电子邮件鉴定方法和系统的制作方法

电子邮件鉴定方法和系统的制作方法
【专利摘要】本发明公开了一种电子邮件鉴定方法和系统。其中，电子邮件鉴定方法包括如下步骤：在指定存储介质中，获取邮件并进行解析，在解析结果中提取邮件关键字段；将所述邮件的关键字段与学习库中预置的关键字段进行自动比对；基于邮件信息比对结果，获取鉴定结果。本发明实现了电子邮件鉴定的智能化，节省了大量人工提取分析所需的鉴定时间，并提高鉴定鉴定结果的准确性和可靠性。
【专利说明】电子邮件鉴定方法和系统
【技术领域】
[0001]本发明涉及信息安全【技术领域】，尤其涉及一种电子邮件鉴定方法和系统。
【背景技术】
[0002]目前，计算机取证正处于蓬勃发展时期，但针对电子邮件的取证鉴定技术暂不成熟，尤其是电子邮件真实性鉴定技术更是如此。
[0003]例如，目前的取证系统可以提供扫描、查看、检索和分析功能，实现包括聊天记录、网页浏览记录、电子邮件的数据取证。但是，这些取证系统也仅仅能够做到“取证”，而对于取证获取的邮件信息对于邮件的鉴定并未涉及，即取证获得的邮件信息在证据固化前是否被嫌疑人篡改过就不得而知了。
[0004]一般而言，在电子邮件鉴定过程中，由于委托单位提交的硬盘中可能包括数量众多的邮件信息，而且每份邮件又存在大量的邮件头信息，如果仅靠人工进行信息提取分析，必须花费大量的时间精力，而且在疲劳状态下，容易遗漏一些关键信息。所以在电子邮件的鉴定过程中，特别希望有一些智能化的设备帮助提取关键字段分析比对，完成邮件鉴定。

【发明内容】

[0005]有鉴于此，本发明旨在提出一种电子邮件鉴定方法和系统，以使电子邮件鉴定实现智能化，节省大量人工提取和分析时间。
[0006]第一方面，本发明公开了一种电子邮件鉴定方法，包括如下步骤:邮件信息收集步骤，在指定存储介质中，获取邮件并进行解析，在解析结果中提取邮件关键字段；邮件信息比对步骤，将所述邮件的关键字段与预置的关键字段进行自动比对；鉴定步骤，基于邮件信息比对结果进行鉴定，获取鉴定结果。
[0007]进一步地，所述的电子邮件鉴定方法的所述邮件信息比对步骤中，所述预置的关键字段来源于学习库，所述学习库通过机器学习技术对各类邮件头信息进行智能识别，增加预存的邮件类和该类邮件对应的关键字段；所述鉴定步骤中，基于所述邮件信息比对结果和专家系统，获取所述鉴定结果。
[0008]进一步地，所述的电子邮件鉴定方法中，所述邮件信息收集步骤之前还设置有:邮件客户端扫描步骤，确定所述存储介质中是否存在客户端，并确定客户端的属性信息、安装信息以及该客户端针对邮件的存储路径。
[0009]进一步地，所述的电子邮件鉴定方法中，所述邮件客户端扫描步骤前还设置有:存储介质环境扫描步骤，对所述存储介质的环境进行扫描，提取硬盘环境的关键字段；所述电子邮件鉴定方法还包括:存储介质环境比对步骤，将所述存储介质环境的关键字段与学习库中对应的关键字段进行自动比对，判断所述存储介质是否具备篡改邮件的环境；所述鉴定步骤进一步为，基于邮件信息比对结果、存储介质环境比对结果，获取鉴定结果。
[0010]进一步地，所述的电子邮件鉴定方法中，所述存储介质环境扫描步骤之前还设置有:数据恢复步骤，对所述存储介质进行数据恢复，而且，所述的电子邮件鉴定方法中，所述鉴定步骤还包括:逻辑性检查步骤，对每一邮件的自身进行逻辑性的检查，所述的电子邮件鉴定方法中，所述数据恢复步骤中，还包括针对邮件的临时文件所进行的数据恢复。
[0011]本发明电子邮件鉴定方法可以自动提取给定存储介质中所有格式的邮件，并解析出邮件信息，并将邮件的关键字段与学习库中预置的关键字段进行自动比对；并基于比对结果获取鉴定结果。本发明实现了电子邮件鉴定的智能化，节省了大量人工提取分析所需的鉴定时间，并提高鉴定鉴定结果的准确性和可靠性。
[0012]第二方面，本发明还公开了一种电子邮件鉴定系统，包括:邮件信息收集模块、邮件信息比对模块和鉴定模块。其中，邮件信息收集模块用于在指定的存储介质中，获取邮件并进行解析，在解析结果中提取邮件关键字段；邮件信息比对模块用于将所述邮件的关键字段与学习库中预置的关键字段进行自动比对；鉴定模块用于基于邮件信息比对结果，获取鉴定结果。
