8、9、13表示主程序模块I对其它模块的统一调用控制;箭头11、12、10表示管理审计模块5对其它模块的实时控制。其中箭头10是对信息记录模块4中的拦截邮件做人工查看处理:箭头11是对主程序模块I中的主程序的实时控制,设置系统基本参数;箭头12是对规则管理模块6中的过滤规则的维护。
管理系统的运行流程如下:
1.系统初始化设置。管理系统首先调入相关参数、安全策略和过滤规则库等,为过滤作初始化准备。
2.监听端口,等待邮件服务器送交的邮件信息。
3.对邮件服务器送交的邮件信息,启动主程序,进行过滤。
4.主程序按照过滤规则对邮件的信息进行综合检查,包括对邮件的字段“发送者”、“接收者”、“抄送”、“标题”、“来源地址”的检查;对邮件正文以及文本形式的附件的内容检查;发信人真实性判断,发信频率、数量的动态统计判断等。综合检查后,主程序给出邮件危险级别。
5.管理系统根据预定的安全策略,按照邮件危险级别来决定对该邮件的相应处理方式。系统对危险级别较高的邮件直接删除,同时在数据库中记录该邮件的摘要信息留作记录;对级别较低的邮件暂时拦截,将该邮件的完整信息记录在数据库中留待管理员人工处理;对普通级别的邮件直接放行。各个级别间的界限由安全策略决定,可以动态调整。其中,对邮件的删除、拦截、放行是在邮件服务器上实现的。这样,就完成了对邮件内容过滤的全过程。
6.在管理系统运行过程中,系统允许管理员通过管理界面对管理系统作实时控制,对安全策略、过滤规则、系统参数作动态调整。 7.管理系统可以随时启动、停止,在管理系统停止时原邮件服务器就恢复为不具有过滤功能的普通邮件服务器。管理系统在运行时,对原邮件服务器的邮件投递速度效率的影响可以忽略,因而不会对原邮件服务器的邮件投递造成不良影响。
一般匹配算法判断见图3。箭头均表示状态的转移。文中出现“敏感词I”这一关键词的邮件31,一般匹配算法对该邮件进行过滤32,过滤规则为关键词组合:“敏感词2&敏感词1”、“敏感词3”。算法33发现文中出现“敏感词3”,或者“敏感词I”与“敏感词2”同时出现。然后该邮件被标记为危险邮件,予以拦截。
智能匹配算法见图2。箭头均表示状态的转移。文中出现“敏感词I”这一关键词的邮件21,用智能匹配算法22对该邮件进行过滤,过滤规则是“(敏感词2or敏感词3)&敏感词1”,邮件中“敏感词1”、“敏感词2”、“敏感词3”出现不同方式,算法得出的不同的判断结果23-27,邮件也相应的具有不同的危险级别。比如状态23,“敏感词I”在文中出现了 100次,而“敏感词2”出现了 I次,“敏感词3”出现了 2次,则算法认为这几个词是不匹配的,危险级别为O级,表示规则几乎完全不匹配。
状态24,“敏感词I”在文中出现了 100次,“敏感词2”出现了 10次,“敏感词3”出现了 8次,算法认为这几个词的匹配度很低,危险级别高一点,比如为I级。
状态25,“敏感词I”在文中出现了 100次,而“敏感词2”、“敏感词3”各出现了 50次,则算法认为这几个词是匹配的;但是算法通过词间距离发现,“敏感词I”的每次出现位置与“敏感词2”、“敏感词3”的出现位置的跑离间隔超过10个字,算法仍然判定这几个词是不匹配的,危险级别再高一点,比如为2级。
状态26,“敏感词I”在文中出现了 100次,而“敏感词2”出现了 30次、“敏感词3”出现了 70次,则算法认为这几个词是匹配的;然后算法通过词间距离发现,“敏感词I”的每次出现位置与“敏感词2”、“敏感词3”的出现位置的距离间隔低于2个字,算法判定这几个词是匹配的,则危险级别非常高,定为10级,即认为与规则完全匹配。
类似的,状态27表示其它可能出现的危险级别。还可能有状态28、状态29等其它不同的危险级别出现。
这样,算法对邮件的过滤就具有了一定的智能性,而不是简单的判断有还是没有。邮件的危险程度也可以用危险级别来加以区分。
本发明提供的一种基于内容过滤的电子邮件安全管理系统和方法,通过内容过滤的智能化技术,实现邮件过滤的准确判断和分析,然后确定邮件的危害级别。管理人员可以根据审计信息,实时调整改变过滤规则。
以上所述,仅为本发明的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
【主权项】
1.一种基于内容过滤的电子邮件安全管理系统,其特征在于,包括: 主程序模块,完成对防垃圾邮件、内容过滤功能、过滤规则的调用,完成相关邮件信息记录、管理员操作日志记录写入功能; 内容过滤功能模块,根据过滤规则完成对邮件正文、附件的文字检查; 防垃圾邮件模块,实现基于IP地址的邮件炸弹防护,包括发信频率和数量进行统计、判断与处理;邮件字段“发送者”、“接收者”、“抄送”、“标题”、“来源地址”,以及发信人真实性判断的检查; 信息记录模块,包括对删除邮件的摘要信息记录,拦截邮件的完整信息记录以及管理人员操作日志记录; 管理审计模块,提供管理界面,使管理员可以对管理系统作实时控制;对拦截邮件做人工查看;对安全策略、过滤规则、系统参数作设置与动态调整; 规则管理模块,对管理系统使用的所有规则统一管理,供主程序模块调用。2.一种基于内容过滤的电子邮件安全管理方法,其特征在于,包括如下步骤: 51:启动规则库,包括规则库中所有相应规则; 52:按照过滤规则库生成过滤词库; 53:用邮件内容匹配过滤词库中的词; 54:统计各个关键词出现的次数,统计关键词之间的间隔距离; 55:根据各个关键词出现的次数与关键词之间的间隔距离进行关键词的相关度分析,根据相关度的高低区分邮件的危险级别; 56:将邮件的危险级别返回主程序。
【专利摘要】本发明公开了一种基于内容过滤的电子邮件安全管理系统,其特征在于,包括:主程序模块,内容过滤功能模块,防垃圾邮件模块,信息记录模块等;一种基于内容过滤的电子邮件安全管理方法,其特征在于,包括如下步骤:启动规则库;按照过滤规则库生成过滤词库;用邮件内容匹配过滤词库中的词;统计各个关键词出现的次数,统计关键词之间的间隔距离;根据各个关键词出现的次数与关键词之间的间隔距离进行关键词的相关度分析。根据相关度的高低区分邮件的危险级别;将邮件的危险级别返回主程序。本发明通过内容过滤的智能化技术,实现邮件过滤的准确判断和分析,然后确定邮件的危害级别。管理人员可以根据审计信息,实时调整改变过滤规则。
【IPC分类】G06F17/30, H04L29/06, H04L12/58
【公开号】CN105635080
【申请号】CN201410634780
【发明人】蒋斐, 卞欢
【申请人】江苏威盾网络科技有限公司
【公开日】2016年6月1日
【申请日】2014年11月12日