一种基于邮件截获的电力敏感信息检测方法
技术领域
本发明涉及一种基于邮件截获的电力敏感信息检测方法,主要是能捕获并解析局域网内所有主机通过邮件客户端以及部分网络邮箱发送的邮件,且能判断邮件中是否含有电力部门的网络敏感信息,并最终对含有敏感信息的邮件做出报警。
背景技术
互联网是当今最大的信息资源库之一,其信息发布的及时性与全球互联性使得其对整个社会的发展起着巨大的影响。由于互联网相关技术飞速发展,它已经影响到了日常工作和生活的方方面面,对整个社会起着革命性的影响。其中有效识别并过滤通过电子邮件传播的企业敏感信息成了当前迫切需要解决的问题。
据《电力行业信息系统安全等级保护定级工作指导意见》指出,由于电力系统的重要性,电力系统的安全问题已威胁到电力系统的安全、稳定、经济、优质运行,影响着数字电力系统的实现进程。研究电力系统信息安全问题、开发相应的应用系统、制定电力系统信息遭受外部攻击时的防范与系统回复措施等信息安全策略是当前信息化工作的重要内容。电力系统信息安全已经成为了电力企业生产、经营和管理的重要组成部分。但是,目前的电力系统信息安全保护方案大多属于入侵检测系统,工作重点在防范来自企业外部的破坏和系统恢复,忽视了防范来自企业内部的信息泄露行为的重要性,而这种由内而外的主动泄密方式会产生严重的安全隐患,给企业带来巨大的损失。
内网泄密的途径有很多种,比如通过邮件、即时聊天工具、U盘拷贝等等,但是最主要的还是通过邮件的方式,因为邮件传输本身具有不易察觉、难于监控等特点。据弗雷斯特公司(Forrester Research)的调查报告显示,有35%的企业怀疑员工会透过电子邮件泄露机密数据,其中外寄邮件中有高达25%的信件带有财务或法律性的管理风险。而据高德纳咨询公司(Gartner)的调查显示,每400封信件中,就有一封隐含有机密信息。这些机密信息包含企业内部沟通与外部往来的信件,例如行政报告、业务新建、研发数据或重要的政策指令等。而在美国布罗克曼(Brockmann&Company)研究研究顾问公司的2007年8月的调查显示,有近36%企业的电子邮件曾经遗失或发生延迟,更发生平均超过40次的邮件重寄或误判,造成企业成本提高。根据相关法律规定,在追究信息泄露事件责任民事或刑事责任时,需要提供真实的数字证据,而忽略数字证据的保存,会造成举证成本的提高。
由此可见,电力行业的信息安全系统建设刻不容缓,相对于较成熟的入侵保护系统,防止信息从内部开始泄露的信息过滤系统的建设更是重中之重,是现阶段建立和完善信息安全系统的首要任务。
发明内容
为了解决现有入侵检测系统无法避免电力行业从内部泄露机密信息的技术问题,本发明的目的是综合利用网络抓包、模式识别和图像处理技术截获并解析局域网内的所有主机通过邮件客户端以及部分网络邮箱发送的邮件,分析判断邮件中是否含有电力部门的网络敏感信息并对含有网络敏感信息的邮件做出报警。
为了达成所述目的,本发明提供一种基于邮件截获的电力敏感信息检测方法,该方法的步骤如下:
步骤S1:截获电力部门局域网内所有主机通过邮件客户端以及部分网络邮箱发送的邮件;
步骤S2:根据步骤S1截获的邮件,电力敏感信息检测系统按照规则将邮件的基本信息解析出来,进而得到解析出来的邮件;
步骤S3:利用图像处理和模式识别技术对步骤S2解析出来的邮件的附件做分析判断,判断其中是否包含电力敏感信息,如果是电力敏感信息,则执行步骤S4,如果不是电力敏感信息,则返回步骤S1;
步骤S4:电力敏感信息检测系统对含有电力敏感信息的邮件做出报警,而对不含有电力敏感信息的邮件不做出报警。