[0013]进一步地，上述电子邮件鉴定系统的所述邮件信息比对模块中，所述学习库通过机器自动学习各类邮件信息，增加预存的邮件种类和该种类邮件对应的关键字段；所述鉴定模块用于进一步基于所述邮件信息比对结果和专家系统，获取所述鉴定结果。
[0014]进一步地，上述电子邮件鉴定系统中，所述邮件信息收集模块还连接有:邮件客户端扫描模块，用于确定所述存储介质中是否存在客户端，并确定客户端的属性信息、安装信息以及该客户端针对邮件的存储路径。
[0015]进一步地，上述电子邮件鉴定系统中，所述邮件客户端扫描模块还连接有存储介质环境扫描模块，用于对所述存储介质的环境进行扫描，提取硬盘环境的关键字段；所述电子邮件鉴定系统还包括存储介质环境比对模块，用于将所述存储介质环境的关键字段与学习库中对应的关键字段进行自动比对，判断所述存储介质是否具备篡改邮件的环境；所述鉴定模块进一步用于，基于邮件信息比对结果、存储介质环境比对结果，获取鉴定结果。
[0016]进一步地，上述电子邮件鉴定系统中，所述存储介质环境扫描模块还连接有数据恢复模块，用于对所述存储介质进行数据恢复，而且，上述电子邮件鉴定系统中，所述鉴定模块进一步还包括逻辑性检查单元，用于对每一邮件的自身进行逻辑性的检查，上述电子邮件鉴定系统中，所述数据恢复模块中还包括临时文件恢复单元，用于针对邮件的临时文件所进行的数据恢复。
[0017]本发明电子邮件鉴定系统可以自动提取给定存储介质中所有格式的邮件，并解析出邮件信息，并将邮件的关键字段与学习库中预置的关键字段进行自动比对；并基于比对结果获取鉴定结果。本发明实现了电子邮件鉴定的智能化，节省了大量人工提取分析所需的鉴定时间，并提高鉴定鉴定结果的准确性和可靠性。
【专利附图】

【附图说明】
[0018]构成本发明的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中:
[0019]图1为本发明电子邮件鉴定方法第一实施例的步骤流程图；
[0020]图2为本发明电子邮件鉴定方法第二实施例的步骤流程图；
[0021]图3为本发明电子邮件鉴定方法第三实施例的步骤流程图；
[0022]图4A为本发明电子邮件鉴定系统第一实施例的结构框图；[0023]图4B为本发明电子邮件鉴定系统第二实施例的结构框图；
[0024]图5为本发明电子邮件鉴定系统第三实施例的结构框图；
[0025]图6为本发明电子邮件鉴定系统第四实施例的结构框图；
[0026]图7为本发明电子邮件鉴定系统中，可能涉及的邮件信息收集原理图；
[0027]图8为本发明电子邮件鉴定系统中，邮件信息比对模块中，邮件头的基于学习库的的分类示意图；
[0028]图9为本发明电子邮件鉴定系统中，鉴定模块的工作原理示意图。
【具体实施方式】
[0029]需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
[0030]参照图1，图1为本发明电子邮件鉴定方法第一实施例的步骤流程图，包括如下步骤:
[0031]邮件信息收集步骤S110，在指定存储介质中，获取邮件并进行解析，在解析结果中提取邮件关键字段；
[0032]邮件信息比对 步骤S120，将所述邮件的关键字段与预置的关键字段进行自动比对；
[0033]鉴定步骤S130， 基于邮件信息比对结果进行鉴定，获取鉴定结果。其中的学习库包括基于经验数据获取的不同类型邮件的关键字段。
[0034]优选地，在执行邮件信息收集步骤SllO前，可以先执行邮件客户端扫描步骤，确定给定的存储介质(如，计算机硬盘)中是否存在客户端，并确定客户端的属性信息、安装信息以及该客户端针对邮件的存储路径。
