一种电子邮件的发送系统和电子邮件的监控方法
一种电子邮件的发送系统和电子邮件的监控方法
【专利说明】
[技术领域]
[0001]本发明涉及网络信息安全,尤其涉及一种电子邮件的发送系统和电子邮件的监控方法。
[【背景技术】]
[0002]随着信息技术的广泛应用,党政机关,高新技术企业等涉密单位日常工作愈来愈依赖信息系统,各部门、各系统都推进网上办公,以提高工作效率,更好地为公众提供服务;近期企业内部无意识泄密事件日渐增多,特别是某些保存有敏感数据的重要部门,一旦这些数据泄漏、遗失或者被落入敌对分子的手中,将会造成及其严重的后果。除了要防范局域网外部的黑客对这些存储在内部的敏感数据进行窃取造成的不安全因素,更重要的是防止内部员工和外部人员串通起来泄露机密文件留下的安全漏洞,因为内部员工泄密比外部黑客入侵引起的安全问题更为严重,而且也更加隐蔽,难以及时发现,往往给企业和国家机关带来不可估量的损失。
[
【发明内容】
]
[0003]本发明要解决的技术问题是提供一种监控内部网络向外发送邮件内容的电子邮件发送系统。
[0004]本发明另一个要解决的技术问题是提供一种防止因内部网络向外发送电子邮件造成泄密的电子邮件的监控方法。
[0005]为了解决上述技术问题,本发明采用的技术方案是,一种电子邮件的发送系统,包括内部局域网、与外部网络连接的交换机和数据还原主机,交换机支持探针技术,包括数据还原端口,数据还原主机的网卡接交换机的数据还原端口;数据还原主机的网卡设置为混杂模式,接收交换机转发的数据包。
[0006]—种电子邮件的监控方法,采用上述的电子邮件的发送系统,监控过程包括以下步骤:
[0007]201、接收交换机转发的数据包;
[0008]202、解析并还原邮件正文及附件;
[0009]203、将还原的邮件正文及附件,送给字符串过滤模块处理,阻止符合过滤条件的邮件传送到外部网络。
[0010]以上所述的电子邮件的监控方法,步骤202包括以下内容:
[0011]301、查找发送邮件的数据包;
[0012]302、判断有没有发送附件,并做记录;
[0013]303、获取邮件内容的长度;
[0014]304、根据邮件内容的长度把邮件正文的所有数据保存在文本文件中;
[0015]305、查找邮件发送人;
[0016]306、查找邮件接收人;
[0017]307、查找邮件的主题;
[0018]308、提取邮件的正文;
[0019]309、根据步骤302的记录确定有没有附件;
[0020]3010、如有附件,提取邮件的附件进行保存。
[0021]本发明一旦发现满足可疑邮件内容规则的附件或者是邮件内容,即可自动做出相应的处理;同时把泄密记录保存在硬盘上,从而可对安全部门的调查取证提供证据。
[【附图说明】]
[0022]下面结合附图和【具体实施方式】对本发明作进一步详细的说明。
[0023]图1是本发明实施例电子邮件的发送系统的原理框图。
[0024]图2是本发明提取邮件内容正文和附件进行还原的流程图。
[【具体实施方式】]
[0025]本发明以下实施例提供了一种还原国内常用的163邮件内容及其附件的方法,目的在于监控内部网络员工发送的电子邮件内容,防止电子邮件泄密。
[0026]如图1所示,本发明实施例电子邮件的发送系统包括内部局域网、交换机,内部局域网通过防火墙与交换机连接,交换机通过路由器与外部因特网连接。交换机优先支持探针技术的三层交换机如Cisco Catalyst 4500系列交换机或Cisco Catalyst 3850系列交换机,可以映射两个交换机端口,一个端口用来转发所有经过交换机的数据包,另一个端口用来做数据还原。
[0027]数据还原主机把网卡设置为混杂模式来专门接收转发的数据包,交换机转发的数据由数据还原系统接收。如图1所示。当然,系统也可以应用于以往的集线器连接的广播式网络。
