對文中的關鍵字進行匹配，當搜索到設置的符合特殊詞語時，及時發(fā)現(xiàn)并報告。

本發(fā)明的一種基于Linux的郵件監(jiān)控方法，具有以下優(yōu)點：

本發(fā)明的一種基于Linux的郵件監(jiān)控方法，通過郵件監(jiān)聽技術、郵件內容解碼解密、按關鍵字檢索等技術，可以作為一些國家機關的信息安全部門用來偵聽一些特殊人群發(fā)送接受特殊的電子郵件的一套信息安全系統(tǒng)，確保辦公網(wǎng)絡的安全，截斷不法分子傳送非法信息的路徑，實用性強，易于推廣。

附圖說明

附圖1為本發(fā)明的系統(tǒng)結構圖。

附圖2為本發(fā)明的后臺捕獲流程圖。

附圖3為本發(fā)明的前臺處理流程圖。

具體實施方式

下面結合附圖及具體實施例對本發(fā)明作進一步說明。

如附圖1所示，本發(fā)明提供一種基于Linux的郵件監(jiān)控方法，其實現(xiàn)過程為：采用監(jiān)聽技術，在不影響(或影響很小)電子郵件正常傳輸?shù)那闆r下，對特定IP地址，或特定email地址，或特定關鍵詞的電子郵件進行截獲分析，并通過解碼提取技術構建檢索數(shù)據(jù)庫，最終通過檢索系統(tǒng)集中展現(xiàn)。實現(xiàn)各類郵件內容的捕獲、存儲和安全分析。

所述郵件內容的捕獲分析通過以下兩個模塊實現(xiàn)：

后臺捕獲模塊，即附圖1中的后臺捕獲程序：該模塊為一個郵件抓包模塊，通過C語言編寫，運行于監(jiān)聽服務器Linux或Unix系統(tǒng)下，用于截取網(wǎng)絡中的郵件信息，并將截取的郵件進行初步處理并存儲；

前臺處理模塊，即附圖1中的前臺處理程序：為一組PHP程序模塊，運行在監(jiān)聽服務器或者其他服務器上，用于對所截獲的郵件進行解碼解壓、查詢、檢索，以獲取需要的信息。

基于上述模塊，該方法的實現(xiàn)過程為：

后臺捕獲模塊把監(jiān)聽服務器的網(wǎng)卡設置成為混雜模式，監(jiān)聽該服務器所在以太網(wǎng)廣播域內的所有以太幀，并對其中的TCP/IP包做分析，如果是TCP包，并且從包頭信息中讀取的目標端口或者源端口為110端口或者25端口，那么對此包進行捕獲，并把內容按順序以文件的形式保存在磁盤上；

前臺處理模塊列得到磁盤目錄中所有的文件名，并逐個對文件進行處理。

如附圖2所示，所述后臺捕獲模塊的監(jiān)聽過程具體為：

后臺捕獲模塊把監(jiān)聽服務器的網(wǎng)卡設置成為混雜模式，監(jiān)聽該服務器所在以太網(wǎng)廣播域內的所有以太幀，并對其中的TCP/IP包做分析，如果是TCP包，并且從包頭信息中讀取的目標端口或者源端口為110(POP3)或者25(SMTP)，那么對此包進行捕獲，并把內容按順序以文件的形式保存在磁盤上。

以電子郵件信息為例，首先，由用戶通過應用程序生成的信息進入應用層，按照應用層的協(xié)議(比如POP3或者SMTP)來傳遞，假設所傳遞的內容為Data。

其次數(shù)據(jù)被交給下面的傳輸層(TCP層)。在這一層，數(shù)據(jù)被分割為若干個segment(段)，每一個segment都有自己的頭信息(header)，包括目的地址、目的端口、源地址、源端口、段長度等等信息。

然后每一個segment都被交給下面的網(wǎng)絡層(IP層)，加上了網(wǎng)絡層的頭信息(Network Header)，變成了一個網(wǎng)絡包(Packet)。

這些packet被交給下面的數(shù)據(jù)鏈路層(以太層)，加上了頭信息和尾信息后，變成了幀(Frame)。

最后這些內容都被交給物理層，變?yōu)榱?101010101這樣的數(shù)字信號通過信道編碼在物理網(wǎng)絡上傳輸。

如附圖3所示，所述前臺處理模塊的數(shù)據(jù)處理過程為：

前臺處理程序列目錄得到outputmail/目錄中所有的文件名，并逐個對文件進行處理。把每一封的郵件中的主題、正文、發(fā)件人地址、收件人地址、時間等信息提取出來，存入數(shù)據(jù)庫(MySql)中，并可以對文中的關鍵字進行匹配，當搜索到設置的符合特殊詞語時，可以及時發(fā)現(xiàn)并報告。因為這一部分功能要求對字符串操作非常多，而C語言對字符串操作的函數(shù)比較少，而且使用起來不太方便。因此，我們這里選擇了擁有強大字符串處理功能的腳本語言:PHP。

通過上述過程，完成郵件監(jiān)控的過程。

上述具體實施方式僅是本發(fā)明的具體個案，本發(fā)明的專利保護范圍包括但不限于上述具體實施方式，任何符合本發(fā)明的一種基于Linux的郵件監(jiān)控方法的權利要求書的且任何所述技術領域的普通技術人員對其所做的適當變化或替換，皆應落入本發(fā)明的專利保護范圍。