其中,通过邮件客户端发送的邮件是使用OutLook、FoxMail和DreamMail邮件工具发送的邮件;通过网络邮箱发送的邮件是使用浏览器发送的邮件;部分网络邮箱是电力敏感信息检测系统只针对利用新浪的网络邮箱发送的邮件。
其中,解析出来的邮件的基本信息包括邮件的正文和邮件的附件,并将邮件的附件按照其原始文件的格式存储在本地磁盘中。
其中,电力敏感信息包括:电路图和带有部门印章的文件,二者分别以图像的形式出现。
其中,对敏感信息的判断使用支持向量机和霍夫圆检测,其中利用支持向量机分类器判断图像是否为电力部门的电路图,而利用霍夫圆检测判断图像中是否包含电力部门的印章。
其中,报警的方式是给出发送含有敏感信息邮件的主机的网络地址、主机的物理地址、发送邮件的时间以及敏感信息的类型。
其中,电力敏感信息检测系统是服务器网页版,则电力敏感信息检测系统运行在服务器上,其他主机能登录该服务器,服务器以网页的形式返回监控界面,用户通过点击相应的功能按钮从而实现对局域网内主机行为的监控。
本发明的有益效果:本发明的基本原理是通过网络抓包技术抓取局域网内主机通过邮件客户端以及部分网络邮箱发送的邮件数据包,并按照邮件的网络发送规则解析该数据包,从而获取邮件中包含的信息,然后通过模式识别和图像处理技术分析判断邮件信息中是否含有电力部门的敏感信息,并最终对包含敏感信息的邮件做出报警。本发明巧妙的综合利用了网络抓包、模式识别和图像处理技术解决了邮件的获取、解析、识别、判断问题。本发明为了用户使用的方便,将电力敏感信息检测系统做成了服务器网页版本,用户可以在自己的主机通过登录服务器并点击相应的控制按钮便可监控局域网内部主机的行为。本发明创造性的通过分析局域网内主机发送的邮件,防止电力部门的重要信息通过内网的方式泄密,从而解决了电力部门的网络安全问题。
附图说明
图1a是本发明实施例的电力敏感信息检测方法整体框架;
图1b是本发明实施例的电力敏感信息检测系统的用户操作流程图;
图2是本发明实施例的电力敏感信息检测系统的硬件连接示意图;
图3是本发明实施例的电力敏感信息检测系统的登录界面;
图4是本发明实施例的电力敏感信息检测系统的监控界面;
图5a-图5b是本发明实施例的电力敏感信息检测方法可以检测的电力敏感信息图示。
具体实施方式
下面结合附图详细说明本发明的技术方案中所涉及的各个细节问题。应指出的是,所描述的实例仅旨在便于对本发明的理解,而对其不起任何限定作用。
图1a示出本发明基于邮件截获的电力敏感信息检测系统内部实现的整体框架,电力敏感信息检测系统是服务器网页版的,其中包含两个部分:登陆界面和监控界面。图1b示出电力敏感信息检测系统的用户操作流程图,首先,用户通过浏览器访问服务器,服务器会返回给用户如图3所示电力部门网络安全系统的登陆界面,此时用户可以根据拥有的用户名和密码登录电力敏感信息检测系统,如果用户名和密码验证正确则电力敏感信息检测系统返回监控界面;如果不正确,电力敏感信息检测系统则停留在登陆界面并提示账户信息有误。当用户成功登陆电力敏感信息检测系统之后,服务器会返回给用户如图4所示的监控界面并启动邮件监控功能,此时服务器可以监控局域网内所有主机通过邮件客户端和部分网络邮箱发送的邮件,并对含有电力敏感信息的邮件做出报警。