[0028]提取邮件内容正文和附件进行还原的具体流程如图2所示,在根据TCP/IP协议族重组好HTTP协议数据(163邮件数据包含在其中)后,完整解析邮件的内容。还原邮件内容及附件包括以下步骤:
[0029]101)查找发送邮件的数据包,以字符串func=mbox: compose为标识;
[0030]201)判断有没有发送附件,以字符串upload.html?sid为标识;
[0031 ] 301)根据HTTP协议的Content_Length得到内容长度;
[0032]401)根据内容长度把邮件正文的所有数据保存在文本文件中;
[0033]501)查找邮件发送人;
[0034]601)查找邮件接收人;
[0035]701)查找邮件的主题;
[0036]801)提取邮件的正文;
[0037]901)根据步骤201的记录确定有没有附件;
[0038]1001)如有附件,提取邮件的附件进行保存。
[0039]还原邮件内容及附件后,将其送给字符串过滤模块处理,以阻止符合过滤条件的邮件传到外网。字符串过滤模块缓存完整邮件内容,然后按字符匹配关键字及语句、如果匹配度达到80%以上,直接停止邮件向外网发送;若未达到匹配要求,邮件可以继续发送至外网。
[0040]本发明以上实施例使用网络协议分析工具获取163邮件的会话信息,通过163邮件发送协议、对邮件内容进行解析、匹配过滤算法和邮件内容规则分析通信内容,并还原邮件内容及其附件信息。实现在不影响网络性能的情况下对网络进行监测,检查内部网络中是否有员工通过163邮箱泄露机密信息。一旦发现满足可疑邮件内容规则的附件或者是邮件内容,即可自动做出相应的处理;同时把泄密记录保存在硬盘上,从而可对安全部门的调查取证提供证据。
【主权项】
1.一种电子邮件的发送系统,包括内部局域网和与外部网络连接的交换机,其特征在于,包括数据还原主机,交换机支持探针技术,包括数据还原端口,数据还原主机的网卡接交换机的数据还原端口;数据还原主机的网卡设置为混杂模式,接收交换机转发的数据包。2.—种电子邮件的监控方法,其特征在于,采用权利要求1所述的电子邮件的发送系统,监控过程包括以下步骤: .201、接收交换机转发的数据包; .202、解析并还原邮件正文及附件; .203、将还原的邮件正文及附件,送给字符串过滤模块处理,阻止符合过滤条件的邮件传送到外部网络。3.根据权利要求1所述的电子邮件的监控方法,其特征在于,步骤202包括以下内容: .301、查找发送邮件的数据包; .302、判断有没有发送附件,并做记录; .303、获取邮件内容的长度; .304、根据邮件内容的长度把邮件正文的所有数据保存在文本文件中; .305、查找邮件发送人; .306、查找邮件接收人; .307、查找邮件的主题; .308、提取邮件的正文; .309、根据步骤302的记录确定有没有附件; .3010、如有附件,提取邮件的附件进行保存。
【专利摘要】本发明公开了一种电子邮件的发送系统和电子邮件的监控方法。电子邮件的发送系统包括内部局域网、与外部网络连接的交换机和数据还原主机,交换机支持探针技术,包括数据还原端口,数据还原主机的网卡接交换机的数据还原端口;数据还原主机的网卡设置为混杂模式,接收交换机转发的数据包。通过解析并还原邮件内容及附件产,将还原的邮件内容及附件,送给字符串过滤模块处理,并阻止符合过滤条件的邮件传送到外部网络。本发明一旦发现满足可疑邮件内容规则的附件或者是邮件内容,即可自动做出相应的处理;同时把泄密记录保存在硬盘上,从而可对安全部门的调查取证提供证据。
【IPC分类】H04L12/58
【公开号】CN105490920
【申请号】CN201510831511
【发明人】黄志文, 陈业英
【申请人】深圳市视维科技有限公司
【公开日】2016年4月13日
