一种基于深度内容解析的smtp协议数据防外泄方法及系统的制作方法

一种基于深度内容解析的smtp协议数据防外泄方法及系统的制作方法
【技术领域】
[0001]本发明涉及数据保护领域，特别涉及一种基于深度内容解析的SMTP协议数据防外泄方法及系统。
【背景技术】
[0002]在信息技术飞速发展的今天，企业对信息系统的依赖程度越来越高，信息系统的稳定、安全直接关系到企业的核心竞争力。
[0003]企业用户使用邮件客户端发送邮件造成主动或被动的信息泄露会给企业带来巨大的经济损失。
[0004]邮件客户端使用简单邮件传输协议(Simple Mail Transfer Protocol，SMTP)发送邮件正文及附件，目前网络边界处针对SMTP协议的邮件敏感数据防外泄问题，主要有基于防火墙、网关、代理和旁路阻断这四大主流技术。其中，防火墙和网关工作在网络层以下，仅有少数高级防火墙能够做到对应用层数据中的身份证号、银行账号等数据进行简单过滤，例如高级防火墙部署在网络和以太网边界，检查应用层、传输层和网络层的协议特征，并针对特定应用程序和文件类型，对应用层数据中的身份证号、银行账号等数据进行简单匹配和过滤，但高级防火墙不具备对应用层协议的深度解析和匹配功能，无法对内容违规的邮件进行阻断，而且只支持有限的应用，伸缩性差，用户难以配置，且对网络不透明。代理模式以牺牲速度为代价换取了更高的安全性能，但在网络吞吐量大时会成为网络的瓶颈，且需要设置相应的代理，影响用户体验，难于实施推广。旁路模式通过交换机端口镜像并联进网络，对TCP协议可以发送TCP_RESET报文进行阻断，但由于TCP_RESET报文的滞后性，很容易失去对网络的控制，从而导致被保护数据的泄露。

