薛海偉,田崢,田建偉,漆文輝
(國(guó)網(wǎng)湖南省電力公司電力科學(xué)研究院,湖南 長(zhǎng)沙 410007)
郵件敏感字過(guò)濾系統(tǒng)研究與實(shí)現(xiàn)
薛海偉,田崢,田建偉,漆文輝
(國(guó)網(wǎng)湖南省電力公司電力科學(xué)研究院,湖南 長(zhǎng)沙 410007)
文中研究一套能夠識(shí)別關(guān)鍵字,并在用戶發(fā)送數(shù)據(jù)時(shí),能夠自動(dòng)阻斷郵件的關(guān)鍵字過(guò)濾系統(tǒng)。該系統(tǒng)基于C/S模式的分層框架結(jié)構(gòu)進(jìn)行架構(gòu)設(shè)計(jì),采用多層邏輯處理層體系結(jié)構(gòu),能在對(duì)用戶透明的情況下,自動(dòng)阻斷含有敏感關(guān)鍵字的郵件。實(shí)驗(yàn)結(jié)果表明該系統(tǒng)能夠有效阻止含有敏感關(guān)鍵字的郵件。
數(shù)據(jù)包過(guò)濾;郵件系統(tǒng);數(shù)據(jù)泄密
電子郵件 (E-mail)已經(jīng)成為互聯(lián)網(wǎng)上最基本的通訊工具。E-mail不僅支持簡(jiǎn)單的文本傳輸,采用MIME(Multipurpose Internet Mail Extensions)技術(shù)規(guī)范后,同時(shí)也支持二進(jìn)制文件、視頻、音頻數(shù)據(jù)傳輸。E-mail因其方便、快捷、信息多樣等特點(diǎn),廣泛應(yīng)用于政府、學(xué)校以及其他企事業(yè)單位。
E-mail在給人們帶來(lái)方便的同時(shí),也帶來(lái)了諸多安全問(wèn)題。其中E-mail泄密就是其中一個(gè)很重要的問(wèn)題。由于E-mail的方便性,企業(yè)員工只要能夠接入網(wǎng)絡(luò),就可以很方便的收發(fā)郵件?;蛴幸狻⒒驘o(wú)意,企事業(yè)單位的數(shù)據(jù)隨時(shí)隨地面臨著郵件數(shù)據(jù)泄露的危險(xiǎn),這主要體現(xiàn)在以下幾個(gè)方面:
(1)E-mail本身就是一條泄密通道
E-mail系統(tǒng)中內(nèi)部惡意用戶可主動(dòng)使用郵件系統(tǒng)發(fā)送敏感信息到外部網(wǎng)絡(luò),造成泄密;E-mail系統(tǒng)中普通用戶可能因?yàn)槭韬龆?“不小心”發(fā)送敏感郵件至外部網(wǎng)絡(luò),造成泄密。此外,郵件因?yàn)楸憬菪约捌毡樾?,通常不?huì)被防火墻攔截,因此大多數(shù)木馬會(huì)使用郵件方式盜取用戶的敏感信息。
(2)E-mail的存儲(chǔ)范圍難以控制
與普通的郵件不同,E-mail的收發(fā)雙方都會(huì)存儲(chǔ)E-mail至郵件服務(wù)器,即使E-mail用戶刪除了本地郵件,服務(wù)器上仍然存有E-mail數(shù)據(jù)。因此,如果用戶對(duì)服務(wù)器沒(méi)有控制權(quán)、或者郵件服務(wù)器遭到入侵,那么敏感數(shù)據(jù)很容易遭到泄露。此外,由于E-mail的便捷性,用戶很容易因?yàn)檗D(zhuǎn)發(fā)功能,而把敏感信息發(fā)送到外部網(wǎng)絡(luò)。
(3)E-mail數(shù)據(jù)容易在傳輸過(guò)程被截獲
E-mail數(shù)據(jù)在網(wǎng)絡(luò)中默認(rèn)是明文傳輸,因此用戶的數(shù)據(jù)很容易因?yàn)?“監(jiān)聽(tīng)”被惡意用戶盜取。即使使用了Secure Sockets Layer(SSL)對(duì)E-mail進(jìn)行加密傳輸,也只能保證用戶到郵件服務(wù)器之間的數(shù)據(jù)傳輸不能被監(jiān)聽(tīng),而郵件服務(wù)器之間的數(shù)據(jù)傳輸仍然使用明文數(shù)據(jù)。因此敏感信息在郵件傳輸過(guò)程中容易被截獲。
