一种邮件审计方法及系统技术方案

本发明专利技术实施例提供了一种邮件审计方法及系统，方法包括：拦截远程方法调用RPC模块中的目标通信函数，以完成exchange协议的阻断；基于已阻断的exchange协议，从第一函数的参数中解析出邮件内容；对所述邮件内容进行审计。本发明专利技术实施例提供的一种邮件审计方法及系统，没有采用窗口阻断的方式，而是在协议层直接进行邮件阻断，阻断准确无遗漏，且避免了软件产生的卡顿或崩溃，有效提升了用户体验。

A Mail Audit Method and System

The embodiment of the present invention provides a mail audit method and system, which includes: intercepting remote method to call the target communication function in RPC module to complete the blocking of exchange protocol; parsing the mail content from the parameters of the first function based on the blocked exchange protocol; and auditing the mail content. An email audit method and system provided by the embodiment of the present invention does not adopt window blocking mode, but directly blocks email at the protocol layer, which is accurate and without omission, avoids the carton or crash caused by software, and effectively improves the user experience.

【技术实现步骤摘要】
一种邮件审计方法及系统
本专利技术实施例涉及计算机
，尤其涉及一种邮件审计方法及系统。
技术介绍
目前，数据泄露防护系统(DLP)对使用Exchange协议通信的邮件软件进行审计时，常用手段是窗口挂钩方法，通过解析编辑窗口中的邮件内容、阻断发送邮件消息实现发送邮件审计。将解析后的邮件内容送到审计系统进行审计，根据审计结果决定邮件是否阻断。但是上述现有技术由于使用的窗口挂钩方法阻断邮件，因而可能会在消息丢失的情况下，会出现邮件内容无法获取，导致邮件无法阻断，同时，在多窗口中进行较复杂切换时，容易出现窗口动作捕获不准确，导致阻断函数中出现异常，使邮件系统卡死或崩溃，严重影响用户体验因此，现在亟需一种新的邮件审计方法来解决上述问题。
技术实现思路
为了解决上述问题，本专利技术实施例提供一种克服上述问题或者至少部分地解决上述问题的一种邮件审计方法及系统。第一方面本专利技术实施例提供一种邮件审计方法，包括：拦截远程方法调用RPC模块中的目标通信函数，以完成exchange协议的阻断；基于已阻断的exchange协议，从第一函数的参数中解析出邮件内容；对所述邮件内容进行审计。第二方面本专利技术实施例提供了一种邮件审计系统，包括：挂钩模块，用于拦截远程方法调用RPC模块中的目标通信函数，以完成exchange协议的阻断；解析模块，用于基于已阻断的exchange协议，从第一函数的参数中解析出邮件内容；审计模块，用于对所述邮件内容进行审计。第三方面本专利技术实施例提供了一种电子设备，包括：处理器、存储器、通信接口和总线；其中，所述处理器、存储器、通信接口通过所述总线完成相互间的通信；所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行上述邮件审计方法。第四方面本专利技术实施例提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述邮件审计方法。本专利技术实施例提供的一种邮件审计方法及系统，没有采用窗口阻断的方式，而是在协议层直接进行邮件阻断，阻断准确无遗漏，且避免了软件产生的卡顿或崩溃，有效提升了用户体验。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的一种邮件审计方法流程示意图；图2是本专利技术实施例提供的一种邮件审计系统结构示意图；图3是本专利技术实施例提供的电子设备的结构框图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。图1是本专利技术实施例提供的一种邮件审计方法流程示意图，如图1所示，包括：101、拦截远程方法调用RPC模块中的目标通信函数，以完成exchange协议的阻断；102、基于已阻断的exchange协议，从第一函数的参数中解析出邮件内容；103、对所述邮件内容进行审计。在步骤101中，可以理解的是，计算机在完成远程通信时会通过远程方法调用RPC进行实现，RPC包含多种类别的通信函数，本专利技术实施例需要从中具体拦截出针对exchange协议通信的目标函数，该目标函数具体为NdrClientCall2函数和NdrAsyncClientCall函数，当拦截出NdrClientCall2和NdrAsyncClientCall后，即完成了对exchange协议的阻断。进一步的，在步骤102中，当完成了对exchange协议的阻断之后，本专利技术实施例会从第一函数的参数中解析出邮件内容，需要说明的是，第一函数的参数是指exchange协议邮件的存储参数，具体为EcDoRpcExt2参数，通过解析该参数的内容，能够获取到邮件的具体内容。最后，在步骤103中，本专利技术实施例会对邮件内容进行审计，看邮件内容是否符合规定，如果符合则放行该邮件，如果不符合则拒绝该邮件。本专利技术实施例提供的一种邮件审计方法，没有采用窗口阻断的方式，而是在协议层直接进行邮件阻断，阻断准确无遗漏，且避免了软件产生的卡顿或崩溃，有效提升了用户体验。在上述实施例的基础上，所述拦截远程方法调用RPC模块中的目标通信函数，以完成exchange协议的阻断，具体包括：拦截RPC模块中的目标通信函数；解析所述目标通信函数中的第一参数，以过滤出与预设变量值不同的目标数据包；在所述目标数据包中获取所述第一函数的参数地址。由上述实施例的内容可知，本专利技术实施例需要完成exchange协议的阻断，那么具体的，由于exchange协议的数据传输通过RPC实现，阻断该协议需要挂钩RPC模块的通信函数NdrClientCall2和NdrAsyncClientCall，即本专利技术实施例中的目标通信函数。NdrClientCall2和NdrAsyncClientCall函数的原型如下：CLIENT_CALL_RETURNRPC_VAR_ENTRYNdrClientCall2(PMIDL_STUB_DESCpStubDescriptor,PFORMAT_STRINGpFormat,...)；CLIENT_CALL_RETURNRPC_VAR_ENTRYNdrAsyncClientCall(PMIDL_STUB_DESCpStubDescriptor,PFORMAT_STRINGpFormat,...)。然后根据RPC.idl存根文件的定义，解析通信函数的pStubDescriptor参数，根据参数的RpcInterfaceId和RpcTransferSyntax变量过滤掉其它通信数据，只解析特定RpcInterfaceId和RpcTransferSyntax的数据，变量的对应值为：RpcInterfaceId：{{0xA4F1DB00,0xCA47,0x1067,{0xB3,0x1F,0x00,0xDD,0x01,0x06,0x62,0xDA}},{0,81}}；RpcTransferSyntax：{{0x8A885D04,0x1CEB,0x11C9,{0x9F,0xE8,0x08,0x00,0x2B,0x10,0x48,0x60}},{2,0}}。最后在过滤后的数据中获取所述第一函数的参数地址。在上述实施例的基础上，所述在所述目标数据包中获取所述第一函数的参数地址，具体包括：根据存根文件的结构，定位出所述第一函数的参数地址。本专利技术实施例是根据存根文件的结构对第一函数的参数地址进行的定位。具体的，本专利技术实施例根据存根文件的RPC_MIDL_PROC_FORMAT_STRING结构，在过滤后数据包中再次过滤，只处理Opunm为11的EcDoRpcExt2函数，从而定位出EcDoRpcExt2函数的参数地址。在上述实施例的基础上，在所述对所述邮件内容进行审计之后，所述方法还包括：若审计通过则在所述邮件内容中添加混淆代码。由上述实施例的本文档来自技高网...