【发明内容】

[0005]本发明的目的在于提供一种基于深度内容解析的SMTP协议数据防外泄方法及系统，能更好地解决SMTP协议数据外泄的问题。
[0006]根据本发明的一个方面，提供了一种基于深度内容解析的SMTP协议数据防外泄方法，包括:
[0007]在网络边界串联接入用来阻断涉密数据的数据防外泄系统；
[0008]利用所述数据防外泄系统，抓取外发报文，并确定所述外发报文的协议类型；
[0009]当确定所述外发报文的协议类型是SMTP协议时，判断所述外发报文是否包含涉密数据；
[0010]若判断所述外发报文包含涉密数据，则阻断所述涉密数据外泄。
[0011]优选地，所述确定所述外发报文的协议类型的步骤包括:
[0012]利用所述数据防外泄系统，获取所述外发报文的端口特征；
[0013]根据所述外发报文的端口特征和应用层协议特征，确定所述外发报文的协议类型。
[0014]优选地，所述判断所述外发报文是否包含涉密数据的步骤包括:
[0015]利用所述数据防外泄系统，确定SMTP会话的所述外发报文是否为关键报文；
[0016]当确定所述SMTP会话的外发报文是关键报文时，判断所述SMTP会话的四元组特征和/或顺序拼接后的应用层数据是否与预设阻断策略相匹配；
[0017]若匹配，则判断所述外发报文包含涉密数据。
[0018]优选地，所述确定SMTP会话的所述外发报文是否为关键报文的步骤包括:
[0019]根据所述SMTP会话的外发报文的顺序号及到达时间，判断其是否是其所属报文组中最后到达的报文；
[0020]若所述SMTP会话的外发报文是其所属报文组中最后到达的报文，则判断所述外发报文是关键报文；
[0021 ]其中，所述报文组包括具有特征报文标识的特征报文及顺序号在所述特征报文之前的全部前序报文。
[0022]优选地，通过阻止所述关键报文，阻断所述涉密数据外泄。
[0023]根据本发明的另一方面，提供了一种基于深度内容解析的SMTP协议数据防外泄系统，所述数据防外泄系统串联接入网络边界，包括:
[0024]SMTP外发报文获取装置，用于抓取外发报文，并确定所述外发报文的协议类型；
[0025]SMTP涉密数据确定装置，用于在确定所述外发报文的协议类型是SMTP协议时，判断所述外发报文是否包含涉密数据；
[0026]SMTP涉密数据阻断装置，用于在判断所述外发报文包含涉密数据时，阻断所述涉密数据外泄。
[0027]优选地，所述SMTP外发报文获取装置获取所述外发报文，并根据所述外发报文特征和应用层协议特征，确定所述外发报文的的协议类型。
[0028]优选地，所述SMTP涉密数据确定装置在确定SMTP会话的所述外发报文是关键报文时，判断所述SMTP会话的四元组特征和/或顺序拼接后的应用层数据是否与预设阻断策略相匹配，若匹配，则判断所述外发报文包含涉密数据。
[0029]优选地，所述SMTP涉密数据确定装置根据所述SMTP会话的外发报文的顺序号及到达时间，判断其是否是其所属报文组中最后到达的报文，若判断所述SMTP会话的外发报文是其所属报文组中最后到达的报文，则判断所述外发报文是关键报文，其中，所述报文组包括具有特征报文标识的特征报文及顺序号在所述特征报文之前的全部前序报文。
[0030]优选地，所述SMTP涉密数据阻断装置通过阻止所述关键报文，阻断所述涉密数据外泄。
[0031]与现有技术相比较，本发明的有益效果在于:
[0032]1、本发明针对SMTP协议报文特点，对邮件外发的关键报文进行有效拦截，不会出现漏阻情况，且对用户透明，用户体验好；
[0033]2、本发明通过阻断SMTP关键报文的方式，破坏TCP会话，使服务器端由于会话不完整而无法重组报文，达到保护企业内部数据的目的；
[0034]3、本发明不仅解决了在网络边界处，传统数据阻断方法存在的阻断效果差的问题，还解决了传统数据阻断方法存在的支持应用少，处理能力低等问题。
【附图说明】
[0035]图1是本发明提供的基于深度内容解析的SMTP协议数据防外泄方法流程图；
[0036]图2是本发明提供的基于深度内容解析的SMTP协议数据防外泄系统框图；
[0037]图3是本发明实施例提供的基于深度内容解析的SMTP协议数据防外泄系统的网络架构图；
[0038]图4是本发明实施例提供的基于深度内容解析的SMTP协议数据防外泄系统框图；
[0039]图5是图4所示系统的工作流程图。
【具体实施方式】
[0040]以下结合附图对本发明的优选实施例进行详细说明，应当理解，以下所说明的优选实施例仅用于说明和解释本发明，并不用于限定本发明。
[0041]图1是本发明提供的基于深度内容解析的SMTP协议数据防外泄方法流程图，如图1所示，步骤包括:
[0042]步骤SlOl:在网络边界串联接入用来阻断涉密数据的数据防外泄系统。
[0043]步骤S102:利用数据防外泄系统，抓取外发报文，并确定外发报文的协议类型。
[0044]具体地说，利用数据防外泄系统，获取外发报文的端口特征(例如端口号)，并根据外发报文的端口特征和应用层协议特征，确定外发报文的协议类型是否为SMTP协议。
[0045]步骤S103:当确定外发报文的协议类型是SMTP协议时，判断外发报文是否包含涉密数据。
[0046]具体地说，利用数据防外泄系统，确定SMTP会话的外发报文是否为关键报文，当确定SMTP会话的外发报文是关键报文时，进一步判断当前会话的四元组特征(即源和目的IP地址、源和目的端口号)和/或顺序拼接后的应用层数据是否与预设阻断策略相匹配，若匹配，则判断外发报文包含涉密数据。其中，预设阻断策略为预先在管理平台设置的包括SMTP内容防外泄敏感关键词、正则规则、例外条件等规则。
[0047]进一步地，数据防外泄系统根据SMTP会话的外发报文的顺序号及到达时间，判断其是否是其所属报文组中最后到达的报文，若SMTP会话的外发报文是其所属报文组中最后到达的报文，则判断外发报文是关键报文，其中，报文组包括具有特征报文标识的特征报文及顺序号在特征报文之前的全部前序报文。即，数据防外泄系统首先判断外发报文是否具有特征报文标识，若外发报文具有特征报文标识，则将该外发报文确认为特征报文，其次，若该外发报文是特征报文，且顺序号在特征报文之前的所有前序报文全部接收完毕，则将该特征报文作为关键报文;若该外发报文属于报文组但不是特征报文，但特征报文及除此之外的其它前序报文已提前到达，则将该外发报文作为关键报文。
[0048]进一步地，数据防外泄系统根据报文的顺序号将前序报文的应用层数据与当前报文的应用层数据进行顺序拼接之后，若当前报文为关键报文，则通过对拼接后的应用层数据依次进行解析和匹配处理，确定外发数据中是否包含敏感数据信息，即涉密数据信息，从而在确定外发数据中包含敏感数据信息时，通过阻断关键报文，阻断敏感数据信息外泄。
[0049]步骤S104:若判断外发报文包含涉密数据，则通过阻止关键报文，阻断涉密数据外泄。
[0050]图2是本发明提供的基于深度内容解析的SMTP协议数据防外泄系统框图，如图2所示，数据防外泄系统串联接入网络边界，包括:
[0051]SMTP外发报文获取装置用于抓取外发报文，并确定外发报文的协议类型。具体地说，SMTP外发报文获取装置获取外发报文的端口特征，并根据外发报文的端口特征和应用层协议特征，确定外发报文的协议类型是否为SMTP协议。
[0052]SMTP涉密数据确定装置用于在确定外发报文的协议类型是SMTP协议时，判断外发报文是否包含涉密数据。具体地说，SMTP涉密数据确定装置确定SMTP会话的外发报文是否是关键报文，若SMTP会话的外发报文是关键报文，则当前会话的四元组特征(源和目的IP地址、源和目的端口号)和顺序拼接后的应用层数据进行解析，然后与预设阻断策略相匹配，若匹配，则判断外发报文包含涉密数据。
[0053]SMTP涉密数据阻断装置用于在判断外发报文包含涉密数据时，通过阻止关键报文，阻断涉密数据外泄。
[0054]图3是本发明实施例提供的基于深度内容解析的SMTP协议数据防外泄系统的网络架构图，如图3所示，SMTP阻断服务器通过双网卡串联接入网络边界，数据防外泄系统部署在所述SMTP服务器上，即数据防外泄系统通过双