由于电力敏感信息检测系统是为了监控局域网内所有主机的发送邮件行为,故电力敏感信息检测系统的安装位置必须能够抓取其他所有主机的网络数据包,图2是电力敏感信息检测系统所要工作的硬件连接结构,图中的标号1为外部的互联网;标号2为电力部门局域网与互联网的接口设备;标号3为电力敏感信息检测系统;标号4为具有端口镜像功能的交换机,其中的C、D、E端口为交换机的局域网内主机接口,A端口为交换机的外网接口,即通过此端口来接收来自互联网1的网络数据包并将局域网内主机的网络数据包发送到互联网1,而B端口为A端口的镜像端口,即B端口接收A端口所有发送和接收的网络数据包;标号5、6、7为被监控的主机,当然实际被监控的主机数量可以大于三台,图中仅为示例,这些主机连接到交换机的端口上,并通过交换机的外网端口(A端口)连接到总的网络出口,而A端口的网络数据包被交换机内部镜像拷贝送到电力敏感信息检测系统所在端口(B端口)。这样,电力敏感信息检测系统即可对被监控的主机发送邮件的行为作出监控。工作在图2所示的电路连接结构下,电力敏感信息检测系统可以在不影响其他主机正常上网的情况下截获主机的邮件数据包。在用户通过账户顺利登陆电力敏感信息检测系统之后,服务器会返回监控界面,如图4所示,图中央的文字为系统的标识;图的右边为一些附加的功能,包括显示当前登录系统的用户的账户名、当前的时间和日期;左边为系统的工具栏,工具栏下有六个按钮,点击相应的按钮,系统就会执行相应的功能,工具栏具体的按钮信息及其可以实现的功能如下:
(1)管理用户。该项功能只有当超级用户登录时才会显示并使用,通过这个功能,超级用户可以添加和删除其他账户。
(2)个人信息。该项功能是显示登录该电力敏感信息检测系统的用户的信息。
(3)邮件日志。该项功能保存截获到的邮件基本信息和敏感邮件的报警信息并将它们实时的显示在页面上。
(4)监控状态。该项功能可以显示电力敏感信息检测系统目前所处在的监控状态和方式。
(5)系统设置。该项功能为电力敏感信息检测系统的一些参数设定,根据用户选择的不同参数,电力敏感信息检测系统则实现不同的监控方式。
(6)邮件导出。该项功能为电力敏感信息检测系统可以将截获并存储在数据库中的邮件信息导出到excel表格中并存储在本地磁盘中。
用户进入监控界面后,电力敏感信息检测系统自动启动监控状态,截获并解析当前服务器所在局域网内所有主机通过邮件客户端及部分网络邮箱发送的邮件。
其中,电力敏感信息检测系统将解析出来的邮件附件按照文件的原始格式存储在本地磁盘中。下面介绍电力敏感信息检测的具体方法:
首先,对于通过邮件客户端发送的邮件,其使用SMTP(简单邮件传输协议),该协议使用TCP/IP(传输/网络),端口25进行网络数据包的传输。针对此种情况,电力敏感信息检测系统监听通过端口25传输的数据包,并将源网络地址和目的网络地址相同的数据包按照序列号的顺序整合成一个完成的数据包。得到完整的数据包后,电力敏感信息检测系统根据查找关键字的方式提取包含所需信息的字符串,因为通过SMTP发送邮件内部采用base64编码(base64多用于邮件传输中,其编码原理为将正常的字符编码为一种直接不可读的形式),所以在提取相应的字符串之后还需要利用base64解码的方式将其解码为ASCII码(American Standard Code for Information Interchange,美国信息互换标准代码,其是基于拉丁字母的一套电脑编码系统。它是现今最通用的单字节编码系统,正常的字符为直接可读的形式)的字符。
其次,对于通过网络邮箱的方式发送的邮件,其使用HTTP(超文本传输协议),该协议使用TCP/IP,端口80进行网络数据包的传输。针对此种情况,电力敏感信息检测系统监听通过端口80传输的数据包,由于通过浏览器正常上网也是通过HTTP协议,所以监听端口80势必也会将非邮件数据包截获下来而造成大量无用信息的获取。为了避免上述问题,电力敏感信息检测系统通过定义监听特定目的网络地址的方式来解决。除此之外,和通过邮件客户端发送邮件不同,每个邮件运营商的网络邮箱的邮件所使用的格式各不相同,所以不能按照相同的规则进行解析,只能根据具体运营商的邮件来做针对性的解析,目前电力敏感信息检测系统只做了针对新浪网络邮箱发送的邮件的截获并解析。