【技术保护点】
1.一种邮件审计方法，其特征在于，包括：拦截远程方法调用RPC模块中的目标通信函数，以完成exchange协议的阻断；基于已阻断的exchange协议，从第一函数的参数中解析出邮件内容；对所述邮件内容进行审计。

【技术特征摘要】
1.一种邮件审计方法，其特征在于，包括：拦截远程方法调用RPC模块中的目标通信函数，以完成exchange协议的阻断；基于已阻断的exchange协议，从第一函数的参数中解析出邮件内容；对所述邮件内容进行审计。2.根据权利要求1所述的方法，其特征在于，所述拦截远程方法调用RPC模块中的目标通信函数，以完成exchange协议的阻断，具体包括：拦截RPC模块中的目标通信函数；解析所述目标通信函数中的第一参数，以过滤出与预设变量值不同的目标数据包；在所述目标数据包中获取所述第一函数的参数地址。3.根据权利要求2所述的方法，其特征在于，所述在所述目标数据包中获取所述第一函数的参数地址，具体包括：根据存根文件的结构，定位出所述第一函数的参数地址。4.根据权利要求2所述的方法，其特征在于，在所述对所述邮件内容进行审计之后，所述方法还包括：若审计通过则在所述邮件内容中添加混淆代码。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：在添加混淆代码时，根据不同...

【专利技术属性】
技术研发人员：林皓，高学伟，陶亚虎，罗云丰，
申请(专利权)人：北京北信源信息安全技术有限公司，
类型：发明
国别省市：北京,11