當(dāng)前使用電子郵件的方法有兩種:通過(guò)客戶端(例如Foxmail)、通過(guò)瀏覽器 (例如IE瀏覽器)。這兩種方法中用戶發(fā)送的數(shù)據(jù),都是由操作系統(tǒng)組裝成網(wǎng)絡(luò)數(shù)據(jù)包,通過(guò)網(wǎng)絡(luò)發(fā)送至外部郵件服務(wù)器。目前國(guó)內(nèi)外對(duì)互聯(lián)網(wǎng)數(shù)據(jù)過(guò)濾的方法主要是通過(guò)在互聯(lián)網(wǎng)出口部署攔截設(shè)備〔1-2〕,這種方法對(duì)于用戶較多,附件較大的郵件系統(tǒng),無(wú)法實(shí)現(xiàn)實(shí)時(shí)阻斷。通過(guò)對(duì)當(dāng)前業(yè)內(nèi)行為上網(wǎng)設(shè)備的調(diào)研中發(fā)現(xiàn),上網(wǎng)行為審計(jì)設(shè)備通常部署在網(wǎng)絡(luò)出口處,攔截含有敏感信息的數(shù)據(jù)。由于網(wǎng)絡(luò)出口數(shù)據(jù)流量大,帶寬要求高,因此對(duì)設(shè)備的性能要求也高。當(dāng)前這種方法可以對(duì)郵件的內(nèi)容進(jìn)行實(shí)時(shí)攔截,但對(duì)郵件的附件由于需要進(jìn)行數(shù)據(jù)緩存、數(shù)據(jù)包拼接等操作,現(xiàn)有硬件設(shè)備無(wú)法滿足網(wǎng)絡(luò)性能需求,因此只能進(jìn)行審計(jì),無(wú)法實(shí)時(shí)攔截〔3-4〕,并且在一些特殊情況下郵件內(nèi)容攔截也可能發(fā)生遺漏〔5〕,導(dǎo)致攔截失效。此外,當(dāng)郵件被攔截時(shí),用戶無(wú)法得到郵件發(fā)送失敗的原因。文獻(xiàn) 〔6〕給出了一種實(shí)時(shí)的郵件過(guò)濾方法,在郵件服務(wù)器上對(duì)用戶發(fā)送的數(shù)據(jù)進(jìn)行指紋識(shí)別,判斷郵件內(nèi)容是否存在敏感信息。當(dāng)郵件系統(tǒng)的用戶數(shù)量較少時(shí),該方法可以做到實(shí)時(shí)過(guò)濾,但是當(dāng)用戶數(shù)量很大時(shí),將會(huì)嚴(yán)重影響郵件服務(wù)器的性能,導(dǎo)致用戶無(wú)法及時(shí)收發(fā)郵件;此外這種方法需要在郵件服務(wù)器端對(duì)郵件系統(tǒng)進(jìn)行二次開(kāi)發(fā),因此需要郵件服務(wù)提供商的支持和配合才能部署系統(tǒng),對(duì)于現(xiàn)成的郵件系統(tǒng),應(yīng)用難度較大。
針對(duì)上述問(wèn)題,文中提出一種基于C/S模式的郵件過(guò)濾系統(tǒng)。文中通過(guò)對(duì)主流社會(huì)郵箱 (包括網(wǎng)易、新浪、騰訊、搜狐)的郵件發(fā)送流程進(jìn)行研究,分析這些郵箱的傳輸協(xié)議,以及常見(jiàn)附件(如doc,docx,rar等)的數(shù)據(jù)格式,最終在用戶的主機(jī)上部署郵件攔截客戶端。當(dāng)用戶發(fā)送郵件時(shí),直接在客戶端上進(jìn)行郵件內(nèi)容和附件的敏感字匹配,如果匹配成功,提示用戶被發(fā)送郵件或附件含有敏感詞,不能進(jìn)行發(fā)送,用戶發(fā)送的數(shù)據(jù)會(huì)在客戶端處被丟棄,郵件數(shù)據(jù)不會(huì)進(jìn)入傳輸網(wǎng)絡(luò)。文中設(shè)計(jì)的郵件過(guò)濾系統(tǒng),可以對(duì)郵件的正文、郵件的標(biāo)題、附件名稱(chēng)、附件內(nèi)容進(jìn)行實(shí)時(shí)攔截,且對(duì)用戶透明。