经过上一步的解析之后,邮件的原始信息被还原出来,下一步要做的就是对信息作识别判断,判断其中是否含有所定义的电力敏感信息。电力敏感信息的典型示例如图5a和图5b,其中图5a是电路图示例,这是一幅电脑的电源的内部电路原理图,这里要说明的是本示例电路图仅仅作为一个电路图示例以供理解,本发明可以检测的电路图不限于此。图5a中的电路结构主要分为三个部分,具体标号如图所示,其中标号①部分为该电源电路结构的输入部分,主要由电阻、电容和二极管等元器件组成,作用是接收外部的交流电流信号;②部分为该电源电路结构的核心成分,其中包括控制环路、二次电源供应和过压环路,主要是由稳压二极管、电阻、变压器等电子元器件组成,作用是将交流电转化为直流电并将信号输出到③;③部分为该电源电路结构的直流输出部分,主要是由电阻、电容、变压器和二极管等电子元器件组成,作用是处理②部分传过来的直流电并将其转化为标准大小的直流电供电脑的其它部分使用。图5b电力部门的印章示例,该印章是圆形的,中心为五角星,五角星的外围是公司部门的名称。电力敏感信息检测系统所要检测的就是含有二者或二者之一的邮件附件。具体的识别方式如下:
第一,对于电路图图像,电力敏感信息检测系统采用支持向量机(SVM)分类器来做识别。识别过程又分为训练和识别两个阶段。在训练阶段,电力敏感信息检测系统利用电路图和非电路图各200张图像做训练,首先将所有非灰度的图像转化为灰度图像并提取两类图像的特征组成两组特征集。这里的特征,电力敏感信息检测系统采用图像的灰度直方图,将灰度值(0-255)等间距的分为八份,即间距为32,统计这八个范围内像素的数量占所有像素数量的比例,最后取像素灰度值在[0,31],[224,255]两个范围内的比例值作为图像的特征值。电力敏感信息检测系统根据提取出来的特征值做训练,最终训练出一个基于上述特征的分类器。在识别阶段,电力敏感信息检测系统按照上述的规则提取相应的特征并将其输入分类器中进行识别并最终输出识别的结果。
第二,对于带有印章的文件,电力敏感信息检测系统采用霍夫圆变换和特征判据的方式来做识别。识别的过程分为两个步骤:首先,采用霍夫圆检测的方式检测图像中特定半径范围的圆,这里的半径范围为图像宽度的[1/10,1/8]。因为所定义的印章的外形是圆形的,且半径的范围落在所定义的范围之内,所以电力敏感信息检测系统会将其检测出来。其次,为了防止误检,电力敏感信息检测系统会结合印章的实际特征做进一步的判断。印章在以圆心为中心,1/3半径为边长大小的正方形范围内,其灰度值为非255的像素的个数要大于这个范围内所有像素个数的一半。根据这一特征,电力敏感信息检测系统做进一步的判断,剔除检测到的不符合要求的圆。
根据上一步的识别结果,如果判断邮件中含有敏感的信息,则电力敏感信息检测系统对发送该邮件的主机做出报警。报警的具体内容包含该主机的网络地址、该主机的物理地址、发送邮件的时间以及含有敏感信息的类型;另外电力敏感信息检测系统也可以声音的形式报警,当监控到局域网内有敏感邮件发送时电力敏感信息检测系统会发出声音。通常电力敏感信息检测系统会默认以二种方式并存的形式来做监控。
以上所述,仅为本发明中的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉该技术的人在本发明所揭露的技术范围内,可理解想到的变换或替换,都应涵盖在本发明的包含范围之内,因此,本发明的保护范围应该以权利要求书的保护范围为准。