摘 要

随着现代社会人们生活的需要，信息技术和网络通信技术飞速发展，目前计算机网络在各个领域的应用越来越广泛，同时也滋生了一系列网络犯罪行为。网络中犯罪行为的隐蔽性和网络环境虚拟性等特点，增加了网络犯罪侦查的困难。然而网络数据流中含有重要的网络行为证据，网络报文是实时产生且不可更改的，因此网络数据流为网络取证提供了最真实完整的第一手证据。

本文是基于网络数据流的安全事件重建取证系统的设计与实现，包括基于Wireshark和python的数据包解析技术、对数据包IP地址的分析和可视化技术、对特定网络协议的电子邮件内容提取分析重建的研究，并实现了IP地址的统计、定位、地图标注、SMTP协议邮件内容提取、HTTP协议的浏览行为重建等功能，此外还给出了一种提取损坏Word文档文本内容的方法。

关键词：网络取证，网络数据流，Wireshark，email解析，Word文档提取

Abstract

With the needs of people in modern society, the development of information technology and network communication technology has been developing rapidly. Computer network is more and more widely used in various fields, at the same time, a series of network crimes have been bred. The concealment of criminal acts and the virtuality of network environment increase the difficulties of network crime investi- gation. However, the network data flow contains important evidence of network behavior. The network traffic is generated in real time and cannot be changed. Therefore, the network data flow provides the most real and complete first-hand evidence for network forensics.

This paper is the design and implementation of the forensics system of security event reconstruction based on network data flow. It includes packet analysis technology based on Wireshark and python, analysis and visualization technology of packet IP address, research on extraction, analysis and reconstruction of e-mail content of specific network protocol. The system implement the functions of IP address statistics, location, map annotation, SMTP protocol email content extraction, HTTP protocol browsing behavior reconstruction, etc. In addition, it also provides a method to extract damaged Word document text content.

Key Words：network forensics；network data flow；Wireshark ；email analysis；Word document extract

目 录

摘 要 I

Abstract II

目 录 III

第1章 绪论 1

1.1研究背景和意义 1

1.2国内外研究现状 1

1.3研究内容和技术路线 3

1.3.1研究内容和方法 3

1.3.2 技术路线 4

1.4本文的组织结构 4

第2章 相关技术研究 5

2.1 Wireshark介绍 5

2.2 GeoIP 6

2.3 Python第三方库介绍 6

2.3.1 pyshark 6

2.3.2 pyecharts 6

2.4 doc文档 7

2.5本章小结 8

第3章 系统分析 9

3.1可行性分析 9

3.2需求分析 9

3.2.1系统总体用例图 9

3.2.2网络数据包分析功能需求分析 10

3.2.3 doc文档内容提取功能需求分析 10

3.2.4非功能性需求分析 11

3.3本章小结 11

第4章 系统设计与实现 12

4.1 系统功能设计 12

4.2 系统开发环境 12

4.3 系统子功能设计与实现 12

4.3.1 IP地址分析提取与可视化 12

4.3.2 SMTP协议数据包分析 14

4.3.3 HTTP协议数据包分析 16

4.3.4损坏doc文档的文本内容提取 17

4.4 本章小结 18

第5章 系统测试 19

5.1测试环境 19

5.2测试用例 19

5.3部分结果展示 21

5.4本章小结 24

第6章 总结与展望 25

6.1总结 25

6.2展望 25

参考文献 26

致 谢 28

1. 绪论

1.1研究背景和意义

随着现代社会人们生活的需要，信息技术和网络通信技术飞速发展，目前计算机网络在各个领域的应用越来越广泛，而且5G技术和wifi6等无线通信技术开始在社会中全面应用，互联网已经无处不在，人们的生活已经被各种各样的信息和网络数据所环绕，人类社会基本成为一个被网络信息包围的统一体，这些技术改变了人们的生活，例如：网上购物、移动支付、视频聊天等等都使人们的生活更加便利。但同时，网络中的违法犯罪行为不断滋生，如电信诈骗、病毒勒索、信息泄漏、数据窃取等，互联网成为了各种新型犯罪活动的高发地。据CNCERT统计[1]，2019年上半年新增捕获计算机恶意程序样本数量约3200万个，发现约4.6万个仿冒的国内网站，约2.6万个国内网站被植入后门，其中91.2%都来源于境外攻击。甚至2020年以来就接连出现多起热点信息安全事件，如AMD的部分GPU源代码被黑客盗取并勒索1亿美元；微盟的业务数据库被恶意删除导致公司市值缩水约24亿元；还有不法分子借助疫情话题伪装电子邮件，传播木马病毒。这一系列数字和事件触目惊心，足以见得当前网络安全环境的严峻形势以及网络犯罪行为对社会造成的恶劣影响。

网络不是法外之地，治理网络犯罪的手段之一就是获取有效的电子证据，利用司法审判惩治犯罪行为。但是网络犯罪行为的隐蔽性和网络环境虚拟性等特点增加了网络犯罪侦查的困难[2]。尤其是受害系统一旦被攻破，其设备的内部数据和结构很可能受到篡改和破坏，难以形成有效证据，这使得传统计算机取证变得非常困难。