[0035]换句话说，就是在硬盘中扫描邮件客户端类型(foxmail、outlook等),查询版本信息，安装路径及安装时间，邮件保存路径及时间，附件保存路径及时间等。提取关键字段保存。例如，可以按照如下表1的形式进行保存。
[0036]表1
[0037]
【权利要求】
1.一种电子邮件鉴定方法，其特征在于，包括如下步骤: 邮件信息收集步骤，在指定存储介质中，获取邮件并进行解析，在解析结果中提取邮件关键字段； 邮件信息比对步骤，将所述邮件的关键字段与预置的关键字段进行自动比对； 鉴定步骤，基于邮件信息比对结果进行鉴定，获取鉴定结果。
2.根据权利要求1所述的电子邮件鉴定方法，其特征在于， 所述邮件信息比对步骤中，所述预置的关键字段来源于学习库，所述学习库通过机器学习技术对各类邮件头信息进行智能识别，增加预存的邮件类和该类邮件对应的关键字段； 所述鉴定步骤中，基于所述邮件信息比对结果和专家系统，获取所述鉴定结果。
3.根据权利要求2所述的电子邮件鉴定方法，其特征在于，所述邮件信息收集步骤之前还设置有: 邮件客户端扫描步骤，确定所述存储介质中是否存在客户端，并确定客户端的属性信息、安装信息以及该客户端针对邮件的存储路径。
4.根据权利要求3所述的电子邮件鉴定方法，其特征在于，所述邮件客户端扫描步骤前还设置有: 存储介质环境扫描步骤，对 所述存储介质的环境进行扫描，提取硬盘环境的关键字段； 所述电子邮件鉴定方法还包括: 存储介质环境比对步骤，将所述存储介质环境的关键字段与学习库中对应的关键字段进行自动比对，比对结果用于判断所述存储介质是否具备篡改邮件的环境； 所述鉴定步骤进一步为，基于邮件信息比对结果、存储介质环境比对结果，获取鉴定结果O
5.根据权利要求4所述的电子邮件鉴定方法，其特征在于，所述存储介质环境扫描步骤之前还设置有: 数据恢复步骤，对所述存储介质进行数据恢复， 所述鉴定步骤还包括: 逻辑性检查步骤，对每一邮件的自身进行逻辑性的检查， 所述数据恢复步骤中，还包括针对邮件的临时文件所进行的数据恢复。
6.—种电子邮件鉴定系统,其特征在于,包括: 邮件信息收集模块，用于在指定存储介质中，获取邮件并进行解析，在解析结果中提取邮件关键字段； 邮件信息比对模块，用于将所述邮件的关键字段与预置的关键字段进行自动比对； 鉴定模块，用于基于邮件信息比对结果进行鉴定，获取鉴定结果。
7.根据权利要求6所述的电子邮件鉴定系统，其特征在于， 邮件信息比对模块中，所述预置的关键字段来源于学习库，所述学习库通过机器学习技术对各类邮件头信息进行智能识别，增加预存的邮件类和该类邮件对应的关键字段； 所述鉴定模块进一步用于基于所述邮件信息比对结果和专家系统，获取所述鉴定结果O
8.根据权利要求7所述的电子邮件鉴定系统，其特征在于，所述邮件信息收集模块还连接有: 邮件客户端扫描模块，用于确定所述存储介质中是否存在客户端，并确定客户端的属性信息、安装信息以及该客户端针对邮件的存储路径。
9.根据权利要求8所述的电子邮件鉴定系统，其特征在于，所述邮件客户端扫描模块还连接有: 存储介质环境扫描模块，用于对所述存储介质的环境进行扫描，提取硬盘环境的关键字段； 所述电子邮件鉴定系统还包括: 存储介质环境比对模块，用于将所述存储介质环境的关键字段与学习库中对应的关键字段进行自动比对，判断所述存储介质是否具备篡改邮件的环境； 所述鉴定模块进一步用于，基于邮件信息比对结果、存储介质环境比对结果，获取鉴定结果。
10.根据权利要求9所述的电子邮件鉴定系统，其特征在于，所述存储介质环境扫描模块还连接有: 数据恢复模块，用于对所述存储介质进行数据恢复， 所述鉴定模块进一步还包 括: 逻辑性检查单元，用于对每一邮件的自身进行逻辑性的检查， 所述数据恢复模块中还包括: 临时文件恢复单元，用于针对邮件的临时文件所进行的数据恢复。
【文档编号】H04L9/00GK103490979SQ201310394469
【公开日】2014年1月1日 申请日期:2013年9月3日 优先权日:2013年9月3日
【发明者】许元进, 许林锋, 杨泉清 申请人:福建伊时代信息科技股份有限公司