敏感郵件關(guān)鍵字過(guò)濾系統(tǒng)的基本原理是,用戶發(fā)送郵件時(shí),通過(guò)windows提供的系統(tǒng)調(diào)用接口來(lái)捕獲用戶的發(fā)送操作,在郵件發(fā)送之前,對(duì)郵件的標(biāo)題、正文、附件進(jìn)行關(guān)鍵字匹配。如果匹配成功,表明郵件含有敏感關(guān)鍵字,進(jìn)而根據(jù)系統(tǒng)策略處理;如果沒(méi)有匹配成功,表明用戶發(fā)送的郵件不包含敏感關(guān)鍵字,可直接放行。
1.1 系統(tǒng)架構(gòu)
敏感郵件關(guān)鍵字過(guò)濾系統(tǒng)是一種基于C/S架構(gòu)的郵件過(guò)濾系統(tǒng)。其系統(tǒng)架構(gòu)如圖1所示。其中服務(wù)器和客戶端的主要功能如下:
(1)服務(wù)器端:全局策略配置,可通過(guò)服務(wù)器配置整個(gè)系統(tǒng)的敏感關(guān)鍵字,以及發(fā)現(xiàn)關(guān)鍵字時(shí)執(zhí)行的安全動(dòng)作 (如,阻斷、報(bào)警、審計(jì)等);策略下發(fā),通過(guò)服務(wù)器可將全局的策略下發(fā)至客戶端,并使之生效;客戶端認(rèn)證,可通過(guò)服務(wù)器對(duì)每個(gè)客戶端的身份信息進(jìn)行認(rèn)證。
(2)客戶端:郵件攔截,通過(guò)LSP模塊對(duì)用戶發(fā)送的郵件進(jìn)行攔截;郵件內(nèi)容過(guò)濾,通過(guò)敏感字檢測(cè)模塊,對(duì)LSP攔截到的郵件數(shù)據(jù)進(jìn)行多關(guān)鍵字搜索,以確定郵件是否包含敏感關(guān)鍵字;策略實(shí)施,根據(jù)敏感字檢測(cè)模塊的搜索結(jié)果,實(shí)施服務(wù)器下發(fā)的策略,以決定是否對(duì)用戶發(fā)送的郵件進(jìn)行放行;策略更新,策略服務(wù)模塊完成策略更新操作,根據(jù)服務(wù)器下發(fā)的策略執(zhí)行更新,以實(shí)時(shí)調(diào)整客戶的安全策略;用戶配置,用戶可通過(guò)用戶界面對(duì)客戶端進(jìn)行自定義配置,例如可以額外添加系統(tǒng)關(guān)鍵字之外的敏感關(guān)鍵字。
圖1中的實(shí)線是發(fā)送郵件的數(shù)據(jù)流。在Windows平臺(tái)下,用戶通過(guò)瀏覽器或者郵件客戶端發(fā)送郵件時(shí),首先會(huì)調(diào)用操作系統(tǒng)的分層服務(wù)提供商 (Layered Service Provider,LSP)模塊,該模塊會(huì)對(duì)用戶發(fā)送郵件的標(biāo)題、正文以及附件名稱(chēng)進(jìn)行過(guò)濾,當(dāng)發(fā)現(xiàn)含有敏感關(guān)鍵字時(shí),則會(huì)阻斷用戶的發(fā)送操作,并通過(guò)策略服務(wù)模塊向用戶界面發(fā)送提示消息,提示用戶郵件被攔截。當(dāng)用戶發(fā)送附件時(shí),最終會(huì)被運(yùn)行在內(nèi)核層的文件過(guò)濾驅(qū)動(dòng)捕獲,文件過(guò)濾驅(qū)動(dòng)模塊通過(guò)敏感字檢測(cè)模塊判斷附件是否包含關(guān)鍵字,進(jìn)而決策是否允許文件讀取操作。當(dāng)禁止文件讀取操作時(shí),系統(tǒng)將通過(guò)內(nèi)核層的通信代理模塊以及用戶層的策略服務(wù)器模塊給用戶的界面發(fā)送提示消息,提示用戶附件含有關(guān)鍵字,禁止發(fā)送。
