本发明专利技术公开了一种基于多模匹配的电力敏感邮件实时检测方法,主要步骤为:(1)对员工发送的电子邮件进行实时解析,提取出邮件信息;(2)用设定的电力敏感关键字对多模匹配引擎进行初始化;(3)利用多模匹配引擎对邮件标题、正文及附件标题、正文进行敏感关键字匹配;(4)根据匹配结果判断该邮件是否为电力敏感邮件,如果该邮件是电力敏感邮件,则进行实时拦截,并发出告警信息;否则正常发送该邮件。本发明专利技术可在电力办公PC终端对员工发送的电子邮件进行分析,检测到可能存在电力机密信息的敏感邮件,并通知邮件拦截模块进行实时拦截,从而有效防止电力部门的机密文件外泄,从源头保护电力内部系统和终端的数据安全。
【技术实现步骤摘要】
-种基于多模匹配的电力敏感邮件实时检测方法
本专利技术涉及电力行业信息安全领域,特别涉及一种基于多模匹配的电力敏感邮件 实时检测方法。
技术介绍
随着电力系统信息化和网络化的不断推进,国家电网公司面临的信息安全形势 日益严峻。公司内部的敏感数据不但面临着病毒、木马等外部环境的攻击,由内部人员故 意破坏和泄漏等造成的内部威胁也逐渐增多。美国计算机安全学会(Computer Security Institute,CSI)历年的调查报告显示,虽然从数量上来看,来自于外部的网络攻击事件的 发生频率远远超过来自内部的泄密,但是从造成的损失来看,内部威胁却远大于外部威胁。 从美国中央情报局前雇员斯诺登泄密引发的棱镜门事件到国内华为员工离职泄密导致 的沪科案事件,这些都表明,来自内部的数据泄密会给企业带来严重的损失。 电子邮件是电力系统内部人员最常用的一种信息通信工具,同时也是导致内部数 据泄露的一个最主要的源头。据权威调查报告显示,公司近年来各种安全漏洞造成的损失 中,30 % -40 %是由于公司内部员工通过电子邮件发送了内部涉密文件造成的。为了加强对 电力敏感邮件的监管,国家电网公司在公司与社会互联网的出口处部署了网络审计设备, 对从内部发送的电子邮件进行审查。但是,由于网络审计设备无法对邮件进行实时过滤,这 不能从根本上杜绝邮件泄密事件的发生,仍然存在员工误操作或恶意泄漏的可能。 通过对行业内网络行为监管设备的调研发现,目前针对敏感邮件进行监管的设备 可分为审计和过滤两类设备。审计设备主要是将邮件内容(包括附件)进行转存,然后以 离线方式检测邮件是否包含敏感内容,这种方法无法实现对邮件的实时拦截;而过滤设备 可以对邮件进行实时分析,判断其是否包含敏感关键字,并进行实时拦截,但是这类设备通 常部署在网络出口处或内部的邮件服务器上,由于受到计算性能和实时性的约束,只能对 邮件正文进行分析,对附件中包含敏感内容的邮件则无能为力。当前市面上还没有一款成 熟的产品能够做到对邮件内容和附件进行实时分析并拦截。 因此,如何实时判断邮件内容和附件是否包含电力敏感关键字,从而对邮件进行 过滤,是本领域技术人员重点关注的问题。基于多模匹配算法在电力办公PC终端进行敏感 邮件检测是一个可行的思路。目前,还没有公开文献涉及基于多模匹配的电力敏感邮件实 时检测方法。
技术实现思路
针对上述现有技术的不足,本专利技术提出一种可部署在电力办公PC终端的敏感邮 件检测方法,该方法可对电力外网发送的邮件的内容和附件进行实时解析,检测出可能存 在电力机密信息的敏感邮件,并通知邮件拦截模块进行实时拦截。本专利技术可有效防止电力 部门的机密文件外泄,从源头保护电力内部系统和终端的数据安全。 为了实现上述技术目的,本专利技术的技术方案是,一种基于多模匹配的电力敏感邮 件实时检测方法,该方法包括如下步骤: 步骤Sl :对发送的电子邮件进行实时解析,提取出邮件信息; 步骤S2 :用事先设定的电力敏感关键字对多模匹配引擎进行初始化; 步骤S3 :将步骤Sl所提取的邮件信息转化成二进制字节流,输入到步骤S2所述 多模匹配引擎中,进行电力敏感关键字的匹配; 步骤S4:根据匹配结果判断该邮件是否为电力敏感邮件,如果该邮件是电力敏感 邮件,则通过邮件拦截模块对该邮件进行实时拦截,并通过预警模块发出告警信息;否则, 正常发送该邮件。 所述一种基于多模匹配的电力敏感邮件检测方法,步骤Sl所述邮件信息,包括 邮件的标题和正文,以及邮件附件的标题和内容;所述邮件附件的格式是:文本文档、ZIP/ RAR压缩文档、Office办公文档、WPS办公文档和PDF文档中的一种或多种。 所述一种基于多模匹配的电力敏感邮件检测方法,步骤S2所述电力敏感关键字, 是由用户自定义的文本字符串,文本字符串为中文、英文或中英文混合模式的字符串。 所述一种基于多模匹配的电力敏感邮件检测方法,步骤S2所述多模匹配引擎,是 基于Wu-Manber多模匹配方法,采用二进制流的匹配方式,用以在邮件信息中查找电力敏 感关键字出现的频率和位置。 所述一种基于多模匹配的电力敏感邮件检测方法,步骤S2所述多模匹配引擎的 初始化方法,是将电力敏感关键字的三种不同二进制编码格式作为三种不同的模式串,同 时参与对多模匹配引擎的预处理过程,所述的三种二进制编码格式为GB2312、Unicode和 UTF-8。 