● 摘要
目前在网络安全领域,网络内部信息的安全备受关注。网络内容审计系统具有详细分析用户访问的网络内容,并针对自定义的数据进行内容过滤,重放某些重点的网络会话等优点,因此成为目前网络安全领域内的研究热点。敏感信息审计系统属于网络内容审计系统的一种,其利用网络协议还原获得用户访问的网络内容和对应的网络会话信息,通过分析获得访问非法内容的网络会话,并为事后审查提供证据。本文的目的是研究网络内容审计,实现敏感信息审计系统,通过实验,进行系统测试。本文取得的主要成果如下:1. 实现了基于状态的TCP和应用层协议还原,通过还原HTTP、FTP、SMTP、POP3四种应用层协议获得用户访问的Web、传输的文件、收发的邮件等网络内容;2. 建立统一的存储组织,分别存储协议还原得到的网络会话信息和网络内容,将会话信息存储入数据库,内容存储在本地文件中,并维持两者的对应关系;3. 结合敏感内容、审计策略、告警等信息定义敏感信息,利用审计策略描述审计时敏感内容在不同网络会话中的意义,结合基于应用层协议和基于用户IP地址的审计策略匹配敏感内容分析的结果,将匹配的结果标记为告警;4. 利用滤取器从存储的内容中滤取文本,对文本进行词法分析,建立索引,利用关键词的布尔关系表达式定义敏感内容,通过在索引中检索敏感内容的方法实现敏感内容分析。