圖1中的虛線是原型系統(tǒng)的控制流。在服務(wù)器端可以通過(guò)策略配置終端配置系統(tǒng)的關(guān)鍵字,這些關(guān)鍵字將通過(guò)服務(wù)器端的策略下發(fā)模塊發(fā)送至客戶端的策略服務(wù)模塊。客戶端的策略服務(wù)模塊收到關(guān)鍵字時(shí),便會(huì)更新內(nèi)核層的敏感字檢測(cè)模塊以及LSP中的敏感字檢測(cè)模塊。當(dāng)LSP、文件過(guò)濾驅(qū)動(dòng)檢測(cè)到郵件發(fā)送請(qǐng)求時(shí),便會(huì)利用這些模塊進(jìn)行敏感字檢測(cè)。當(dāng)發(fā)現(xiàn)關(guān)鍵字時(shí),就會(huì)阻斷用戶的發(fā)送操作,并利用控制流信道向用戶界面發(fā)送消息,提示用戶發(fā)現(xiàn)關(guān)鍵字。
圖1 敏感郵件關(guān)鍵字過(guò)濾系統(tǒng)架構(gòu)
敏感郵件關(guān)鍵字過(guò)濾系統(tǒng)共分為8個(gè)模塊: LSP過(guò)濾模塊、文件過(guò)濾驅(qū)動(dòng)模塊、策略服務(wù)模塊、通信代理模塊、敏感字檢測(cè)模塊、策略下發(fā)通信模塊、服務(wù)器策略配置界面、用戶界面。這些模塊的功能如下:
LSP過(guò)濾模塊:在客戶端捕獲系統(tǒng)中所有使用網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)包,這些數(shù)據(jù)包包括本地使用瀏覽器發(fā)送郵件的數(shù)據(jù)包,也包括其它的應(yīng)用程序發(fā)送的數(shù)據(jù)包。LSP分析這些數(shù)據(jù)包,并截取與郵件相關(guān)的數(shù)據(jù)包,放行其它數(shù)據(jù)包。在截取郵件相關(guān)的數(shù)據(jù)包后,LSP將分析這些數(shù)據(jù)包,辨別數(shù)據(jù)包所使用協(xié)議,進(jìn)而判斷數(shù)據(jù)包發(fā)送的是郵件標(biāo)題,還是郵件的正文,還是附件。如果是附件,LSP過(guò)濾模塊將進(jìn)一步提取附件的文件名稱(chēng)。最后,LSP過(guò)濾模塊會(huì)將捕獲的數(shù)據(jù)包,以及數(shù)據(jù)包協(xié)議分析結(jié)果送至策略服務(wù)模塊進(jìn)行進(jìn)一步處理,并根據(jù)策略服務(wù)模塊的處理結(jié)果,依照系統(tǒng)的策略決定是否放行數(shù)據(jù)包。
策略服務(wù)模塊:策略服務(wù)模塊在收到LSP過(guò)濾模塊捕獲的數(shù)據(jù)包以及協(xié)議分析結(jié)果后對(duì)數(shù)據(jù)包進(jìn)行進(jìn)一步處理。
如果數(shù)據(jù)包內(nèi)容是郵件正文或者標(biāo)題,則直接調(diào)用敏感字檢測(cè)模塊,判斷所發(fā)送的數(shù)據(jù)包是否包含敏感字,并將結(jié)果反饋給LSP過(guò)濾模塊。如果包含敏感字,策略服務(wù)模塊同時(shí)會(huì)通知客戶端用戶界面模塊提示用戶所發(fā)送的郵件含有敏感字,并通知服務(wù)器以審計(jì)記錄。
如果數(shù)據(jù)包發(fā)送的是郵件附件,由于附件通常很大,一個(gè)數(shù)據(jù)包無(wú)法容納整個(gè)附件,因此對(duì)單個(gè)數(shù)據(jù)包的敏感字檢測(cè)并不能判斷郵件附件是否包含敏感關(guān)鍵字,尤其是當(dāng)郵件附件是壓縮格式時(shí),只有收集齊所有數(shù)據(jù)包才能對(duì)附件進(jìn)行解壓縮,進(jìn)而判定附件是否存在敏感字。而對(duì)于容量很大的附件,緩存數(shù)據(jù)包的方式會(huì)嚴(yán)重影響系統(tǒng)效率,并且消耗大量系統(tǒng)資源。