【申请日】2015年11月25日
【专利说明】
[技术领域]
[0001]本发明涉及网络信息安全,尤其涉及一种电子邮件的发送系统和电子邮件的监控方法。
[【背景技术】]
[0002]随着信息技术的广泛应用,党政机关,高新技术企业等涉密单位日常工作愈来愈依赖信息系统,各部门、各系统都推进网上办公,以提高工作效率,更好地为公众提供服务;近期企业内部无意识泄密事件日渐增多,特别是某些保存有敏感数据的重要部门,一旦这些数据泄漏、遗失或者被落入敌对分子的手中,将会造成及其严重的后果。除了要防范局域网外部的黑客对这些存储在内部的敏感数据进行窃取造成的不安全因素,更重要的是防止内部员工和外部人员串通起来泄露机密文件留下的安全漏洞,因为内部员工泄密比外部黑客入侵引起的安全问题更为严重,而且也更加隐蔽,难以及时发现,往往给企业和国家机关带来不可估量的损失。
[
【发明内容】
]
[0003]本发明要解决的技术问题是提供一种监控内部网络向外发送邮件内容的电子邮件发送系统。
[0004]本发明另一个要解决的技术问题是提供一种防止因内部网络向外发送电子邮件造成泄密的电子邮件的监控方法。
[0005]为了解决上述技术问题,本发明采用的技术方案是,一种电子邮件的发送系统,包括内部局域网、与外部网络连接的交换机和数据还原主机,交换机支持探针技术,包括数据还原端口,数据还原主机的网卡接交换机的数据还原端口;数据还原主机的网卡设置为混杂模式,接收交换机转发的数据包。
[0006]—种电子邮件的监控方法,采用上述的电子邮件的发送系统,监控过程包括以下步骤:
[0007]201、接收交换机转发的数据包;
[0008]202、解析并还原邮件正文及附件;
[0009]203、将还原的邮件正文及附件,送给字符串过滤模块处理,阻止符合过滤条件的邮件传送到外部网络。
[0010]以上所述的电子邮件的监控方法,步骤202包括以下内容:
[0011]301、查找发送邮件的数据包;
[0012]302、判断有没有发送附件,并做记录;
[0013]303、获取邮件内容的长度;
[0014]304、根据邮件内容的长度把邮件正文的所有数据保存在文本文件中;
[0015]305、查找邮件发送人;
[0016]306、查找邮件接收人;
[0017]307、查找邮件的主题;
[0018]308、提取邮件的正文;
[0019]309、根据步骤302的记录确定有没有附件;
[0020]3010、如有附件,提取邮件的附件进行保存。
[0021]本发明一旦发现满足可疑邮件内容规则的附件或者是邮件内容,即可自动做出相应的处理;同时把泄密记录保存在硬盘上,从而可对安全部门的调查取证提供证据。
[【附图说明】]
[0022]下面结合附图和【具体实施方式】对本发明作进一步详细的说明。
[0023]图1是本发明实施例电子邮件的发送系统的原理框图。
[0024]图2是本发明提取邮件内容正文和附件进行还原的流程图。
[【具体实施方式】]
[0025]本发明以下实施例提供了一种还原国内常用的163邮件内容及其附件的方法,目的在于监控内部网络员工发送的电子邮件内容,防止电子邮件泄密。
[0026]如图1所示,本发明实施例电子邮件的发送系统包括内部局域网、交换机,内部局域网通过防火墙与交换机连接,交换机通过路由器与外部因特网连接。交换机优先支持探针技术的三层交换机如Cisco Catalyst 4500系列交换机或Cisco Catalyst 3850系列交换机,可以映射两个交换机端口,一个端口用来转发所有经过交换机的数据包,另一个端口用来做数据还原。
[0027]数据还原主机把网卡设置为混杂模式来专门接收转发的数据包,交换机转发的数据由数据还原系统接收。如图1所示。当然,系统也可以应用于以往的集线器连接的广播式网络。