所述一种基于多模匹配的电力敏感邮件检测方法,所述的对多模匹配引擎的预 处理过程,是通过扫描由所有电力敏感关键字的三种不同编码格式所形成的模式串集合 Patterns,分别构建转移表SHIFT,哈希表HASH和前缀表PREFIX三张表。 所述一种基于多模匹配的电力敏感邮件检测方法,在将Unicode二进制编码格式 作为模式串时,构建一个包含一个字符串指针变量和一个表示该字符串长度变量的结构 体,在扫描时通过该结构体来判断是否达到模式串的末尾。 所述一种基于多模匹配的电力敏感邮件检测方法,步骤S3所述对邮件信息进行 电力敏感关键字匹配的方法,是将邮件标题、正文,以及邮件附件的标题和内容转换成二进 制字节流的形式,并作为步骤S2所述多模匹配引擎的输入,而多模匹配引擎的输出结果即 为邮件信息中包含电力敏感关键字的频率及位置。 所述一种基于多模匹配的电力敏感邮件检测方法,步骤S4所述电力敏感邮件判 断,是根据多模匹配引擎的匹配结果来进行判断,如果邮件信息中存在1个或以上的电力 敏感关键字,则判断为电力敏感邮件,否则,为正常邮件。 本专利技术可在电力办公PC终端对员工发送的电子邮件进行分析,检测到可能存在 电力机密信息的敏感邮件,并通知邮件拦截模块进行实时拦截,从而有效防止电力部门的 机密文件外泄,从源头保护电力内部系统和终端的数据安全。 下面结合附图对本专利技术作进一步说明。 【附图说明】 图1是本专利技术实施例的系统框架示意图; 图2是本专利技术实施例的程序流程图; 图3是图2中邮件格式解析方法的程序流程图; 图4是图2中对邮件标题及正文进行关键字匹配方法的程序流程图; 图5是图2中对邮件附件进行关键字匹配方法的程序流程图; 图6是图5中递归调用方法的程序流程图。 【具体实施方式】 图1是本专利技术实施例的系统框架示意图。本专利技术实施例部署在图1所示邮件过滤 系统的邮件检测模块中,而邮件过滤系统部署在电力办公终端上。电力办公终端即为普通 的办公电脑,当员工利用邮件客户端(如Hotmail、Firefox等)或者Web浏览器登录到外 网邮件服务器上发送邮件时,邮件过滤系统会在邮件发送之前对其进行实时捕获和处理, 且仅允许那些未包含电力敏感关键字的邮件正常发送。 邮件过滤系统主要包含三个模块:邮件拦截模块、邮件检测模块和预警模块。邮 件拦截模块主要负责实时捕获用户发送的邮件信息,并将信息发送给邮件检测模块进行分 析处理;邮件检测模块集成了本专利技术所述的一种基于多模匹配的电力敏感邮件实时检测方 法,主要实现对邮件信息的进行解析和敏感关键字搜索功能,并将检测结果通知邮件拦截 模块和预警模块;预警模块用于向员工本文档来自技高网...
【技术保护点】
一种基于多模匹配的电力敏感邮件实时检测方法,其特征在于,包括如下步骤:步骤S1:对PC机所发送的电子邮件进行实时解析,提取出邮件信息;步骤S2:用事先设定的电力敏感关键字对多模匹配引擎进行初始化;步骤S3:将步骤S1所提取的邮件信息转化成二进制字节流,输入到步骤S2所述多模匹配引擎中,进行电力敏感关键字的匹配;步骤S4:根据匹配结果判断该邮件是否为电力敏感邮件,如果该邮件是电力敏感邮件,则通过邮件拦截模块对该邮件进行实时拦截,并通过预警模块发出告警信息;否则,正常发送该邮件。
【技术特征摘要】
1. 一种基于多模匹配的电力敏感邮件实时检测方法,其特征在于,包括如下步骤: 步骤S1 :对PC机所发送的电子邮件进行实时解析,提取出邮件信息; 步骤S2 :用事先设定的电力敏感关键字对多模匹配引擎进行初始化; 步骤S3 :将步骤S1所提取的邮件信息转化成二进制字节流,输入到步骤S2所述多模 匹配引擎中,进行电力敏感关键字的匹配; 步骤S4:根据匹配结果判断该邮件是否为电力敏感邮件,如果该邮件是电力敏感邮 件,则通过邮件拦截模块对该邮件进行实时拦截,并通过预警模块发出告警信息;否则,正 常发送该邮件。2. 根据权利要求1所述一种基于多模匹配的电力敏感邮件检测方法,其特征在于:步 骤S1所述邮件信息,包括邮件的标题和正文,以及邮件附件的标题和内容;所述邮件附件 的格式是:文本文档、ZIP/RAR压缩文档、Office办公文档、WPS办公文档和PDF文档中的一 种或多种。3. 根据权利要求1所述一种基于多模匹配的电力敏感邮件检测方法,其特征在于:步 骤S2所述电力敏感关键字,是由用户自定义的文本字符串,文本字符串为中文、英文或中 英文混合模式的字符串。4. 根据权利要求1所述一种基于多模匹配的电力敏感邮件检测方法,其特征在于:步 骤S2所述多模匹配引擎,是基于mi-Manber多模匹配方法,采用二进制流的匹配方式,用以 在邮件信息中查找电力敏感关键字出现的频率和位置。5. 根据权利要求4所述一种基于多模匹配的电力敏感邮件检测方法,其特征在于:步...
【专利技术属性】
技术研发人员:田峥,田建伟,薛海伟,漆文辉,黎曦,刘潇潇,刘洁,
申请(专利权)人:国家电网公司,国网湖南省电力公司,国网湖南省电力公司电力科学研究院,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。