針對(duì)這一問(wèn)題,文中采用的方法是,當(dāng)發(fā)送附件時(shí),LSP過(guò)濾模塊只攔截第一個(gè)數(shù)據(jù)包,并解析出附件的文件名,策略服務(wù)模塊使用該文件名向文件過(guò)濾驅(qū)動(dòng)查詢(xún)文件的路徑名,得到文件路徑名后,策略服務(wù)模塊將使用敏感字檢測(cè)模塊直接對(duì)磁盤(pán)上的文件進(jìn)行關(guān)鍵字匹配,如果沒(méi)有發(fā)現(xiàn)敏感字,則放行此后的數(shù)據(jù)包,如果有敏感字,則阻斷這個(gè)數(shù)據(jù)包。由于郵件協(xié)議中,包含文件名的第一個(gè)數(shù)據(jù)包如果沒(méi)有發(fā)送成功,后面的包也不會(huì)被發(fā)送,因此只需阻止第一個(gè)數(shù)據(jù)包的發(fā)送就可以阻斷郵件附件的發(fā)送操作。
文件過(guò)濾驅(qū)動(dòng)模塊:通過(guò)瀏覽器發(fā)送郵件過(guò)程中,發(fā)送附件的相關(guān)信息記錄在發(fā)送的數(shù)據(jù)包中。但是這些數(shù)據(jù)包只記錄了發(fā)送附件的名稱(chēng),并沒(méi)有記錄所發(fā)送附件在本地磁盤(pán)上的路徑名。要想直接對(duì)磁盤(pán)上的附件進(jìn)行關(guān)鍵字過(guò)濾,就需要獲取所發(fā)送附件的本地磁盤(pán)路徑名。文件過(guò)濾驅(qū)動(dòng)會(huì)緩存瀏覽器最近訪問(wèn)的文件路徑名至操作系統(tǒng)內(nèi)核中,當(dāng)瀏覽器發(fā)送附件時(shí),策略服務(wù)模塊會(huì)分析所發(fā)送附件的文件名,將文件名發(fā)送至文件過(guò)濾驅(qū)動(dòng)模塊,文件過(guò)濾驅(qū)動(dòng)模塊返回文件名的全路徑名稱(chēng)。
通信代理模塊:操作系統(tǒng)內(nèi)核無(wú)法直接與用戶層的應(yīng)用程序通信,通信代理模塊的功能是,在內(nèi)核層與應(yīng)用層的程序中建立起一條通信管道,用于文件過(guò)濾驅(qū)動(dòng)與策略服務(wù)模塊之間的數(shù)據(jù)通信。
策略下發(fā)模塊:運(yùn)行在服務(wù)器端,監(jiān)聽(tīng)一個(gè)特定的TCP端口,等待客戶端連接??蛻舳说牟呗苑?wù)模塊啟動(dòng)后,將主動(dòng)連接至服務(wù)器,服務(wù)器的策略下發(fā)模塊則將系統(tǒng)策略實(shí)時(shí)發(fā)送至客戶端。同時(shí)策略下發(fā)模塊會(huì)根據(jù)客戶端發(fā)送過(guò)來(lái)的數(shù)據(jù),進(jìn)行客戶端身份驗(yàn)證以及軟件有效性驗(yàn)證。
用戶界面:用戶端的界面有兩個(gè)功能:第一,當(dāng)用戶發(fā)送的郵件含有敏感字時(shí),界面會(huì)彈出警示信息,提醒用戶;第二,用戶可以通過(guò)該界面查看系統(tǒng)已有策略以及敏感字,也可以通過(guò)該界面添加用戶自定義敏感字。
服務(wù)器策略配置界面:服務(wù)器端用于控制全局策略的用戶交互界面。
1.2 系統(tǒng)實(shí)現(xiàn)
文中在Windows平臺(tái)下實(shí)現(xiàn)了一個(gè)敏感郵件關(guān)鍵字過(guò)濾原型系統(tǒng),其中:1)LSP過(guò)濾模塊采用了Windows服務(wù)提供接口 (SPI)技術(shù)實(shí)現(xiàn),該模塊以DLL的形式存在,并在程序啟動(dòng)時(shí)自動(dòng)加載。2)策略服務(wù)模塊和服務(wù)器端的策略下發(fā)模塊采用Windows服務(wù)技術(shù)實(shí)現(xiàn),以Windows Service的形式存在,當(dāng)系統(tǒng)啟動(dòng)時(shí)該服務(wù)將自動(dòng)開(kāi)啟。