[0028]提取邮件内容正文和附件进行还原的具体流程如图2所示,在根据TCP/IP协议族重组好HTTP协议数据(163邮件数据包含在其中)后,完整解析邮件的内容。还原邮件内容及附件包括以下步骤:
[0029]101)查找发送邮件的数据包,以字符串func=mbox: compose为标识;
[0030]201)判断有没有发送附件,以字符串upload.html?sid为标识;
[0031 ] 301)根据HTTP协议的Content_Length得到内容长度;
[0032]401)根据内容长度把邮件正文的所有数据保存在文本文件中;
[0033]501)查找邮件发送人;
[0034]601)查找邮件接收人;
[0035]701)查找邮件的主题;
[0036]801)提取邮件的正文;
[0037]901)根据步骤201的记录确定有没有附件;
[0038]1001)如有附件,提取邮件的附件进行保存。
[0039]还原邮件内容及附件后,将其送给字符串过滤模块处理,以阻止符合过滤条件的邮件传到外网。字符串过滤模块缓存完整邮件内容,然后按字符匹配关键字及语句、如果匹配度达到80%以上,直接停止邮件向外网发送;若未达到匹配要求,邮件可以继续发送至外网。
[0040]本发明以上实施例使用网络协议分析工具获取163邮件的会话信息,通过163邮件发送协议、对邮件内容进行解析、匹配过滤算法和邮件内容规则分析通信内容,并还原邮件内容及其附件信息。实现在不影响网络性能的情况下对网络进行监测,检查内部网络中是否有员工通过163邮箱泄露机密信息。一旦发现满足可疑邮件内容规则的附件或者是邮件内容,即可自动做出相应的处理;同时把泄密记录保存在硬盘上,从而可对安全部门的调查取证提供证据。
【主权项】
1.一种电子邮件的发送系统,包括内部局域网和与外部网络连接的交换机,其特征在于,包括数据还原主机,交换机支持探针技术,包括数据还原端口,数据还原主机的网卡接交换机的数据还原端口;数据还原主机的网卡设置为混杂模式,接收交换机转发的数据包。2.—种电子邮件的监控方法,其特征在于,采用权利要求1所述的电子邮件的发送系统,监控过程包括以下步骤: .201、接收交换机转发的数据包; .202、解析并还原邮件正文及附件; .203、将还原的邮件正文及附件,送给字符串过滤模块处理,阻止符合过滤条件的邮件传送到外部网络。3.根据权利要求1所述的电子邮件的监控方法,其特征在于,步骤202包括以下内容: .301、查找发送邮件的数据包; .302、判断有没有发送附件,并做记录; .303、获取邮件内容的长度; .304、根据邮件内容的长度把邮件正文的所有数据保存在文本文件中; .305、查找邮件发送人; .306、查找邮件接收人; .307、查找邮件的主题; .308、提取邮件的正文; .309、根据步骤302的记录确定有没有附件; .3010、如有附件,提取邮件的附件进行保存。
【专利摘要】本发明公开了一种电子邮件的发送系统和电子邮件的监控方法。电子邮件的发送系统包括内部局域网、与外部网络连接的交换机和数据还原主机,交换机支持探针技术,包括数据还原端口,数据还原主机的网卡接交换机的数据还原端口;数据还原主机的网卡设置为混杂模式,接收交换机转发的数据包。通过解析并还原邮件内容及附件产,将还原的邮件内容及附件,送给字符串过滤模块处理,并阻止符合过滤条件的邮件传送到外部网络。本发明一旦发现满足可疑邮件内容规则的附件或者是邮件内容,即可自动做出相应的处理;同时把泄密记录保存在硬盘上,从而可对安全部门的调查取证提供证据。
【IPC分类】H04L12/58
【公开号】CN105490920
【申请号】CN201510831511
【发明人】黄志文, 陈业英
【申请人】深圳市视维科技有限公司
【公开日】2016年4月13日
【申请日】2015年11月25日
最新回复(0)