3)文件過(guò)濾驅(qū)動(dòng)采用Windows驅(qū)動(dòng)技術(shù),以磁盤(pán)驅(qū)動(dòng)程序的形式存在,并在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載到操作系統(tǒng)內(nèi)核。4)敏感字檢測(cè)模塊以Windows靜態(tài)鏈接庫(kù)的方式存在,直接在代碼中調(diào)用該模塊即可。5)客戶端用戶界面和服務(wù)器端用戶界面采用開(kāi)源的圖形界面庫(kù)QT實(shí)現(xiàn)。
整個(gè)工程使用C++語(yǔ)言開(kāi)發(fā),共計(jì)代碼13K行。LSP過(guò)濾模塊的實(shí)現(xiàn)流程圖如圖2所示。
Capture單元負(fù)責(zé)捕獲數(shù)據(jù)包,并將捕獲的數(shù)據(jù)包交由E-mail單元;E-mail單元負(fù)責(zé)分析數(shù)據(jù)包是否是包含E-mail信息的數(shù)據(jù)包,如果不是E-mail數(shù)據(jù)包,則直接將數(shù)據(jù)包交給Pass Through單元,如果是,則將數(shù)據(jù)包交給 Analysis單元;Analysis單元對(duì)數(shù)據(jù)包的協(xié)議進(jìn)行分析,并將協(xié)議分析結(jié)果連同數(shù)據(jù)包一起交由策略服務(wù)模塊;策略服務(wù)模塊會(huì)分析被發(fā)送的數(shù)據(jù)是否包含敏感字,并返回敏感字的個(gè)數(shù)至Hits單元;Hits單元根據(jù)策略服務(wù)模塊的返回值判斷數(shù)據(jù)含有關(guān)鍵字的個(gè)數(shù),如果含有關(guān)鍵字的個(gè)數(shù)大于零,在默認(rèn)系統(tǒng)策略下,系統(tǒng)會(huì)直接丟棄數(shù)據(jù)包,禁止用戶發(fā)送,否則將數(shù)據(jù)包交由Pass Through單元放行數(shù)據(jù)包。
策略服務(wù)模塊的實(shí)現(xiàn)流程圖如圖3所示。Load單元負(fù)責(zé)從LSP過(guò)濾模塊接收數(shù)據(jù)包和數(shù)據(jù)包協(xié)議分析結(jié)果;Attachment單元從數(shù)據(jù)包協(xié)議分析結(jié)果中判斷數(shù)據(jù)包是否在發(fā)送附件,如果是則交由文件過(guò)濾驅(qū)動(dòng)模塊處理,如果不是,則直接交由Analysis單元處理;文件過(guò)濾驅(qū)動(dòng)模塊會(huì)返回文件的全路徑名,并交由 Analysis單元處理;Analysis單元根據(jù)數(shù)據(jù)包類(lèi)型,調(diào)用敏感字檢測(cè)模塊檢測(cè)數(shù)據(jù)包是否含有敏感字,并將結(jié)果交由Return單元處理;Return單元直接返回結(jié)果給LSP過(guò)濾模塊。
文中研究并實(shí)現(xiàn)一套能夠識(shí)別敏感關(guān)鍵字,并在用戶發(fā)送郵件時(shí),能夠自動(dòng)阻斷敏感郵件的系統(tǒng)。文中的主要研究成果包括:
1)網(wǎng)絡(luò)數(shù)據(jù)捕獲技術(shù)研究:文中研究了在對(duì)用戶透明的情況下 (用戶感知不到系統(tǒng)的存在,目的是為了提高用戶體驗(yàn)),對(duì)用戶發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行捕獲的相關(guān)技術(shù)。
2)郵件附件關(guān)鍵字搜索技術(shù)研究:郵件附件通常是rar,zip,docx等壓縮格式的文件,并且郵件附件通常由多個(gè)數(shù)據(jù)包發(fā)送,因此當(dāng)前基于包過(guò)濾的方法無(wú)法實(shí)現(xiàn)對(duì)郵件附件的關(guān)鍵字搜索,文中提出并實(shí)現(xiàn)了一種基于文件過(guò)濾驅(qū)動(dòng)程序的方法對(duì)文件附件的內(nèi)容過(guò)濾。
文中最后實(shí)現(xiàn)了一個(gè)郵件敏感字過(guò)濾原型系統(tǒng),測(cè)試結(jié)果表明該系統(tǒng)能夠有效地阻止用戶發(fā)送含有指定敏感字的郵件。
〔1〕柳岸,龍雅琴,古樂(lè)野.基于包過(guò)濾技術(shù)的網(wǎng)絡(luò)安全的研究〔J〕.計(jì)算機(jī)應(yīng)用,2006,26(9):2 160-2 161.
〔2〕陳志賢。垃圾郵件過(guò)濾技術(shù)研究綜述 〔J〕.計(jì)算機(jī)應(yīng)用研究,2009,26(5):1 612-1 615.
〔3〕程衛(wèi)華,尤晉元.基于內(nèi)容過(guò)濾的反垃圾郵件系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn) 〔J〕.安徽大學(xué)學(xué)報(bào) (自然科學(xué)版),2007,31(3): 30-33.
〔4〕高良誠(chéng),侯整風(fēng).客戶端垃圾郵件過(guò)濾系統(tǒng) 〔J〕.安徽建筑工業(yè)學(xué)院學(xué)報(bào) (自然科學(xué)版),2008,16(4):73-76.
〔5〕趙靜,劉培玉,許明英.郵件過(guò)濾中特征選擇方法的性能評(píng)價(jià)與分析 〔J〕.計(jì)算機(jī)應(yīng)用研究,2012,29(2):693-697.
〔6〕AGARWAL A,GAIKWAD M,GARG K,et al.Robust data leakage and E-mail filtering system 〔C〕.//2012 International Conference on Computing,Electronics and Electrical Technologies (ICCEET).IEEE,2012:1 032-1 035.
Research and implementation on e-mail sensitive data monitoring system
XUE Hai-wei,TIAN Zhen,TIAN Jian-wei,QI Wen-hui
(State Grid Hunan Electric Power Corporation Research Institute,Changsha 410007,China)
In this paper,an E-mail filter system is implemented,which can automatically prevent sending operation when E-mail data contain specific keywords.The system is based on C/S framework which adopts multi-layer logic processing layer structure,and can automatically block user's E-mail containing sensitive data.The experimental results show that the system can effectively prevent sensitive E-mail.
Packet filter;E-mail system;data leaking
10.3969/j.issn.1008-0198.2015.02.004
TP302.7;TP393.08
B
1008-0198(2015)02-0013-04
2014-09-17 改回日期:2015-01-05